Non tutti i Professionisti della materia sono consapevoli dell’importanza di ulteriori requisiti e competenze trasversali necessarie al proprio ruolo per la piena realizzazione dei modelli organizzativi privacy e la crescita della cultura della responsabilità nella protezione dei dati personali nelle imprese.
Più di un anno fa la corsa di Consulenti e Professionisti Privacy a candidarsi nelle aziende che ai sensi del Regolamento UE 2016/679 risultano soggette alla nomina di questa nuova figura di Data Protection Officer (RDP). Molte realtà hanno invece optato per assegnare questo ruolo in organico a soggetti già esercenti altri ruoli all’interno dell’organizzazione: risorse appartenenti all’Ufficio Legal o già Privacy Officer o CIO o HR Manager, o ancora HQSE Manager, ecc.).
Con riferimento al Regolamento, alle linee guida WP29, il DPO risulta essere di fatto:
In questi ultimi mesi alcune aziende hanno ricevuto le dimissioni da parte di DPO esterni e da DPO interni.
Il fenomeno si rintraccia in diverse cause più o meno dichiarate nei recenti seminari/incontri organizzati in occasione di corsi di aggiornamento universitari, istituzioni e associazioni di categoria.
In sintesi le motivazioni più o meno dichiarate che hanno indotto DPO a dimettersi o a rinunciare a rivestire tale ruolo si ravvisa per lo più nelle seguenti cause:
Titolari, Responsabili dei Trattamenti e spesso gli stessi DPO non sempre hanno valutato attentamente la reale portata dell’impegno se adeguatamente esercitato; spesso non hanno preso in considerazione che il ruolo richiede un bagaglio di competenze extra-curriculari e di attitudini che il DPO deve necessariamente possedere: le soft skills del DPO.
Al pari di altre figure manageriali o consulenziali, il DPO deve conoscere tecniche di comunicazione efficaci e soprattutto capacità di ascolto attivo e coinvolgimento delle persone. Emergono soprattutto:
In definitiva il DPO deve possedere, oltre alle competenze specifiche proprie della professione (acquisite sia attraverso corsi specialistici, aggiornamenti, confronti ed esperienze in campo) tutte quelle indispensabili soft skill senza le quali la sua figura risulterebbe poco efficace nelle organizzazioni se non addirittura solo un ruolo formale!
In più il Regolamento UE 2016/679 sulla Protezione dei Dati delle persone continuerebbe ad essere percepito nelle organizzazioni come l’ennesimo adempimento normativo che impone nuove procedure “astratte”, burocrazia, appesantimento delle attività quotidiane e di business, tuttavia un obbligo perché suscettibile di sanzioni economiche (e non solo) se non ottemperato.
La mission del DPO è anche quella di agire per un vero proprio Change Management in materia di Privacy: una reale opportunità di crescita e sviluppo della cultura aziendale e dei dati personali quale parte integrante della mission e degli obiettivi dell’organizzazione.
Nella mia personale esperienza quale DPO di società di servizi alle imprese, Farmacie e aziende socio-sanitarie partecipate, ho compreso fin da subito l’importanza del coinvolgimento attivo delle risorse umane nell’analisi dei rischi e nelle misure di mitigazione opportune nei diversi contesti organizzativi: le risorse umane sono i soggetti primi che forniscono le informazioni più puntuali sull’operatività del proprio ufficio rispetto al trattamento dei dati. Sono spesso il front-office con gli Interessati e hanno bisogno di “sentirsi valorizzati”. La formazione o meglio l’istruzione dei Delegati e Autorizzati come indicata dal Regolamento UE 2016/679 risulta più efficace se condivisa e operata in campo (training on the job); l’ascolto della persona è fondamentale per instaurare un clima positivo, di fiducia e cooperazione. La governance è in questo modo meglio assicurata: l’accountability (il dovere di rendere conto) è vissuta come partecipazione attiva alla protezione delle persone, dei loro diritti e delle loro libertà a prescindere che si tratti degli stessi lavoratori o degli stakeholder dell’azienda.
E’ molto gratificante riscontrare tale cooperazione nei team e negli uffici e constatare di aver quelle proporzionate condizioni che rendono l’applicazione delle misure e delle procedure parte integrante della vita lavorativa delle persone e dei valori aziendali.
L’attività del DPO è un working in progress per l’adeguamento e miglioramento continuo dell’organizzazione, così come il coaching e il team coaching con i referenti all’interno delle strutture non può mai mancare.
Raffaella Sella – Risk Manager – Privacy Consultant – DPO ori az