L'entrata in vigore del GDPR si avvicina e le aziende stanno rendendosi conto di quanto la normativa impatti sull'organizzazione dei processi interni e non sia semplicemente cosa "da tecnici". Come, purtroppo, in passato sono state affrontate molte altre norme legate alla privacy e alla protezione delle informazioni. Uno degli aspetti che riflettono più chiaramente questa impostazione è la figura del Data Protection Officer, assente nelle normative precedenti e invece assai "presente" nella filosofia del GDPR.

Al Data Protection Officer - in italiano "responsabile della protezione dei dati" - sono dedicati gli articoli 37 (Designazione del responsabile della protezione dei dati), 38 (Posizione del responsabile della protezione dei dati) e 39 (Compiti del responsabile della protezione dei dati) del GDPR. Viene spontaneo considerare solo l'ultimo articolo per capire quale sia il suo ruolo, ma gli altri contengono indicazioni anche più importanti per valutarne il peso organizzativo.

Un primo elemento che farà tirare un sospiro di sollievo alle piccole-medie imprese è che il DPO va "sistematicamente" designato ma non deve necessariamente essere un dipendente. Anzi, data la complessità del suo compito è assai probabile che moltissime imprese, e non solo piccole, si rivolgano a Data Protection Office esterni che abbiano tutte le competenze necessarie. Questo però non vuol dire che il DPO lo si nomini e poi ci si dimentichi di averlo, è anzi una figura che deve interagire con l'azienda costantemente e ai massimi livelli.



Le grandi imprese e i gruppi di aziende prevedibilmente avranno un DPO interno, data l'importanza delle sue funzioni. Per queste grandi realtà il rischio principale è considerare il ruolo del DPO come una sorta di estensione del CSO o del CISO. Non è affatto così: non solo le competenze richieste sono più ampie, soprattutto è l'autonomia della figura che deve essere notevolmente superiore. Per certi versi anche a quella del CIO.

Il concetto principale che traspare dall'articolo 38 del GDPR è infatti una sorta di "terzietà" del DPO in quanto garante verso l'esterno di una corretta gestione delle informazioni. Per questo ad esempio il Data Protection Officer "riferisce direttamente al vertice gerarchico" dell'impresa (più correttamente del titolare o del responsabile del trattamento dei dati), non prende ordini da nessun altro manager, viene "tempestivamente e adeguatamente coinvolto" in tutto ciò che riguarda la protezione dei dati personali e deve ricevere tutte le risorse che servono a svolgere il suo ruolo.



Leggendo tra le righe del GDPR e considerando il precedente della Germania - unica nazione europea ad aver già definito tempo fa la figura del DPO - si capisce come questo ruolo sarà organizzativamente complesso per molte realtà. Non può essere assegnato ai manager "tecnici" (CISO, CSO...) ma nemmeno al CIO e men che meno a qualche responsabile di business. In più deve essere indipendente da questi e dialogare con la dirigenza, spesso indicando cosa va fatto e come. Non è, in sintesi, una figura "aggirabile" per comodità. E in molti casi potrebbe imporre obblighi che vanno contro la convenienza economica dell'impresa.

Un ruolo molto articolato

All'atto pratico il Data Protection Officer è una figura assai articolata che deve avere competenze tecnologiche, organizzative, legali e anche di mercato. Senza questi skill non può assolvere a tutti i compiti descritti nell'articolo 39 del GDPR. Perciò quasi sempre il DPO sarà nominalmente una persona singola ma operativamente un team di persone che assomma diverse competenze e che agisce guidato dal DPO "ufficiale". Agendo lungo tre direttrici principali.

Compliance - Il ruolo principale del DPO è garantire l'osservanza del GDPR e delle eventuali future norme collegate. Questo nella pratica significa un po' di tutto, dall'effettuare auditing periodici delle procedure collegate al GDPR per capire la loro efficacia - e agire eventualmente per migliorarla - sino a una funzione di impact e risk assessment costante. I sistemi IT che gestiscono le informazioni infatti nel tempo cambiano e il DPO deve valutare se e come qualsiasi modifica rilevante o evoluzione tecnica impatti sulla compliance al GDPR.



Informazione e formazione - Il DPO deve "informare e fornire consulenza" nei confronti di tutti coloro che trattano informazioni in azienda o per l'azienda. Deve in sostanza mettere queste figure in grado di capire come adeguare il proprio lavoro agli obblighi imposti dal GDPR. Va sottolineato che organizzativamente il DPO deve quindi "imporsi" su dipendenti o collaboratori che fanno capo ad altri manager o sono del tutto esterni all'azienda, compito che richiede un deciso supporto (indicato esplicitamente dal GDPR, come abbiamo visto) del top management.

Rappresentanza - Di fatto il DPO è il "volto" dell'azienda verso l'esterno per quanto riguarda la corretta gestione delle informazioni. Il GDPR evidenzia che questo ruolo di contatto e cooperazione si svolge soprattutto nei confronti dell'autorità di controllo, è prevedibile però che nella pratica si estenda anche a tutti gli altri interessati.

In sintesi, il ruolo del Data Protection Officer non può certo essere archiviato come quello di un controllore formale dei processi di gestione delle informazioni. In particolare, dal punto di vista dell'IT aziendale il suo raggio d'azione copre le tecnologie, la sicurezza, la parte legale e anche il rapporto dell'azienda con i suoi fornitori tecnologici, che indirettamente valuta. Anche in questo sta la portata innovativa del GDPR.