Visto il tempo trascorso dall’inserimento della nuova funzione di sorveglianza della compliance GDPR presso le organizzazioni rappresentata dal Responsabile della Protezione dei Dati, sfatare qualche mito è, se non d’obbligo quantomeno doveroso. Dal momento che molto spesso si incappa in errori piuttosto grossolani già nei processi di selezione del DPO da designare, soprattutto per dei pregiudizi riguardanti ciò che il DPO “deve essere”, il podio degli errori più ricorrenti può essere utile per le organizzazioni che si apprestano a designare o sostituire tale funzione. Anche le worst practices possono così avere un’utilità, impedendo il reiterarsi di alcuni errori.
Primo: il DPO non deve essere un tecnico. Bene che possieda o sviluppi delle competenze tecniche, ma certamente non deve saper configurare un dominio o predisporre un intervento tecnico, e men che meno può essere colui che provvede (direttamente o indirettamente) alla fornitura di servizi IT presso il titolare del trattamento. Altrimenti si andrebbe a trovare in una posizione di non indipendenza e di conflitto d’interessi insanabile. Purtroppo, però, alcune società di servizi IT hanno ben pensato di inserire l’upgrade della funzione DPO alla fornitura di taluni prodotti. Il problema ulteriore è che hanno anche avuto modo di superare delle gare di aggiudicazione.
Secondo: il DPO non deve essere un avvocato. Come sopra: bene che abbia competenze legali, ma il titolo di avvocato e la capacità di patrocinare in giudizio non è un parametro necessario per valutare l’adeguatezza della funzione. Semmai saranno le evidenze riguardanti competenze legali specifiche in ambito di protezione dei dati personali, così come esperienza di gestione nell’ambito dei trattamenti rilevanti per l’organizzazione.
Terzo: il DPO non deve essere certificato. Anche in questo caso la certificazione può costituire uno strumento utile per dimostrare una formazione e competenze, abilità o conoscenze, ma di per sé non è sufficiente all’esercizio della funzione né tantomeno può essere l’unico parametro di selezione. Occorre la competenza di settore, comprovabile da evidenze riscontrabili. E in tal caso, è bene dubitare dei CV presentati in cui si professa esperienza da DPO pre-2018.
Ultimo, e fuori scala per la magnitudo dell’anomalia, è il caso del DPO che intende farsi nominare responsabile del trattamento in ragione dell’esercizio della funzione. In questo caso sta manifestamente ed irreparabilmente dimostrando un’incolmabile ignoranza sui fondamenti della normativa in materia di protezione dei dati personali. Bene escluderlo quanto prima dalla selezione, o interrompere immediatamente l’incarico e revocare la designazione. Ancor meglio sarebbe suggerirgli di intentare ben differenti prospettive di carriera o professione.
Il mercato, e il tempo, saranno comunque galantuomini e distingueranno le migliori pratiche per un semplice fatto: un DPO inadeguato o produce costi (operativi e strategici) insostenibili per l’organizzazione, o altrimenti comporta una perdita di controllo sulle attività di trattamento. Con tutte le conseguenze sanzionatorie del caso.
