Le soft skill del DPO rappresentano un bagaglio di competenze extra-curriculari e di attitudini che il Data Protection Officer deve necessariamente possedere per ricoprire questo importante ruolo.
Eppure, quando più di un anno fa è iniziata la corsa di consulenti e professionisti privacy a candidarsi nelle aziende che ai sensi del Regolamento UE 2016/679 risultano soggette alla nomina della nuova figura di DPO (o RPD, Responsabile della protezione dati), titolari, responsabili dei trattamenti e spesso gli stessi DPO non sempre hanno valutato attentamente la reale portata dell’impegno se adeguatamente esercitato.
Molte realtà hanno invece optato per assegnare questo ruolo in organico a soggetti già esercenti altri ruoli all’interno dell’organizzazione: risorse appartenenti all’Ufficio Legal o già Privacy Officer o CIO o HR Manager, o ancora HQSE Manager, ecc.).
Con riferimento al Regolamento, alle linee guida WP29, il DPO risulta essere di fatto:
- il punto di contatto dell’Autorità garante in caso di accertamenti e verifiche nelle organizzazioni che ai sensi del RE 2016/679 risultano soggette a tale obbligo;
- la figura di riferimento super partes per gli interessati a cui rivolgere le richieste sui propri diritti e quelle relative a istanze e verifiche dei terzi aventi causa a vario titolo (dipendenti, clienti, fornitori, enti ecc.) in materia di privacy e protezione dei dati personali;
- il “consulente di fiducia” del titolare, ovvero il soggetto tenuto ad informarlo su rischi, opportunità, monitoraggi, verifiche, proposte di miglioramento nelle misure tecniche ed organizzative per mantenere adeguata la conformità e la liceità dei trattamenti lungo tutto il percorso di gestione dei dati personali.
In questi ultimi mesi alcune aziende hanno ricevuto le dimissioni da parte di DPO esterni e da DPO interni.
Indice degli argomenti
Le soft skill del DPO: conoscenze e capacità comunicative
Il fenomeno si rintraccia in diverse cause più o meno dichiarate nei recenti seminari/incontri organizzati in occasione di corsi di aggiornamento universitari, istituzioni e associazioni di categoria.
In sintesi, le motivazioni più o meno dichiarate che hanno indotto DPO a dimettersi o a rinunciare a rivestire tale ruolo si ravvisa per lo più nelle seguenti cause:
- la dimensione temporale dell’impegno effettivamente necessario, per esercitare il ruolo e adempiere concretamente alle attività che la normativa impone (controlli, verifiche, consulenza al titolare, formazione delle risorse ecc.);
- il compenso sottodimensionato rispetto alle ore/lavoro da dedicare alla funzione;
- l’indisponibilità dell’organizzazione (del titolare) ad assegnare ulteriori risorse tecnico-finanziarie per le necessità di adeguamento, monitoraggio e miglioramento dei processi inerenti;
- lo stress lavoro correlato e burnout del DPO (per sovraccarico di lavoro nell’organizzazione o per cumulo di nomine riferite a più enti ed aziende; per incapacità a gestire le risorse umane all’interno delle strutture; per incapacità di gestire il tempo; per difficoltà comunicative, ovvero di farsi ascoltare, ovvero di leadership del DPO).
Al pari di altre figure manageriali o consulenziali, il DPO deve conoscere tecniche di comunicazione efficaci e soprattutto deve avere capacità di ascolto attivo e coinvolgimento delle persone.
