Cosa serve per fare il DPO?
Stefano Gazzella
Privacy Officer | Data Protection Officer | Giornalista pubblicista | Responsabile Comitato Scientifico Assoinfluencer
Mi è capitato di venire contattato da neolaureati in cerca di consigli su che cosa serve fare per "diventare DPO". Ora, al di là del fatto che forse stanno messi veramente male se chiedono consiglio proprio a me che ancora mi trovo in difficoltà nello spiegare che cosa io faccia per lavoro a chi non appartiene a quella meravigliosa bolla della privacy, mi è stato d'aiuto per riflettere sul fatto che la domanda non è di poco conto. Tutt'altro.
E visto il periodo di AI Act per cui è mainstream parlare di ciò, io anziché spararmi le pose come AI-qualchecosa mi son messo di nuovo a ragionare sui fondamentali della professione. La quale in effetti qualche difficoltà ce l'ha per chi è un newcomer e vorrebbe orientarsi a riguardo, anche perché guardandosi intorno pare che manchino proprio dei profili junior per l'ufficio del DPO. Insomma: è come trovarsi di fronte ad un pokemon (o uno zerg) senza capacità evolutiva, che appare tipo pop-up dal nulla e senza gestazione alcuna, dicendo It's-a-me, DPO! (ok, basta coi videogames).
In realtà ho pure pensato a fare i meme e proseguire la serie della Privacy Tarocca, ma questa è un'altra storia che già conoscete nel momento in cui seguite i miei aggiornamenti e post. Se invece non lo fate e leggete solo la newsletter...well, bella pe' voi.
Partiamo dalle cattive notizie: non esiste alcuna abilitazione per fare il DPO. E se c'è chi pensa che la certificazione UNI 11967:2018 abbia un qualche valore abilitante, ci sono due ipotesi: (1) ve la vuole vendere (2) la possiede. Oppure semplicemente ha espresso un'opinione non richiesta e pure sbagliata. Che è da computare come evenienza possibile, tanto fuori quanto dentro il magico mondo dell'internet e dei social.
Certo, mi si dirà che si deve studiare. Ma nella premessa ho parlato di studenti universitari. Non è che abbiano timore di studiare, tutt'altro. Hanno piuttosto timore di trovarsi intrappolati in un dover continuare a studiare senza poter mai lavorare perché l'asticella (illusoria) delle competenze viene sempre spostata più in alto. Da chi? Beh, da chi non vuole nuovi ingressi nel mercato, che domande!
DPO è chi DPO fa. Quindi tanto vale iniziare!
Premessa: la compliance non è una scatola di cioccolatini. Però DPO è chi DPO fa.
Quindi mettersi il job title "DPO" se non si ha un incarico di DPO presso un'organizzazione non è che abbia molto senso. Dopodiché, sarebbe bene decidere anche se si è specializzati o meno in qualche settore. Poco credibile che si sia esperti in ogni settore. Ogni giocatore di ruolo sa che c'è un cap ai punti esperienza e abilità che è possibile mettere in scheda. Poi il resto si può sempre bluffare, ma non è il massimo nel momento in cui bisogna "essere in grado di svolgere" alcuni compiti. Altrimenti sarebbe come fingere di essere un guerriero quando sei un mago: prima o poi qualcuno si accorge che la spada non la sai impugnare e che tentare di leggere quel che c'è scritto sullo scudo non è il miglior modo di impiegarlo.
E quindi bisogna essere in grado di svolgere un'autovalutazione delle proprie competenze rispetto all'incarico che ci viene proposto o che vogliamo proporre. Dalle hard skill alle soft skill, senza però mentire a sé stessi come chi in questo tardo marzo dice di volersi mettere in forma per l'estate e poi rinvia dieta e la palestra a un generico "dopo Pasqua". E senza sminuirsi, perché l'eccessiva insicurezza nuoce gravemente alla capacità non di svolgere un incarico ma di conseguirlo.
Consigliati da LinkedIn
La ricerca di un incarico a bassa complessità, come può essere anche l'inserimento in un team DPO, può essere un'ottima maniera per iniziare e sbloccare quell'iniziale inciampo del "non ce la posso fare".
