Consulente GDPR: chi è, cosa fa e come sceglierlo
3 Agosto 2020 in DPO as a Service
Per trattare i temi della privacy non ci si può improvvisare. Sono necessarie infatti competenze legali, di security, di organizzazione e gestione. Un consulente GDPR è la figura più appropriata per supportare un’organizzazione sui temi della protezione dei dati personali. Raramente, infatti, un unico dipendente dell’azienda potrebbe avere le stesse competenze in ambito multidisciplinare e la stessa autonomia rispetto al contesto dell’organizzazione.
Cosa deve saper fare il consulente GDPR
La tutela dei dati personali richiede la conoscenza e applicazione dei criteri e misure di sicurezza finalizzate alla data protection quali ad esempio la determinazione della minima quantità di dati necessaria ad un qualunque trattamento, per evitare di considerare più dati dello stretto necessario (Privacy by Default) e salvaguardia della privacy come prerequisito di qualsiasi gestione dei dati personali.
Vediamo in dettaglio quali sono quindi le capacità che un consulente GDPR che voglia ricoprire il ruolo di DPO dovrebbe possedere per supportare il Titolare del trattamento per il migliore approccio possibile nella gestione dei dati personali.
Consulente GDPR e normativa
Il General Data Protection Regulation (GDPR) UE 2016/679 è la normativa di riferimento che disciplina la gestione dei dati personali. Il Regolamento si applica a tutti i dati personali, per i quali occore preservare la Riservatezza, Integrità e Disponibilità (RID) durante il loro trattamento, per evitare che possano essere sottratti fraudolentemente ed utilizzati per scopi illeciti.
Per garantire che il Titolare del trattamento effettui le scelte corrette il GDPR ha istituito una figura consultiva e di controllo che supporti e assista il Titolare nelle scelte di approccio dei progetti esistenti e futuri che coinvolgano dati personali: il Data Protection Officer (DPO). Questa figura può essere ricoperta da un consulente GDPR.
Competenze e skill del DPO
L’articolo 39 che disciplina i compiti e le responsabilità del DPO specifica il perimetro delle sue attività per la tutela della privacy, comprese le misure di sicurezza necessarie a tutelare i dati in ogni momento durante il loro trattamento. Necessariamente quindi, la conoscenza della normativa vigente su queste tematiche e a corredo l’insieme delle linee guida e sistemi certificativi per l’applicazione della sicurezza informatica nel contesto di mercato e dominio dell’organizzazione, devono essere nel bagaglio di conoscenze del DPO. Non di meno, anche competenze di tipo tecnologico si rendono necessarie per valutare le modalità di implementazione delle misure di sicurezza disciplinate nell’articolo 32 e per comprendere le conseguenze di un incidente da segnalare secondo specifiche procedure (articoli 33 e 34). La conoscenza e valutazione del rischio e degli impatti (Data Protection Impact Analysis – DPIA) è un’ulteriore capacità che dovrebbe rientrare nelle competenze del consulente che ambisca a ricoprire il ruolo di DPO. Infatti, sebbene il DPO non debba effettuare direttamente queste analisi, deve saper leggere le risultanze di queste evidenze facendo “correggere il tiro” qualora noti imprecisioni, metodologie errate o dati incoerenti. Infine, la comprensione dei processi aziendali e la capacità di analisi critica per evidenziare elementi critici per la tutela dei diritti degli interessati costituiscono un ulteriore elemento utile.
Cruciali sono le skill di autonomia richieste dal ruolo, la capacità di pianificare e organizzare, il continuous learning. In ultimo le soft skill sono necessarie per curare la relazione con il cliente per cui avere capacità di comunicazione efficace, intelligenza emotiva, esperienze come team manager, e orientamento al problem solving insieme alle technical skills garantiscono una collaborazione proficua e duratura.
P4I – Partners4Innovation