Per poter assolvere adeguatamente a tutti i compiti previsti, un Data Protection Officer dovrebbe disporre di competenze che spaziano dal terreno legale a quello informatico, organizzativo e gestionale: la somma di queste professionalità è difficilmente reperibile in una singola persona, mentre sarà più facilmente disponibile in un team DPO ben organizzato.
Indice degli argomenti
Tutte le competenze del DPO
I compiti del DPO spaziano dall’informazione e consulenza sull’evoluzione normativa, all’analisi dei rischi e delle misure di sicurezza, dallo sviluppo organizzativo alla formazione, fino ad attività di controllo.
Il GDPR non definisce come requisito una professionalità specifica ma richiede conoscenza della normativa e dei trattamenti di dati personali specifici dell’organizzazione per la quale è designato, oltre che la capacità di svolgere i compiti assegnati dal GDPR.
Riflettendo sui compiti del DPO, gli esperti del settore (ma soprattutto le organizzazioni che devono nominarne uno, interno o esterno) si sono chiesti a lungo quali siano le competenze indispensabili di cui tale figura debba essere dotata.
Una delle posizioni inizialmente prevalenti vedeva l’Avvocato come l’unica figura in grado di rivestire tale ruolo, in virtù della propria conoscenza della disciplina giuridica specifica, e anche generale, e della capacità di accedere alle fonti che consentono di monitorare gli aggiornamenti normativi, le interpretazioni e i casi che costituiscono giurisprudenza.
Ovviamente non ci possono essere dubbi che un giurista sia necessario, ma stante il rilevante approccio risk-based del GDPR, siamo certi che un legale abbia anche l’approccio mentale adatto e le competenze per condurre un’analisi dei rischi? E come potrà valutare di conseguenza l’adeguatezza delle misure di sicurezza organizzative e tecniche, adottate o da adottare? Non sarebbe più utile in questo caso un ingegnere gestionale od un analista di processi? E invece, per valutare l’impatto sulla protezione dei dati personali e sui diritti degli interessati dell’adozione di una soluzione tecnologica (applicativa o di infrastruttura), non sarà meglio affidarsi ad un esperto di cyber security? Procedendo di questo passo, si potrebbe arrivare alla conclusione che il DPO dovrebbe sapere e saper fare di tutto.
Una soluzione realistica non potrà quindi basarsi su una singola persona ma dovrà ragionevolmente fare riferimento ad un team multidisciplinare, interno all’azienda oppure messo a disposizione da una società esterna che sarà designata DPO con un contratto di servizio. In entrambi i casi andrà individuata una figura di riferimento, il cui nominativo va comunicato al Garante (che deve poter contattare direttamente una persona fisica).
Team DPO: chi ne fa parte
Il team DPO dovrebbe avere al suo interno non solo le imprescindibili competenze legali, informatiche e di sicurezza, ma anche organizzative, spesso sottovalutate: si troverà infatti a dover verificare procedure organizzative, necessariamente sostenute da un modello organizzativo coerente. Saranno quindi necessari analisti di organizzazione, di processi, economisti o ingegneri gestionali.
Inoltre, è pure vero che l’attività del DPO si configura come un servizio continuativo e quindi a rigore non come un progetto, che tipicamente prevede un inizio/fine nel tempo, fasi preliminari, di esecuzione e di conclusione con un obiettivo da raggiungere come esito finale.
Tuttavia, il servizio prevede scadenze (audit, aggiornamento registri, rapporto al CdA) che vanno rispettate e rendicontate.
Tornerà allora utile la figura del project manager, per tenere sotto controllo la pianificazione, l’allocazione delle risorse ed il raggiungimento degli obiettivi relativi ai diversi step del piano di lavoro. Da non sottovalutare poi la rendicontazione, per poter dimostrare le azioni condotte e le scelte che le hanno determinate, in termini di accountability.
È necessario un approccio olistico
Appare quindi opportuna, o meglio inevitabile, la scelta di ricorrere ad un team che disponga di tutte queste competenze e professionalità, ma per condurre con successo la sua attività bisognerà trovare il modo di farli lavorare bene insieme, evitando i compartimenti stagni.
Per ottenere il meglio occorre infatti adottare un approccio olistico alla compliance in ambito Data Protection, intervenendo attraverso diversi piani paralleli ma con un’unica finalità: un reale e totalizzante rispetto dei diritti degli Interessati. Per raggiungere tale obiettivo sarebbe inoltre opportuno approcciare con metodologia integrata la compliance alla Data Protection congiuntamente ad altre discipline e norme, legislative o volontarie.
Si pensi agli adempimenti previsti da normative settoriali per settori quali bancario, assicurativo, sanitario, farmaceutico, ma anche automotive o GDO; alle misure organizzative e ai controlli previsti in ambito 231 (che talvolta rischiano di sovrapporsi a quelli previsti dal GDPR); ai controlli sui sistemi di gestione della sicurezza delle informazioni previsti dalla ISO/IEC 27001:2017, o sul sistema di gestione della qualità della ISO 9001:2015 o altre norme volontarie.
Alcune delle strutture o della documentazione o dei controlli previsti in questi diversi ambiti, ancorché destinati a scopi differenti, rischiano a volte di creare inutili ed ingestibili duplicazioni e sarebbero meglio gestiti adottando un approccio integrato.
Un team DPO a configurazione variabile
Non dimentichiamo infine che, oltre alle attività ricorrenti, il team DPO dovrà essere attrezzato per supportare il Titolare anche di fronte ad eventi non pianificabili come, ad esempio, le richieste di esercizio dei diritti da parte degli interessati; il verificarsi di un incidente di sicurezza che potrebbe configurarsi (o meno) come un data breach; o la gestione di un’ispezione dell’Autorità Garante. Tutti eventi che rischiano di travolgere la routine delle strutture preposte alla gestione delle attività correnti.
Reperire risorse aggiuntive temporanee all’interno dell’organizzazione potrebbe essere difficoltoso. In quest’ottica, potrebbe rivelarsi più efficiente il ricorso ad un team DPO esterno, con risorse qualificate che all’occorrenza rispondono su chiamata, affiancandosi a quelle dedicate.
Contributo editoriale sviluppato in collaborazione con P4Ihub
