Data Protection Officer, reputazione e credibilità anche grazie al ‘personal branding’
La recente iniziativa del Comitato Europeo (Coordinated Enforcement Framework - CEF 2023) con focus sul controllo del rispetto dei requisiti di cui agli articoli 37-39 del GDPR in merito alla designazione e la posizione dei Data Protection Officer offre lo spunto per una riflessione profonda sul ruolo effettivo dei DPO negli enti e nelle aziende. Finalmente, a cinque anni dall’entrata in vigore del Regolamento UE, si presenta l’occasione di testare la realtà in merito alla posizione ricoperta dai DPO, con l’auspicio che vengano varate linee guida e indicazioni concrete in merito alla posizione e all’inquadramento (anche contrattuale) degli stessi DPO nei contesti, anche privati, in cui essi operano.
L’indagine è volta a verificare che la posizione ricoperta dai DPO all’interno delle organizzazioni rispetti le previsioni del GDPR, e, in particolare, a verificare l’effettivo svolgimento delle attività demandate al DPO, la sussistenza delle risorse necessarie per lo svolgimento di tali compiti (ex art. 38, co. 2 del GDPR) e gli eventuali conflitti di interessi (ex art. 38, co. 6 del GDPR).
Oltre l’indagine “eterologa”: l’“autoanalisi” del DPO - Tuttavia, occorre chiedersi se, oltre all’indagine “eterologa” svolta dalle 26 autorità Garanti europee compreso l’EDPS, sia l’occasione per un’analisi più profonda delle organizzazioni e dei contesti, ovverosia della percezione che enti ed aziende ad oggi hanno (o meno) maturato relativamente a questo ruolo, indagando se e come da ruolo “artificiale” (come da alcuni definito) si sia effettivamente passati ad un ruolo effettivo e percepito come tale.
Ma chi conosce il DPO? In questo contesto, occorre chiedersi se il DPO sia stato effettivamente in grado di farsi conoscere e rendere noto il suo ruolo e i suoi compiti o piuttosto, chiuso nel suo inconsolabile isolamento, sia ancora intento ad autoflagellarsi senza speranza, in un vittimismo che non lascia spazio a soluzioni o cambiamenti.
Indubbiamente l’ambito data protection è considerato ad oggi ancora estremamente specialistico, la compliance privacy è ancora inesorabilmente percepita quale mera serie di adempimenti burocratici e molte volte addirittura come vero e proprio ostacolo allo sviluppo del business (si veda anche il recente sondaggio di Federprivacy sul punto). In questo senso siamo lontani dall’effettività del DPO come “Garante” interno che, operando in piena indipendenza e autonomia, supporta il business ed è percepito come fondamentale affinché l’ente sviluppi i propri piani e progetti in conformità alle normative vigenti e nel rispetto dei diritti inviolabili degli interessati.
Questa sembra a chi scrive l’occasione per i DPO di compiere una vera e propria “autoanalisi” su se stessi.
Le attività svolte dal DPO sono indiscutibilmente di media ed elevata (o elevatissima) complessità, richiedono competenze trasversali sempre più specifiche e dettagliate anche dal punto di vista tecnico e prevedono che il DPO sia in grado di collaborare con pressoché tutte le funzioni dell’organizzazione, nonché con l’Autorità di controllo.
Il DPO sembra quindi un vero e proprio mostro mitologico a più teste, in grado di sviscerare e risolvere le problematiche più disparate e complesse.
In tutto ciò, occorre tuttavia domandarsi se e in che misura il DPO sia riuscito a comunicare al Titolare, ai colleghi, ai collaboratori, ai fornitori esterni, l’effettiva portata del suo ruolo, l’importanza e la complessità dei progetti e delle questioni che deve affrontare ed evidenziare gli “output” della sua funzione. O se invece il tutto sia rimasto limitato ai soli “addetti ai lavori”.
Il compito in definitiva più difficile che il DPO è chiamato a fronteggiare è proprio quello di trovare la chiave per una comunicazione efficace del suo ruolo e delle attività svolte nei confronti delle altre funzioni e dei vertici aziendali. In questo lo sforzo di perdere la rigidità del giurista è sicuramente il primo passo per sposare le iniziative dell’organizzazione, ponendosi in un dialogo il più possibile costruttivo con le altre funzioni.
(Nella foto: Tania Orrù, Data Protection Officer di Brunello Cucinelli SpA)
In poche parole, l’uscita dall’isolamento in cui il DPO si trova spesso chiuso, probabilmente dipende anche da lui e forse è giunta l’ora di cambiare il paradigma e far sì che il riconoscimento del ruolo e la collocazione effettiva del DPO nell’organizzazione e nelle dinamiche aziendali, vengano favoriti e promossi dallo stesso DPO. Questo attraverso un percorso che, partendo da un’autoanalisi iniziale, arrivi all’autopromozione di se stesso, in una vera e propria operazione di “personal branding”. Se la montagna non viene a Maometto, forse c’è un motivo, insomma, ed esserne consapevoli potrebbe essere davvero un primo importante passo avanti verso la montagna.
