Il DPO come figura trasversale
28 Settembre 2022
Partiamo da un concetto: il DPO non dovrebbe essere visto come il professionista ultra specializzato in uno specifico campo altrimenti il rischio è che non sappia guardare oltre i limiti delle sue competenze, ma viva all’interno di un ecosistema chiuso e sia impreparato ad eventi che esulano dal proprio seminato.
È una risorsa per l’azienda e quanto più è parte del suo tessuto tanto più sarà in grado di decifrarne criticità e debolezze. La sua abilità sta anche nella capacità di rapportarsi con le diverse realtà, siano esse multinazionali, enti pubblici o piccoli studi professionali. Deve saper portare le sue conoscenze all’interno di esse e diffonderle in modo comprensibile agli incaricati: solo così si otterrà il risultato atteso. Non dirmi solamente cosa recita l’articolo della norma, dimmi in concreto cosa mi consigli di fare…
Dobbiamo quindi interpretarlo in una veste più dinamica e flessibile, che sia integrato con l’organizzazione per cui ha la nomina e possa guidarla come una nave verso il porto tranquillo della compliance.
Ovviamente la figura del DPO nasce col GDPR. Durante il cammino incrocia anche una serie di aspetti che interagiscono con il flusso delle informazioni da gestire altrettanto correttamente.
Non si può più pensare che l’area legale, quella IT o le risorse umane siano comparti separati che non si parlino. Banalmente, quando il responsabile HR riceve un curriculum via mail, ci sarà (o dovrebbe esserci) una procedura che ne definisca il percorso all’interno dell’azienda: a chi va inoltrato, dove viene salvato, quando deve essere cancellato…
Un trattamento di secondo piano come nel caso in esempio, non perché di serie B ma probabilmente marginale al core business aziendale, vede già intrecciarsi legge privacy, cybersecurity e norme ISO. Figuriamoci tutto il resto.
Il DPO che vorrei
Ed ecco la bravura del DPO nel saper attingere dalle diverse discipline per estrarne un mix da applicare alla protezione dei dati personali in oggetto. Il suo compito più delicato è quello di consigliare il Titolare sulle corrette modalità di trattamento e, partendo dall’analisi del trattamento stesso, valutare l’impatto che può derivare dall’uso di un determinato software piuttosto che quello legato alla stesura di una procedura da seguire.
Può proporre attività di vulnerability assessment o penetration test, porre attenzione sulle tecniche di phishing, saper valutare la resilienza dell’infrastruttura informatica e mappare tutti i processi attraverso procedure mutuate, perché no, dalla ISO 27001.
È concezione errata quella di alcune aziende che vedono nel DPO una figura accessoria o, peggio ancora, di ostacolo nello svolgimento delle attività perché si “permette” di dire che il modo in cui si sta eseguendo un trattamento di dati personali non è conforme al GDPR. Sia chiaro, l’ultima parola spetta al Titolare che si assume la responsabilità delle scelte compiute, ma è proprio in virtù delle competenze trasversali (più sono, meglio è) del Responsabile Protezione Dati che spesso si evitano incidenti che potrebbero portare a violazioni e conseguenti notifiche/segnalazioni alle autorità.
Insomma, paragonandolo alle figure mitologiche di un tempo, una chimera formata da uomo, consulente e tecnico.
