Consulente Privacy

Il consulente privacy: “Carneade, chi era costui?”

Oggi ci occupiamo di quella figura professionale che, spinta da un improvviso tornado di Data Protection, ha fatto irruzione in aziende, web e social, destando la curiosità di tutti quelli che si trovano ancora spaesati nell’intricato mondo degli adempimenti richiesti dal GDPR: il consulente privacy.

Perché è necessario un consulente privacy

L’entrata in vigore del Regolamento Europeo per la protezione dei dati personali ha comportato la necessità per le imprese di adeguarsi ad una normativa settoriale, richiedente un alto grado di specializzazione.

È per questo che occorre rivolgersi a professionisti muniti di competenze profonde e trasversali, che gli consentano di analizzare a 360 gradi la realtà aziendale per poter predisporre un sistema, univoco e coerente, di piena compliance ai dettami normativi.

Ma quali sono le necessarie competenze interdisciplinari che un consulente privacy deve possedere?

Formazione: il livello di preparazione di un consulente privacy

Ci sono due aree di conoscenze dalle quali non si può prescindere: una solida preparazione giuridica ed un buon background di nozioni informatiche.

Il Regolamento Europeo è, infatti, una normativa che detta disposizioni, stabilisce adempimenti obbligatori ed enuncia principi generali da osservare.

La formazione giuridica rappresenta una base fondamentale per ottenere una conoscenza approfondita della materia e per poter interpretare correttamente i dettami normativi. Occorre comprendere i princìpi del trattamento, analizzare i fondamenti di liceità e le condizioni di legittimità delle specifiche operazioni. Solo in questo modo è possibile assicurare che tutte le attività svolte dall’azienda siano conformi alla legge sulla privacy.

Non solo attività ermeneutica, ma anche norme contrattuali. Il consulente privacy deve, infatti, curare la predisposizione e la negoziazione di termini e condizioni del contratto, predeterminando la definizione degli obblighi e la ripartizione delle responsabilità tra i soggetti.

Ma allora è sufficiente un solido background legale? Non proprio.

Il GDPR non è una norma statica che ci impone di parlare “legalese” e di muoverci entro rigidi confini predefiniti.

Le competenze tecniche ed informatiche

Elemento imprescindibile è una buona integrazione delle competenze, soprattutto con quelle di tipo tecnico ed informatico.

Un buon consulente privacy ha il compito di individuare i rischi connessi a ciascuna attività di trattamento ed implementare misure tecniche ed organizzative a tutela dei dati personali e particolari degli utenti. Tali misure di sicurezza assicurano una riduzione dei rischi connessi alle attività svolte e determinano un livello di tutela proporzionato all’invasività ed alla tipologia di trattamento che viene effettuato.

Per raggiungere questo obiettivo, è necessaria una discreta preparazione sia di tipo tecnico-organizzativo che di tipo IT.

La tutela dei dati personali passa attraverso una buona combinazione di misure che investono tanto i processi implementati quanto gli strumenti utilizzati. Una buona conoscenza del sistema di sicurezza delle informazioni svolge un ruolo determinante al fine di svolgere un’adeguata analisi degli asset e delle vulnerabilità, da cui far discendere l’applicazione di standard e best practice.

Occorre, infatti, avere competenze che consentano di valutare i sistemi, gli strumenti e gli applicativi informatici utilizzati in azienda. Conoscere i rischi connessi all’uso di determinati sistemi tecnologici ed adottare le opportune cautele sono due momenti essenziali della predisposizione di un sistema privacy adeguato.

Allo stesso modo, non va trascurata la cura dei risvolti pratici delle attività di tutti i soggetti che, nel loro lavoro quotidiano, trattano i dati per conto del Titolare.

È anche attraverso la previsione di adeguate procedure operative che si cura il momento dinamico del ciclo vitale del dato personale.

L’integrazione delle competenze: i percorsi di specializzazione

Le implicazioni connesse al trattamento dei dati personali determinano problematiche che appartengono a molteplici ambiti settoriali. Per affrontarle è necessario riuscire ad integrare, in modo flessibile e complementare, le varie competenze settoriali.

È per questo che la conoscenza di un consulente privacy deve essere ad ampio spettro e ricevere le opportune integrazioni da percorsi formativi specifici.

Non ci si riferisce solo ai “classici” corsi di formazione inerenti la legge sulla privacy, ma anche a percorsi di specializzazione che mirano a fornire competenze relative alla normativa dei sistemi di gestione ed analisi dei rischi.

Si tratta di percorsi essenziali per raggiungere un profilo professionale che consenta di rivestire la qualifica di DPO (Data Protection Officer) per le aziende che ne necessitano; figura cui sono richiesti una serie di requisiti volti ad assicurare l’effettiva capacità di ricoprire un ruolo così delicato all’interno di un sistema privacy.

Requisiti, che vengono valutati anche da specifici enti che svolgono un’attività di certificazione della figura professionale di DPO per valutarne la rispondenza a determinati standard, quale quelli definiti dalla norma UNI 11697:2017.

Solo norme e conoscenze tecniche? La cultura aziendale

Il lavoro del consulente privacy parte dal concreto, da una realtà aziendale e dalle persone che la compongono.

È per questo che si pone come essenziale la capacità di analizzare i processi e le funzioni aziendali che ne sono coinvolte, cioè di comprendere concretamente come funzioni una società.

Occorre che il professionista abbia ben chiaro come sia strutturata un’azienda, che abbia una certa familiarità con la ripartizione delle competenze in un ecosistema complesso e sia in grado di schematizzare le diverse attività svolte, individuando le correlazioni che ci sono tra le stesse.

L’esperienza maturata in contesti aziendali permette di acquisire quel know-how che consente al consulente privacy di confrontarsi con le necessità della macchina aziendale.

Un buon consulente deve sapere quali domande porre e a quali funzioni; e deve avere piena coscienza di come interfacciarsi con i soggetti apicali per trovare congiuntamente soluzioni che soddisfino le esigenze dell’impresa.

Carattere: le doti personali del consulente privacy

La realtà quotidiana pone sempre l’azienda davanti a nuovi obblighi e nuove sfide, sulla spinta di interessi confliggenti. È per questo che le doti organizzativo-relazionali e la capacità di problem solving svolgono un ruolo determinante nella scelta della figura alla quale affidarsi.

Un buon consulente privacy è in grado di agire con riservatezza e comunicare adeguatamente per raggiungere un punto d’incontro che contemperi tutti gli interessi.

Allo stesso modo rileva l’abilità di trasmettere le proprie conoscenze in forma semplice e chiara per i soggetti operanti, che sono estranei alla materia. Far comprendere l’importanza delle implicazioni e spiegare le motivazioni di determinate scelte, aiutano ad alimentare un clima di collaborazione e progresso finalizzato alla configurazione di un sistema in continuo miglioramento.

A completare il quadro devono esser presenti ottime capacità di iniziativa e di progettazione. Il consulente privacy guarda in un’ottica prospettica, che mira allo sviluppo progressivo passando attraverso un’ottimale gestione dei conflitti. Previsione, pianificazione e programmazione costituiscono doti personali che forniscono un essenziale valore aggiunto al professionista privacy.

A tutto ciò va aggiunta una forte motivazione ed un ardente interesse al continuo aggiornamento professionale, elemento nodale in un settore in continuo mutamento che si trova ad affrontare le sfide dell’era tecnologica.