Attenzione al paradosso per cui non si può fare il DPO se non si ha già esperienza come DPO
L’obbligo di dotarsi di un Data Protection Officer (DPO) risale al 2018 e nel Paese dell’arabesco potremmo dire che è passato appena un battito di ciglia, ma gli adempimenti privacy e le relative figure professionali risalgono a ben prima.
Eppure, permane una confusione sin dal momento della selezione che poi inevitabilmente si traduce in imperfetti inquadramenti. Imperfetti non certo per mancanza di skill o competenze, bensì per una verticalizzazione che viene (e verrà) sempre più richiesta ai professionisti della privacy e che non può che essere inadeguata o venire a mancare nel momento in cui tali figure sono chiamati a svolgere innumerevoli altre funzioni.
Il rischio emergente è quello di una diluizione delle competenze e della rarefazione del tempo dedicato allo svolgimento dei compiti di data protection, con tutte le prevedibili conseguenze del caso. Che pagano le organizzazioni ma soprattutto gli interessati.
L’incertezza riguarda le figure senior e chiara evidenza è fornita nelle ricerche del personale da parte di aziende o anche in alcuni bandi pubblici e si va a moltiplicare in relazione alle figure junior per le quali spesso vengono richieste competenze ed esperienze incompatibili – o poco credibili - con la soglia massima dei tre anni d’esperienza lavorativa che le caratterizza.
Bisogna chiarire innanzitutto i requisiti di selezione di questi profili sin dal processo di selezione, per cui può essere utile per gli uffici HR o il recruiter consultare quelli del privacy manager o altrimenti del DPO per precisare ciò che può essere richiesto e soprattutto anticipare il percorso di formazione interno già nell’annuncio.
Ben diverse sono le sorti e i requisiti, infatti, di chi andrà collocato a ricoprire un ruolo con un focus sulla consulenza di gestione, o altrimenti sulle attività di audit o di supporto operativo all’implementazione e messa in opera delle misure di compliance.
(Nella foto: Stefano Gazzella, Consulente Privacy & ICT Law)
Nel caso di un ufficio del DPO, le Linee Guida WP 243 chiariscono che ciascuno dei soggetti del team debba soddisfare tutti i requisiti del GDPR indicando espressamente ad esempio che nessuno versi in situazioni di conflitto di interessi, in totale coerenza con il ruolo pivotale di garanzia per il rispetto della normativa e per la migliore tutela degli interessati secondo un approccio risk-based.
Quid juris per i requisiti di conoscenza e competenza? Al fine di non incorrere nel paradosso per cui non si può fare il DPO se non si ha previa esperienza come DPO, che si traduce in una situazione per cui la mancanza di esperienza nel ruolo comporta l’impossibilità di fare esperienza in detto ruolo, soccorre la previsione di quella “capacità di assolvere i propri compiti” la quale può trovare un’integrazione nel supporto e nelle risorse che l’organizzazione pone a disposizione della figura junior.
Ad esempio, con l’affiancamento di profilo senior che mantiene la titolarità della funzione di DPO delegando alcune attività ai membri del proprio ufficio.
E se questi sono i parametri e i criteri che possiamo ritrovare per l’emblematica figura del DPO, ben venga adeguarli con tutti gli adeguamenti e le declinazioni del caso, ad altri professionisti della privacy che vorranno svolgere la propria azione strutturandosi come gruppo, coinvolgendo e facendo maturare profili junior.