Emergono soprattutto:
- capacità di negoziazione. La negoziazione è alla base della vita sociale in ogni contesto. La capacità di contrattare con il titolare, la direzione e di trasferire consapevolezza; di suggerire le misure adeguate al contesto in considerazione anche degli aspetti economico-finanziari ed organizzativi della struttura ecc.;
- conoscenza delle tecniche di coaching. Ovvero di tecniche di ascolto, guida e orientamento dell’altro, per indirizzare a scelte consapevoli e condivise all’interno delle organizzazioni lavorative. Processo attraverso il quale raggiungere il massimo livello di performance anche nell’accountability (condivisione del valore dei dati e della responsabilità del “rendere conto” agli altri dell’eticità organizzativa);
- Team Coaching. Ovvero l’attività di coaching applicata ai gruppi di lavoro e finalizzata a migliorare le prestazioni ed i processi attraverso cui i responsabili e gli autorizzati sono coinvolti attivamente a realizzare le procedure di compliance;
- Problem Solving e Decision making. Sono due pratiche fondamentali utili nella vita di tutti i giorni; attengono alle strategie per affrontare i problemi, identificarne la natura, strutturare i possibili interventi, adottare soluzioni e monitorare i risultati. Il Decision Making comprende l’analisi delle possibili modalità di intervento e la scelta della soluzione da implementare considerando tutti gli aspetti e le parti coinvolte. Pratica più complessa del problem solving poiché si prefigge di considerare ogni possibile soluzione che a volte può comportare problemi di tempo, di budget e di impatti sull’organizzazione o sugli Interessati e gli stakeholder (brand reputation);
- capacità di gestire il proprio stress (e quello dell’organizzazione). Lo stress rappresenta la risposta del nostro organismo per adeguarsi agli stimoli della vita privata e sociale. Il DPO deve possedere capacità di riconoscere i segnali dello stress dovuto a pressioni, scadenze, carichi di lavoro, capacità organizzative, capacità comunicative, resilienza ecc. e adottare “misure personali” per non “soccombere” alle richieste del ruolo e finire in burnout della professione.
La mission del DPO
In definitiva il Data Protection Officer deve possedere, oltre alle competenze specifiche proprie della professione (acquisite sia attraverso corsi specialistici, aggiornamenti, confronti ed esperienze in campo) tutte quelle indispensabili soft skill del DPO senza le quali la sua figura risulterebbe poco efficace nelle organizzazioni se non addirittura solo un ruolo formale.
In più il Regolamento UE 2016/679 sulla protezione dei dati delle persone continuerebbe ad essere percepito nelle organizzazioni come l’ennesimo adempimento normativo che impone nuove procedure “astratte”, burocrazia, appesantimento delle attività quotidiane e di business, tuttavia un obbligo perché suscettibile di sanzioni economiche (e non solo) se non ottemperato.
La mission del DPO è anche quella di agire per un vero proprio change management in materia di privacy: una reale opportunità di crescita e sviluppo della cultura aziendale e dei dati personali quale parte integrante della mission e degli obiettivi dell’organizzazione.
Nella mia personale esperienza quale DPO di società di servizi alle imprese, farmacie e aziende socio-sanitarie partecipate, ho compreso fin da subito l’importanza del coinvolgimento attivo delle risorse umane nell’analisi dei rischi e nelle misure di mitigazione opportune nei diversi contesti organizzativi: le risorse umane sono i soggetti primi che forniscono le informazioni più puntuali sull’operatività del proprio ufficio rispetto al trattamento dei dati. Sono spesso il front-office con gli Interessati e hanno bisogno di “sentirsi valorizzati”.
La formazione o meglio l’istruzione dei delegati e autorizzati come indicata dal Regolamento UE 2016/679 risulta più efficace se condivisa e operata in campo (training on the job); l’ascolto della persona è fondamentale per instaurare un clima positivo, di fiducia e cooperazione.
La governance è in questo modo meglio assicurata: l’accountability (il dovere di rendere conto) è vissuta come partecipazione attiva alla protezione delle persone, dei loro diritti e delle loro libertà a prescindere che si tratti degli stessi lavoratori o degli stakeholder dell’azienda.
È molto gratificante riscontrare tale cooperazione nei team e negli uffici e constatare di aver quelle proporzionate condizioni che rendono l’applicazione delle misure e delle procedure parte integrante della vita lavorativa delle persone e dei valori aziendali.
L’attività del DPO è un working in progress per l’adeguamento e miglioramento continuo dell’organizzazione, così come il coaching e il team coaching con i referenti all’interno delle strutture non può mai mancare.
