Il ruolo fondamentale del Data Protection Officer nell’empowerment del personale
Il coinvolgimento del personale autorizzato all’accesso ai dati personali e allo svolgimento delle operazioni di trattamento è un fattore critico di successo per le strategie di compliance GDPR, che diventa ancora più evidente nel momento in cui l’organizzazione è data-driven o altrimenti si giova sul mercato per una relazione di affidabilità con la propria persona target.
A nulla serve infatti proclamare “We care about your privacy” se poi vengono a mancare anche i riscontri più elementari a fronte di una semplice richiesta di chiarimento – o anche di esercizio di diritto – presentata da parte dell’interessato, o se la gestione della sicurezza è destinata ad essere cristallizzata all’interno di documenti i cui contenuti sostanziali restano noti o comprensibili solamente a pochi esperti.
Ciò non significa ovviamente che ciascuno degli operatori debba essere un esperto di privacy e security, ma che in relazione alla propria posizione sia reso consapevole almeno di tre cose: quali sono le politiche predisposte dall’organizzazione e gli obiettivi; in che modo può contribuire alla realizzazione di tali politiche attraverso i propri comportamenti; quali sono le conseguenze (e responsabilità) del discostamento dalle istruzioni ricevute.
Un ruolo fondamentale viene di conseguenza giocato dall’empowerment, poiché è proprio nella condivisione responsabile degli obiettivi che si realizza quel processo di crescita personale e professionale per gli operatori. Uno dei principali attori che più può contribuire all’attuazione di questo tipo di strategie in veste di facilitatore è certamente il Data Protection Officer.
Tale funzione riassume infatti fra i propri compiti tanto quello di informare e fornire consulenza al personale che svolge operazioni sui dati personali, quanto quello di sorvegliare le politiche di attribuzione di responsabilità, sensibilizzazione e formazione. Inoltre, grazie alla propria posizione che consente un’interlocuzione diretta con i vertici dell’organizzazione, può sia segnalare o suggerire autonomamente correttivi da applicare tanto alle strutture di alto livello (cc.dd. HLS) quanto alle declinazioni operative delle stesse, sia rilevare criticità raccogliendo direttamente il feedback da parte di quegli stessi operatori che sono i primi destinatari delle procedure o istruzioni operative predisposte in materia di protezione dei dati personali.
La funzione pivotale del DPO si esprime inoltre in tale ambito anche nel contribuire ad evitare tutte quelle situazioni paradossali del personale istruito che assiste alla sistematica violazione dei propri diritti, potendo agire come punto di contatto interno per gli operatori in quanto interessati e, soprattutto, assicurando il mantenimento del carattere segreto e riservato delle comunicazioni ricevute, come da previsione dell’art. 39 par. 5 GDPR.
Condizione necessaria ma non sufficiente perché avvenga tutto questo è però che ruolo, compiti e responsabilità del Data Protection Officer vengano adeguatamente presentate e diffuse all’interno dell’organizzazione.