Il DPO aiutato dal marketing - In questo capovolgimento, perché non farsi aiutare dalla scienza della comunicazione e del marketing? Sembra pienamente spendibile, infatti, il concetto espresso nell’articolo di Tom Peters (“The Brand Called You”, 1977), secondo il quale la propria reputazione e credibilità dipendono da quanto efficacemente si riesce a comunicare la propria competenza e a distinguersi dagli altri, determinando così la qualità del proprio lavoro.
Sviluppando una vera e propria strategia di marketing, il DPO potrebbe acquistare autorevolezza e costruirsi una reale (o meglio, realmente percepita) reputazione, dopo aver maturato una consapevolezza di sé e della propria identità (lavorativa). Anche il DPO in poche parole dovrebbe in primis chiedersi cosa comunica di sé (i.e. del suo ruolo) agli altri (i.e. alle altre funzioni, ai vertici, ai fornitori esterni, agli interessati).
Il linguaggio e la comunicazione degli output - In particolare, per essere identificati come persone competenti, affidabili e che costituiscono un plus per i meccanismi organizzativi e i progetti aziendali, il DPO dovrebbe riuscire a comunicarlo in modo efficace e con contenuti di oggettivo valore per l’ente, usando formule e linguaggi adatti all’interlocutore con cui si interfaccia, abbandonando la rigidità del giurista per collegarsi in modo sinergico alle altre funzioni. Dovrebbe offrire il suo supporto in ottica costruttiva ed evidenziarne la rilevanza; dovrebbe usare la diplomazia dell’abile negoziatore soprattutto quando è chiamato a rendere pareri “scomodi” o, peggio, negativi, comunicandoli però in maniera efficace e, quanto più possibile oggettiva ed offrendo alternative percorribili (nei limiti del possibile) alla funzioni coinvolte. Dovrebbe comunicare in modo altrettanto efficace i suoi “successi”, ogni qualvolta il suo supporto e la sua consulenza siano stati determinanti per l’ente, consentendo allo stesso di raggiungere un obiettivo strategico nel rispetto della legge e al riparo da rischi di sanzioni o reclami e portando magari ad un incremento della brand reputation dell’ente.
Altre azioni per contribuire efficacemente al proprio personal branding potrebbero essere ad esempio: creare dei flussi informativi periodici, ma differenziati, anche nel linguaggio, a seconda dell’interlocutore, fornendo ad esempio ai vertici informative essenziali ma interessanti a seconda del core business; fornire supporti periodici e soluzioni concrete alle altre funzioni per “sbloccare” dei progetti a seconda degli obiettivi più rilevanti e prioritari per l’ente; mettere a disposizione dei fornitori informazioni e strumenti utili (es. check list) per agevolare i rapporti e la stipula dei contratti di collaborazione.
L’importanza del network interno - Per essere autorevoli e credibili è poi fondamentale creare una rete interna di collaborazione con le altre funzioni. Per farlo non è necessario che gli altri siano in grado di decretare nello specifico le effettive competenze del DPO, ma è fondamentale che essi si fidino del DPO, ritenendolo persona competente ed affidabile nel suo campo, perché in grado di creare contenuti di oggettivo valore da mettere a disposizione delle altre funzioni e dell’organizzazione.
Il percorso formativo del DPO passa anche dalle soft skill - Per queste ragioni, sembra ragionevole pensare che sia opportuno ed utile includere nei percorsi formativi specialistici del DPO, anche corsi che aiutino lo stesso a costruire e consolidare il proprio ruolo nei confronti dell’organizzazione e delle altre figure che la compongono. Parimenti ad altre figure aziendali, anche i DPO non possono prescindere dal miglioramento di soft skill quali la comunicazione, il problem solving, il public speaking e, in generale, il “branding di se stessi”, il coaching, per avere l’opportunità di vivere effettivamente le realtà in cui sono collocati e non limitarsi al solo “sopravvivere”, ma vedersi riconosciuti e considerati.
Ben vengano quindi le indagini CEF, di cui con ansia si attendono gli sviluppi e i risultati e alle quali si spera seguiranno linee guida concrete e puntuali per i DPO (anche in ambito privato) anche da parte della nostra Autorità Garante, ma ben venga anche il DPO che riuscirà a farsi conoscere e “riconoscere” come funzione fondamentale dall’organizzazione nella quale è inserito.