DPO e soft skill: i consigli per una scelta compliance del Data Protection Officer

La designazione di un Data Protection Officer (DPO) richiede un’attenta analisi delle conoscenze, competenze e abilità del soggetto che s’intende nominare, affinché egli possa svolgere efficacemente la propria funzione nell’organizzazione del titolare o del responsabile del trattamento: in ragione dell’elevata professionalità richiesta da tale figura si rende dunque necessario valutare anche le soft skill, alcune delle quali sono indicatori di idoneità per lo svolgimento di tale ruolo.

Scelta e valutazione del DPO fra hard skill e soft skill

La conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, così come da indicazioni dell’art. 37 par. 5 GDPR, è un criterio necessario ma non sufficiente affinché un Data Protection Officer possa essere valutato come idoneo allo svolgimento di tale incarico da parte di un titolare (o responsabile) del trattamento che intenda procedere alla designazione.

Nell’ottica dell’individuazione di quelle evidenze utili alla rendicontazione degli adempimenti (per meglio dire: delle motivazioni delle scelte^[1]) da parte del titolare del trattamento, le qualità professionali richieste dalla norma sono delle hard skill facilmente rilevabili, in quanto consistono in un set di conoscenze e competenze tecniche spesso attestate o comunque frutto di comprovato addestramento e/o esperienza.

Questione più complessa per chi procede alla designazione è, invece, definire e verificare se il Data Protection Officer individuato è in possesso della «capacità di assolvere i compiti di cui all’articolo 39» citata dalla norma^[2]; in tale sede di scelta e valutazione le soft skill assumono un ruolo particolarmente rilevante^[3].

Soft skill del DPO dalle indicazioni del GDPR

Nell’impianto normativo del GDPR è possibile individuare le principali soft skill richieste per lo svolgimento del ruolo del Data Protection Officer. Nello specifico, l’analisi degli articoli 38 e 39 GDPR, relativi alla posizione e ai compiti del Data Protection Officer, consentono di estrarre alcuni criteri di valutazione utili a chi intende procedere alla designazione.

In tale prospettiva di analisi, soffermandosi innanzitutto sulla posizione di tale figura all’interno dell’organizzazione, il suo coinvolgimento nelle questioni riguardanti la protezione dei dati personali^[4] è certamente un obbligo in capo al titolare (e al responsabile) del trattamento, ma trova una necessaria rispondenza nella capacità, da parte del Data Protection Officer, di iniziativa e di porsi in modo proattivo e positivo per l’organizzazione.

Essere percepito come parte integrante e fondamentale dei processi aziendali – e non come ostacolo o un impedimento – è una condizione ineliminabile affinché si possa ottenere un idoneo coinvolgimento, sia nei tempi (e dunque: tempestivo e preventivo rispetto all’attuazione di scelte strategiche) che nelle modalità (interagendo direttamente con il decision-maker).

Secondo il medesimo ragionamento, dunque, al conseguente obbligo per il titolare o il responsabile di allocare risorse adeguate per rendere il Data Protection Officer in grado di assolvere in modo efficace i propri compiti^[5], contestualmente garantendone una posizione di indipendenza funzionale^[6], non possono che corrispondere sia una capacità di gestione di progetti e strategie che una propensione ad un miglioramento continuo espresso sia nell’aggiornamento della propria formazione che nel consolidamento e sviluppo del proprio ruolo all’interno dell’organizzazione.

Dalla norma emergono come ricorrenti in più punti, inoltre, le capacità comunicative. L’attività di reporting ai vertici aziendali^[7] richiede, difatti, la predisposizione di un modello di comunicazione efficace; stesso skill è richiesto nello svolgimento della funzione di punto di contatto per gli interessati^[8] relativamente alle questioni riguardanti il trattamento dei dati personali e l’esercizio dei corrispondenti diritti.

Nell’ottica dei rapporti con gli interessati, la capacità di gestione dei conflitti, di negoziazione e di problem solving sono elementi particolarmente rilevanti anche al fine ulteriore di contribuire al miglioramento del sistema di gestione della protezione dei dati adottato dall’organizzazione in riscontro di eventuali evidenze di non conformità o inefficienze individuate o segnalate.

Procedendo ulteriormente e andando ad analizzare i compiti del Data Protection Officer, la capacità di comunicazione è essenziale anche per fornire consulenza e informazione in merito agli obblighi derivanti dalla normativa in materia di protezione dei dati e pareri sugli adempimenti svolti^[9], non solo nei confronti degli apicali o dei referenti di funzione ma anche nei confronti di tutti gli operatori coinvolti nelle operazioni di trattamento.

La promozione della sensibilizzazione e formazione del personale e l’attribuzione dei ruoli e delle responsabilità^[10], infatti, integrano lo svolgimento dell’attività di sorveglianza e sono anche un elemento di rafforzamento delle misure organizzative adottate per garantire sia la conformità che la sicurezza delle attività di trattamento dei dati personali.

