Quanto sanzionato dall’Autorità Garante del Lussemburgo è la naturale conseguenza di quanto disposto normativamente sulla figura professionale del Data Protection Officer, niente di più, niente di meno. La capacità di dimensionare efficacemente le competenze e le risorse adeguate a gestire – in ottica accountability – la Data Protection aziendale è uno degli obblighi indiretti ma fondamentali che qualunque Titolare del trattamento deve essere in grado di soddisfare.
Il primo equivoco dal quale è necessario uscire quando si discute delle abilità richieste per dare corpo e sostanza al ruolo di Data Protection Officer, è quello relativo all’esistenza di competenze fondamentali e accessorie, sottintendendo, il più delle volte, che un profilo squisitamente legale sia sufficiente o quasi per determinare la scelta e affidare il ruolo.
Nulla di più sbagliato: le prescrizioni del GDPR in ambito e le Linee Guida sulla figura del Data Protection Officer emanate dal WP29 e richiamate dal Garante del Lussemburgo per comminare la sanzione in oggetto, indirizzano proprio nella direzione di comprendere, attraverso l’analisi dei rischi e degli impatti e la mappatura dei trattamenti, la reale complessità aziendale sottesa al tema Data Protection e le conseguenti connessioni interdisciplinari che la gestione di tale tema comporta: competenze in ambito compliance (da non confondere con quelle legali, gli esperti di compliance sono fondamentalmente analisti di processo che si occupano di tradurre una prescrizione normativa all’interno di un’organizzazione aziendale), competenze in ambito sicurezza (cyber, fisica, organizzativa), competenze in ambito di continuità operativa e gestione di incidenti e crisi. Per questa fondamentale ragione, la normativa richiama esplicitamente la possibilità di trasformare un ruolo da individuale a condiviso, suggerendo, saggiamente, di gestire i temi GDPR per mezzo di un Data Protection Office, più che di un Data Protection Officer.
Il secondo equivoco dal quale è necessario uscire è quello per il quale sia preferibile – aziendalmente e normativamente – avere o formare (spesso sommariamente) competenze interne di gestione del tema che dare il servizio in outsourcing a realtà professionali, riconosciute dal mercato e dedicate. Questo assunto determina – soprattutto per le realtà aziendali medio-piccole – un dispendio ingiustificato di energie, risorse e capacità nella migliore delle ipotesi (cioè quando si vuole realmente garantire un presidio interno Data Protection Officer), oppure un servizio scadente e privo di reale efficacia.
In realtà spesso la scelta migliore, più efficace e flessibile (e, a determinate condizioni, caldeggiata anche dalla normativa vigente) è quella di utilizzare realtà esterne di consulenza in grado di dispiegare tutte le competenze necessarie (e come abbiamo visto non sono poche, né facilmente reperibili sul mercato) e garantire un servizio solido e basato sull’esperienza.
di Andrea Lambiase, Head of Management Consulting e Data Protection Officer di Axitea
