L'autore
Responsabile della protezione dati, ufficiale di controllo, sentinella, esperto di disaster recovery, grande occhio del garante della privacy, colui che tutto vede e tutto sa: ma chi è il DPO?
Tecnicamente abbiamo già visto che cos’è e cosa fa un DPO. Non sarà però sfuggito ai lettori più arguti che le competenze richieste e i compiti da svolgere fanno del DPO una figura quasi mitologica, come un Sisifo il cui lavoro non finisce mai.
In effetti, proviamo un attimo a soffermarci sulle competenze richieste per il nostro Data Protection Officer. La prima deve essere di natura giuridica: conoscere a menadito il GDPR e tutte le norme ad esso collegate, da quelle legate alla gestione delle risorse umane a quelle che regolano il commercio e la pubblicità. Capire se ci sono state delle mancanze, come affrontare la gestione dei data breach e in generale valutare e approvare tutto il corpus dei documenti che un’azienda deve avere: informative, nomine registri, DPIA…
Al contempo, però, un bravo DPO deve conoscere il core business dell’azienda, quali sono i dati che ogni giorno elabora, deve avere una buona competenza tecnologica per sapere se i file dell’azienda sono al sicuro e se le procedure, decise insieme al fornitore di servizi, siano sufficienti a proteggere da un eventuale disastro. Infine, non obbligatoria ma sicuramente utile, una mente strategica, quasi scacchistica, capace di prevedere futuri disastri e anticipare le mosse per evitarli e superarli.
Esiste un DPO capace di fare tutto ciò che un DPO dovrebbe fare?
Ironie a parte, si intuisce, insomma, che le competenze richieste sono davvero tante. Il rischio, nella realtà, è quello di avere una figura magari capace giuridicamente, ma debole dal punto di vista tecnologico o viceversa. Non è facile trovare una persona che raccolga in sé tutte queste cognizioni.
Una soluzione a questo empasse può essere un team multidisciplinare che coinvolga più persone ognuna esperta nel proprio campo. Idea geniale, ma anche qui sorgono alcuni problemi. Il primo di natura economica. Quali risorse può dedicare la nostra azienda alla protezione dei dati? Compito, sì, obbligatorio, ma che comunque deve essere sostenibile.
Un team di persone interne all’azienda tutte incentrate a dar vita al DPO perfetto può funzionare ma è sicuramente un gran dispendio di risorse per l’azienda.
C’è anche un altro problema. Proprio per la sua natura, un gruppo del genere è composto da persone ognuna competente nel proprio campo, che a questo punto necessiterebbe di continue riunioni per condividere i vari aspetti coinvolti, investendo ulteriore tempo.
DPO esterno?
Sicuramente esternalizzare completamente il servizio di DPO è una soluzione che può sopperire a molte di queste difficoltà, sia dal punto delle competenze che della gestione organizzativa ed economica; tuttavia, per poter gestire in maniera efficace l’attività sarebbe comunque richiesta una profonda e costantemente aggiornata conoscenza della realtà aziendale o una figura interna di coordinamento che dovrebbe conoscere un po’ di tutto, tornando quindi al problema già visto.
La soluzione di Agile DPO: Non vendere un pesce, insegna a pescare
Forse possiamo provare a cambiare il punto di osservazione. Non dobbiamo cercare un DPO esterno (o interno) capace di fare tutto, ma una persona che sappia valutare la complessità dell’azienda e iniettare in ogni livello le competenze necessarie per far crescere la qualità digitale e giuridica delle aziende.
In una parola: formazione.
Ricordate quando abbiamo parlato di Privacy by design, l’idea cioè che tutto il contesto della privacy sia integrato nell’azienda dalla sua fondazione e non un elemento posticcio attaccato a posteriori?
Qui il concetto è simile. Invece di prendere il dipendente che ha estratto la pagliuzza corta e fargli fare il DPO interno, rendendo lui infelice e l’azienda insicura, se tutti i singoli comparti dell’azienda fossero “formati” da esperti sul GDPR, in modo che ognuno, nel proprio settore, abbia ben chiaro che cosa significa lavorare per far rispettare il Regolamento avremmo dipendenti competenti, e nel contempo avremmo snellito mostruosamente il lavoro.
Per riprendere il detto evangelico: molto meglio insegnare a pescare che regalare un pesce e poi sparire. Una formazione efficiente, capillare e certosina, farà in modo che il comparto tecnico sappia scegliere il servizio con la miglior tutela dei dati e un disaster recovery plan efficiente, che i venditori conoscano il modo migliore di trattare i dati dei clienti. Ma anche che, ad esempio, qualsiasi dipendente sia consapevole se si trova di fronte ad un data breach (una mail di un utente spedita ad un altro utente: come mi comporto?), e che il responsabile conosca a menadito la procedura da intraprendere quando questo accade.
Come abbiamo già visto altre volte, in un momento in cui gli utenti sono estremamente attenti e gelosi dei propri dati, mostrare competenza e trasparenza è un ottimo biglietto da visita. Inoltre, rendere edotti i propri dipendenti su meccanismi sempre più presenti nel mondo del lavoro, eviterà grossi problemi e spese all’azienda.
Anche perché, da un punto di vista giuridico e di diritto del lavoro, una volta che l’azienda ha speso soldi per organizzare dei corsi e formare i dipendenti, gli errori, a quel punto, non sono più scusabili.