Una linea comunicativa, comunque sia essa espressa (mediante circolari aziendali, comunicazioni in bacheca, eventi in aula o e-learning, report ecc.) richiede un’attenta valutazione della forma e delle modalità di esecuzione, nonché un atteggiamento coinvolgente e positivo che, unito ad una capacità di leadership e di organizzazione di gestione dei team (siano essi incaricati, soggetti designati o soggetti che supportano operativamente la funzione del DPO), genera quella partecipazione e coinvolgimento del personale richiesti sia dalla norma che dalle misure di sicurezza organizzative (i.e. attribuzione di ruoli, responsabilità e autorità).

Per assolvere alla funzione di punto di contatto con l’autorità di controllo^[11], invece, le soft skill essenziali che si possono derivare dalle norme non possono che consistere in una forte etica professionale e nella capacità di collaborazione e gestione delle criticità in caso di reclami, verifiche, ispezioni, notifiche di data breach o consultazione preventiva.

Il pensiero strategico, criterio essenziale per lo svolgimento dei compiti del Data Protection Officer, viene espressamente richiamato dall’art. 39 par. 2 GDPR, ai sensi del quale:

«Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.»

Soft skill del DPO dalle indicazioni della norma UNI 11697:2017

Anche la norma UNI 11697:2017, fra le abilità richieste per la valutazione del profilo professionale di certificazione volontaria della figura di Data Protection Officer, individua alcune soft skill (§5.1 UNI 11679:2017).

Fra queste ne emergono alcune già citate, in quanto consistono in un precipitato diretto del GDPR. Le capacità di analisi, pianificazione e organizzazione altro non sono che gli strumenti principali per espletare la funzione di sorveglianza, così come l’autosviluppo, l’iniziativa e la programmazione contribuiscono a garantire lo svolgimento dei compiti in una posizione di indipendenza funzionale. Parimenti le capacità comunicative, di gestione dei conflitti, di negoziazione e di pensiero prospettico contribuiscono a loro volta al corretto assolvimento dei compiti di cui all’art. 39 GDPR.

La norma UNI 11697 individua però ulteriori abilità quali, ad esempio, la gestione e il controllo dello stress, la tenacia e la capacità di convincimento. Tali indicazioni sembrano funzionali all’obiettivo di superare non soltanto eventuali obiezioni provenienti dall’esterno (principalmente: interessati o autorità di controllo) ma soprattutto dall’interno (management aziendale ed operatori) al fine di agevolare quell’integrazione della funzione del Data Protection Officer con l’organizzazione del titolare o del responsabile che è indispensabile per il corretto funzionamento del ruolo.

Conclusioni

Sebbene la funzione del Data Protection Officer sia essenzialmente di sorveglianza e controllo, questa non può (né tantomeno deve) essere percepita da parte dell’organizzazione come “estranea” o di disturbo affinché possa efficacemente contribuire al miglioramento del sistema di gestione della protezione dei dati o ricevere correttamente i flussi informativi necessari all’assolvimento della propria funzione.

Per tale motivo, e per superare le naturali resistenze al cambiamento dell’assetto organizzativo, sono necessarie alcune competenze trasversali in grado di consentire comunque l’attuazione delle prescrizioni della norma senza generare conflitti (evitando così costi operativi e strategici) potendo contribuire a soddisfare le esigenze dell’organizzazione conformemente ad un’efficace strategia di data protection.

Per quanto evidenziato, dunque, è necessario considerare nella procedura di selezione e valutazione del Data Protection Officer non soltanto le hard skill ma anche una serie di soft skill anche adeguatamente riferite al contesto operativo delle attività di trattamento svolte.

In tal modo l’inserimento di tale figura all’interno della struttura organizzativa, tanto nell’ipotesi di consulente esterno che di un dipendente, può avvenire a garanzia del corretto ed effettivo svolgimento della funzione così come definita dal GDPR nei propri tratti sostanziali.

NOTE

1. come prescritto dall’art. 24 GDPR e dal principio di responsabilizzazione/accountability. ↑
2. art. 37 par. 5 GDPR. ↑
3. Un utile approfondimento sulle soft skill. ↑
4. art. 38 par. 1 GDPR. ↑
5. art. 38 par. 2 GDPR. ↑
6. art. 38 parr. 3 e 6 GDPR. ↑
7. art. 38 par. 3 GDPR. ↑
8. art. 38 par. 4 GDPR. ↑
9. art. 39 par. 1 lett. a) e c) GDPR. ↑
10. art. 39 par. 1 lett. b) GDPR. ↑
11. art. 39 par. 1 lett. d) e e) GDPR. ↑