Quando si parla di DPO (Data Protection Officer; in italiano Responsabile Protezione Dati o RPD), per lo più ci troviamo in situazioni di aziende/organizzazioni di dimensioni medio-grandi e strutturate, almeno un po’; e questo significa che tendenzialmente si deve tener conto di conformità a molte normative o schemi di certificazione (volontari o meno). Volendo fare una lista (assolutamente non esaustiva) di queste conformità:
- protezione dati personali (GDPR): la figura di riferimento è il DPO o comunque un privacy manager
- sicurezza sul lavoro (D.lgs 81/08): la figura di riferimento è l’RSPP
- governance dei dati: la figura di riferimento è il “Responsabile della conservazione”
- NIS2, ISO27001: la figura di riferimento è il CISO (o altra funzione equivalente)
- D.Lgs. 231/2001: Norme in materia di responsabilità amministrativa delle persone giuridiche.
- Sistema Gestione Qualità, Modello organizzativo per la prevenzione degli illeciti, whistleblowing: qui le figure possono essere di vario genere, appartenenti all’ambito legale o organizzativo
a cui poi si devono aggiungere tutte le normative specifiche dell’ambito in cui opera l’azienda/organizzazione. In sostanza, ci sono una serie di figure, ognuna con la sua formazione specifica (tecnica, informatica, legale, gestionale, organizzativa) che devono concorrere a supportare il management aziendale nel prendere le decisioni in maniera integrata per rispettare tutti questi vincoli “esterni”.
Qual è il principale problema? Che la diversa formazione di ognuno rende difficile capirsi, banalmente perché ognuno usa un suo “linguaggio” particolare che difficilmente gli altri comprendono, e anche perché ogni disciplina ha le sue problematiche molto specifiche.
Una metafora: l’orchestra
Usiamo una metafora: paragoniamo queste figure ai musicisti di un’orchestra. Tutti quanti hanno chiaro l’obiettivo: ottenere un’interpretazione musicale il più possibile originale ma coerente con la composizione. Tuttavia, ognuno di essi suona uno strumento diverso, e segue una parte specifica dello spartito; in pratica, inizialmente costituiscono un’accozzaglia di ottimi specialisti (non ci poniamo qui la questione che siano veramente tutti “specialisti”, o “ottimi”).
Da soli, essi possono ottenere un risultato decente, persino apprezzabile, grazie a molti sforzi, tanti compromessi, e lunghe prove. Tutti sanno invece che si può ottenere un risultato migliore e più velocemente se si pone alla guida un direttore, che imposti il ritmo, dia il via, corregga le imprecisioni, etc. È importante ora notare che i direttori d’orchestra sono essi stessi dei suonatori di uno strumento, ma che poi hanno evoluto questa “specialità” verso quella del “mettere insieme” coerentemente tanti strumenti, “capendo” ognuno di essi e il ruolo che ha nella sinfonia.
Il direttore DPO
Tornando al problema su cui ci eravamo lasciati, è estremanente utile, per non dire indispensabile, individuare una figura che possa fare da tramite, e guidare, la “folla” di ottimi specialisti che devono indirizzare il management verso la completa conformità. Il suggerimento è quindi di partire sì da uno degli specialisti, che però deve aver appreso anche competenze negli altri campi in cui non può definirsi specialista; sufficienti per comprendere il linguaggio e il punto di vista di ognuno degli altri (e far comprendere il proprio).
Come si inserisce in questa scelta il DPO? È già previsto che esso debba avere conoscenze multidisciplinari, come previsto nelle Linee-guida sui responsabili della protezione dei dati del comitato dei garanti europei, e così riassunte:
…deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di protezione dei dati personali, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema di gestione dei dati personali, coadiuvando il titolare o il responsabile del trattamento nell’adozione di un complesso di misure organizzative (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare.
Quindi, partendo dal presupposto che non si tratti di uno di quelli fasulli o fantasmi, il DPO è un ottimo candidato ad assumere il ruolo di direzione e coordinamento (leadership) del gruppo di lavoro degli specialisti di cui stiamo discutendo. Nessuno pensa che tale ruolo sia semplice, anzi… ma non lo è per chiunque, e non esistono al momento percorsi formativi per tale ruolo, che però sta assumendo sempre più importanza per via dell’ipertrofia normativa sia nazionale che europea. Sta comunque al management aiutare il DPO ad acquisire le competenze utili eventualmente mancanti (art. 38 c. 2 del GDPR).
LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
