Essere GDPR compliant con un “team” di DPO
15 Giugno 2020 in DPO as a Service
Da quando, fra le condizioni per essere GDPR compliant, è emersa la possibile nomina del DPO, si è aperto un dibattito, fra gli addetti ai lavori, su quali caratteristiche e competenze dovesse avere questa figura. Sono emerse due scuole di pensiero: la prima che propendeva per una figura di tipo legale, con esperienza in normativa privacy, la seconda per un profilo tecnico, in grado di interpretare le misure di sicurezza e l’analisi del rischio.
I compiti del DPO coinvolgono diverse aree, spaziando dall’informazione e consulenza sull’evoluzione normativa connessa al regolamento europeo GDPR, sull’analisi del rischio e sulle misure di sicurezza, dalla tenuta dei registri dei trattamenti fino ad attività di sorveglianza e controllo, che prevede la pianificazione e l’esecuzione di audit.
Il regolamento GDPR non definisce una professionalità specifica ma richiede una conoscenza della normativa e dei tipi di trattamento specifici per l’azienda o il suo settore di appartenenza.
Riflettendo sui compiti del DPO, si arriva alla conclusione che dovrebbe essere una sorta di Superman che deve sapere e saper fare di tutto.
Per essere GDPR compliant non serve Superman
Per trovare una soluzione realistica non si dovrà cercare una persona con i super poteri ma si può ipotizzare un team multidisciplinare con una figura di riferimento, secondo quando stabilito dal GDPR.
L’organizzazione può dunque essere GDPR compliant sottoscrivendo un contratto di servizio per le funzioni DPO e comunicando il nominativo di riferimento al Garante che deve poter contattare direttamente una persona fisica.
Il team DPO dovrebbe avere al suo interno non solo competenze legali, informatiche, di sicurezza, su cui ormai tutti concordano, ma anche organizzative e di project management, spesso sottovalutate. Infatti, gran parte dell’attività di chi si occupa di privacy consiste nel definire, aggiornare e verificare procedure organizzative, che devono essere sostenute da un modello coerente. Le procedure non servono per capire cosa fare in caso di data breach, per consentire l’esercizio dei diritti degli interessati o come aggiornare i registri dei trattamenti, aspetti totalmente definiti dal GDPR. Le procedure aziendali servono invece per definire, in modo preciso e differenziato azienda per azienda, chi fa cosa e come, attraverso la definizione di ruoli e responsabilità, calati nelle procedure, sulla base di un modello organizzativo.
Anche i flussi informativi, necessari per tenere costantemente aggiornato il DPO, dovrebbero essere gestiti da qualcuno con competenze organizzative.
Per essere GDPR compliant, un team DPO che, oltre a informatici e analisti, preveda la presenza di persone con competenze organizzative (siano esse analisti di organizzazione, di processi, economisti, ingegneri gestionali etc), rappresenta dunque un valore aggiunto.
Inoltre, anche se l’attività del DPO è continuativa e ha le caratteristiche di un servizio più che di un progetto in senso stretto, prevede tuttavia scadenze (trimestrali, annuali, presentazione rapporto al Cda, audit, aggiornamento registri, etc.) che vanno rispettate e rendicontate. Entra allora in gioco la figura del project manager, per garantire non solo che le cose previste siano fatte bene ma per poter dimostrare di averle fatte, come richiede il GDPR, in termini di accountability. Non basta fare il piano di audit, redigere il remediation plan, fare il piano di formazione: a conclusione deve emergere l’audit report, presentato e approvato secondo la procedura prevista; le non conformità devono essere superate e il remediation plan applicato; la formazione eseguita e l’esito verificato.
Essere GDPR compliant grazie a un team DPO sempre disponibile
Il team DPO dovrebbe essere infine dimensionato non solo per l’operatività standard e le attività ricorrenti ma anche per eventi imprevedibili ed evenienze che, come un data breach o la gestione di un’ispezione, che potrebbero non verificarsi mai. In questa ottica un team Dpo esterno, con risorse qualificate che all’occorrenza rispondono su chiamata, potrebbe rappresentare un vantaggio, rispetto a un team interno, che comporterebbe un sovradimensionamento delle strutture aziendali.
Paolo Calvi – Data Protection Officer presso P4I – Partners4Innovation