Il DPO Sottovalutato: Una Minaccia Peggiore dell’Incompetenza IT, Ecco Perché

Quando il DPO si improvvisa IT e dintorni, è sicuramente un bel problema. Ma un problema ancora peggiore c’è nel momento in cui la figura professionale viene sottovalutata, con quel tremendo lastricato di eccheccivuole che è ancor peggiore di quello delle buone intenzioni che tradizionalmente conduce all’inferno. Nel caso dell’organizzazione, la confusione dei ruoli e delle funzioni è quella tempesta perfetta di una Direzione inerte (o ignorante) e di una serie di soggetti che mostrano una spiccata propensione all’esondazione.

Questo significa che il perimetro d’azione non è solo sfumato ma rischia di diventare terreno di continui conflitti, con una dialettica interna decisamente sub ottimale in cui lo svilimento delle competenze altrui solitamente si mescola con un continuo scarico di responsabilità. Ecco dunque che il DPO diventa un personaggio in cerca non solo d’autore ma di un ruolo vero e proprio, dal momento che manca una consapevolezza e un riconoscimento tanto in relazione alle competenze che all’apporto concreto nel miglioramento degli assetti dell’organizzazione.

Non è un caso raro che talvolta il ruolo del DPO venga sottovalutato sia per quanto riguarda l’aspetto delle competenze richieste che dell’apporto nei confronti dell’organizzazione (o, più precisamente, della data maturity). Con il naufragio di ogni buon proposito astratto di integrarlo all’interno dell’organizzazione, dal momento che manca non solo una comprensione del suo ruolo ma soprattutto anche il giusto riconoscimento.

Qualcuno potrà dirsi sorpreso, ma in fondo dal 2018 sono trascorsi soltanto 7 anni celebrativi del GDPR. Eufemisticamente parlando, ci sono ancora così tanti spunti di miglioramento senza contare le complicazioni che deriveranno dal Digital Omnibus.

L’importanza del riconoscimento.

Nell’attribuzione di ruoli e responsabilità, l’azione di riconoscimento da parte dell’organizzazione inizia con l’impegno della Direzione nel garantire la posizione e i presidi individuati dall’art. 38 GDPR. Motivo per cui una Direzione non consapevole è spesso la prima causa dell’inefficacia d’azione del DPO, con una designazione destinata a rimanere una mera formalità. A beneficio di chi accumula incarichi attendendosi un coinvolgimento minimo se non addirittura nullo, con buona pace di ogni garanzia per gli interessati in concreto.

Nel momento in cui l’azione del DPO è riconosciuta come apporto utile all’organizzazione, è possibile costruire sinergie e convergenze per il rafforzamento della data maturity. Evitando non solo una dispersione di risorse ma anche un impiego delle stesse divergente rispetto alla realizzazione di quegli obiettivi indicati dalla normativa in materia di protezione dei dati personali.

Certamente, questo richiede però un impegno anche da parte del DPO.

Il valore della proattività.

Sin dal momento in cui il DPO viene designato, è bene infatti che vada a chiarire (con la Direzione, ma anche con le ulteriori funzioni) il perimetro della propria operatività e, soprattutto, la propria capacità di intervento a vantaggio degli obiettivi dell’organizzazione. Per farlo, non sono sufficienti le sole hard skill ma è necessario che concorrano anche una serie di abilità trasversali, fra cui leadeship e comunicazione, fondamentali affinché l’apporto positivo possa trovare l’opportunità di realizzarsi. Altrimenti, anche il DPO più competente nella protezione dei dati personali, sarà percepito come un elemento non integrato o di disturbo.

Ovviamente la responsabilità per garantire la continuità d’azione è e rimane in capo all’organizzazione, la quale dovrà pertanto porre particolare attenzione a selezionare e verificare l’operato del DPO designato al fine di agevolarne la capacità di integrarsi.

Nel momento in cui invece si sceglie di avere solo un DPO sulla carta, di fatto si accetta il rischio non solo di vedersi contestata una violazione dell’art. 38 GDPR ma anche tutta la serie di violazioni che si sarebbero ben potute evitare attraverso il coinvolgimento adeguato e il corretto svolgimento di un’attività di sorveglianza.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Stefano Gazzella

Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Aree di competenza: Privacy, GDPR, Data Protection Officer, Legal tech, Diritti, Meme

Visita il sito web dell'autore