La nomina del DPO rappresenta per le aziende una misura di compliance al GDPR, ma può diventare anche una importante leva competitiva sia in termini di qualificazione nei confronti dei propri clienti sia come stimolo per le figure interne dell’organigramma privacy di maggiore attenzione al principio di accountability.
Indice degli argomenti
La nomina del DPO come elemento di qualificazione
Prima di entrare nel merito delle argomentazioni a favore della nomina di un DPO come leva competitiva, vi citerò un piccolo ma significativo caso personale.
Diversi anni fa, prima della pubblicazione del GDPR (e ben prima della sua piena applicabilità) stavo intraprendendo il percorso professionale di consulente privacy. Una delle prime opportunità che mi si presentarono fu quando una piccola azienda mi contattò per sapere se potessi aiutarli a capire come rispondere ad un loro grande cliente che gli chiedeva se avessero nominato un DPO.
A quei tempi in Italia il GDPR non era ancora oggetto di quell’hype che avrebbe conosciuto in seguito, e la figura del DPO era ancora tema di dibattito nei convegni delle associazioni privacy, certo non del grande pubblico.
Ma non era così in Germania, dove la figura era già presente (e sostanzialmente obbligatoria) da diversi anni. Il cliente in questione, infatti, era una importante azienda tedesca che aveva inviato un questionario di self-assessment ai fornitori, per qualificarli in termini di compliance a diverse discipline, fra cui la privacy; in quest’ambito la prima domanda del questionario era appunto “avete nominato un DPO?”.
Tranquillizzai il mio cliente sul fatto che, alla data, il DPO in Italia ancora non esisteva, ma cominciai a capire (e a spiegare ai clienti) che, al di là di eventuali criteri di obbligatorietà, la scelta di dotarsi di un DPO poteva essere un elemento di qualificazione come fornitore presso alcune categorie di clienti che, per dimensioni, o per settore merceologico particolarmente soggetto alla compliance, o per collocazione geografica, ponessero particolare attenzione a questo aspetto.
La privacy della supply chain
Un aspetto certamente qualificante del GDPR (seppur non del tutto innovativo) è l’importanza attribuita alla governance della data protection lungo tutta la supply chain, prova ne è il fatto che finalmente le “nomine” a responsabile del trattamento non si arrestano più al primo anello della catena, come in precedenza, ma si propagano ai subfornitori.
Ciò consente finalmente un controllo a cascata sull’adeguatezza dei soggetti che a diverso titolo, e anche senza una relazione contrattuale diretta con il titolare, si trovano a trattare i dati personali per conto del titolare stesso.
Fra le condizioni che rendono affidabile il responsabile (o sub responsabile) c’è l’adozione di adeguate misure di sicurezza tecniche e organizzative: fra queste ultime la disponibilità di un organigramma privacy e in specie di quella figura di indirizzo e controllo costituita dal DPO rappresenta indubbiamente un punto qualificante.
Gli aspetti che fanno di un DPO una leva competitiva
Primo punto per considerare l’adozione del DPO non solo una misura di compliance ma anche una leva competitiva è proprio la possibilità di accondiscendere alle richieste dei propri clienti, sia quelli che la indicano esplicitamente come condizione ineludibile per accedere all’albo dei fornitori o ai bandi di gara, che per quelli che semplicemente apprezzano l’attenzione alle tematiche privacy da parte dei fornitori come un indice di maturità.
Tutto ciò ovviamente è più rilevante per quelle aziende che operano essenzialmente nel B2B, avendo come clienti altre aziende, tipicamente più grandi di loro, nei confronti delle quali si pongono come responsabili del trattamento.
Per le aziende che operano invece nel B2C, avendo come clienti i consumatori finali, la figura del DPO potrebbe apparire meno rilevante, ma non a caso è invece considerata obbligatoria secondo i criteri del GDPR per settori merceologici come la GDO o l’e-commerce che trattano grandi moli di dati personali: ricordiamo sempre che l’obiettivo del GDPR è proprio la tutela dei diritti degli interessati, ovvero delle persone fisiche.
Il DPO come stimolo per l’accountability
C’è però anche un secondo aspetto interno che consente di considerare l’adozione di un DPO una leva di vantaggio competitivo, seppure indiretto.
Si tratta della possibilità per le organizzazioni dotate di un DPO di condurre con maggiore efficacia l’azione di mantenimento del livello di compliance su standard elevati, evitando il rischio che lo sforzo compiuto inizialmente con i progetti di adeguamento al GDPR si perda per strada con il passare del tempo.
È pur vero che la responsabilità dell’applicazione di quanto prescritto dalla normativa e dalle procedure aziendali adottate di conseguenza, resta in capo al titolare (ed alle figure preposte come Privacy Manager o Data Protection Committee), ma la presenza di un DPO, interno o esterno che sia, consentirà certamente maggiore incisività nelle azioni di sensibilizzazione, aggiornamento della documentazione, controllo ecc. che l’azienda metterà in campo.
Il vantaggio maggiore sarà probabilmente riscontrabile in termini di accountability: molte organizzazioni mature sono infatti perfettamente in grado di applicare la normativa nell’espletazione quotidiana delle attività di business, ma talvolta sono meno attente a tenere traccia e documentare le azioni svolte e le motivazioni che sottendono alle scelte fatte in materia di privacy.
Proprio la costante vigilanza da parte del DPO (oltre che di eventuali altre figure di controllo come internal audit o compliance e risk management) spingerà i diversi referenti interni e tutti gli addetti “autorizzati al trattamento dei dati personali” non solo a comportarsi secondo le disposizioni ma anche a predisporre e conservare la documentazione atta a dimostrare agevolmente la correttezza dell’operato ed il rispetto dei diritti degli interessati.
Ciò sarà certamente di aiuto in caso di verifiche ispettive da parte dell’Autorità Garante, ma consentirà anche all’azienda di ottenere più facilmente i risultati attesi dalle azioni di compliance intraprese e poter concentrare le proprie risorse sullo sviluppo del business.
Ah, di quel mio famoso primo cliente sono poi diventato DPO. Ma questa è un’altra storia.