Lo skill tree del DPO.
Qualche spunto si può avere però chiarendo il ruolo del DPO. Che non è un avvocato né un informatico, ma una professione a parte forse assimilabile al ruolo dell'auditor o al consulente di gestione.
Ma citando William Blake:
I must create a system or be enslaved by another mans; I will not reason and compare: my business is to create.
ha ben poco senso far paragoni con altre professionalità, le quali possono certamente ben vestire i panni del DPO ma non ne costituiscono il presupposto qualificante che invece è nell'art. 37 par. 5 GDPR: "Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 39.".
Insomma, sembra che l'albero di abilità (o skill tree, termine caro ai gamer) per sbloccare la classe DPO sia servito direttamente dal GDPR. E specificato un po' meglio dalle linee guida WP243.
Saper fare è importante, ma è altrettanto importante essere in grado di presentare le proprie abilità. Quindi nel momento in cui ci si vuole proporre per un primo incarico di DPO, può tornare molto utile prendere l'art. 39 GDPR e declinare poi a livello operativo (definendo SLA e tempi/margini di intervento), nonché di costi (forfettizzati, o meno) la propria proposta nei confronti dell'organizzazione. Facendosi due conti sui costi e il valore di ciò che si va ad offrire.
Mai, mai, svendere o svalutare le proprie competenze. E se qualcuno tenta di farlo con noi, meglio dirigersi altrove. Questo vale sempre, quindi anche quando si vuol fare il DPO.
Information Security Expert | ISO 9001 - 27001 Lead Auditor | GDPR & Data Protection Compliance Advisor
9 mesiLa figura del DPO viene spesso identificata in un individuo che deve trattare materia legale e quindi con il bisogno di avere un avvocato. Chiaro che non è del tutto corretta questa affermazione, ma è la richiesta della maggior parte delle aziende che se devono avere un DPO prediligono un avvocato (infatti gli studi legali fanno letteralmente a "mazzate" 👊 per far uscire i loro DPO) anche se altre figure sono in possesso di certificazioni, che esistono già, che ne attesterebbero quanto meno la conoscenza della materia.
Security, Data Protection, Privacy. Comments are on my own unique responsibility :-)
9 mesicomunque hai sempre questa esigenza di citare funzioni che potrebbero benissimo essere associate all'apprendista di turno. che ci vuole? neanche uno dovesse capire l'argomento. impara dalle nostre PA 🤣
Avvocato | Data Protection | Cybersecurity | ISO 27001:2022 | ISO 27701:2019 | DPO 11697:2018
9 mesiNerd mode ON: si, va bene, ma se non posti almeno una build è tutto clickbait! Nerd mode OFF Caro Stefano, leggerti mi dà sempre spunti di riflessione, ed al contempo mi mette di buonumore: una combo non da poco. Avrei voluto "scoprirti" prima, ma il feed di LinkedIn ha deciso diversamente.
Io ci aggiungerei un po' di esperienza del tipo "vivite la strada, fatte n'esperienza de vita e poi ripassa" (cit.). Perché la formazione teorica (giuridica e pure tecnologica, perché alla fine sulle "nuove" tecnologie si gioca il grosso della partita) è fondamentale, l'aggancio con i diritti collegati al diritto alla protezione dei propri dati personali anche, pero' poi, credo umilmente, che un bravo DPO debba essere in grado di calare la teoria nel contesto in cui opera. Perché in quel contesto, attribuzioni GDPR a parte, è quello che ci capisce. Se resta accademicamente distante dalla realtà è un problema. Vale per tutti i settori, eh: dalla cybersecurity (ormai è cuggina inseparabile della privacy) al procurement pubblico (codice dei contratti), passando dalla trasformazione digitale al controllo delle varie autorità... Quindi, sempre opinione personale, ben venga il DPO (esperto GDPR in genere) che si è fatto una sua carriera professionale, anche piccola, anche limitata a un settore specifico, che ha visto con i suoi occhiucci dove si annidano i dati personali e cosa succede a maneggiarli e nel frattempo si è formato in modo serio e rigoroso sul tema.... Poi certo, se mi rivendi un kit brandizzato va bene uguale :)