Quanto vale un DPO?

"Di tutto conosciamo il prezzo, di niente il valore."

( F. Nietzsche )

Potevo aprire o così o con la domanda How many seconds in eternity, giusto per fare una carezza ai fan di Dr. Who. Anche perchè il tema si colloca esattamente nel mezzo.

Quando si parla di data protection e dintorni prima o poi si finisce sempre a toccare l'argomento DPO e compensi con un grado di probabilità prossimo a quello di trovare un elettrone nel suo orbitale. Gira che ti rigira, giusto per rimanere a tema elettroni, ecco che prima o poi si finisce a orbitare verso il nichilismo. Dopotutto si tratta di una combinazione inevitabile, un evento prevedibile alla pari dell'accendersi una sigaretta mentre si attende l'autobus e vederlo apparire magicamente subito dopo il primo tiro. O la combinazione di caffé e cicca che è nota ad alcuni eletti del trono di ceramica.

Un destino impossibile a cui sfuggire ricorda la storia di Samarra - nota bene: ci sono due R, non una, quindi non c'entra niente la tizia che esce dalla TV e sgocciola sul pavimento - ed ecco che quando due o più DPO si incontreranno finiranno a parlare di prezzi e costi. Per lo più, lamentandosi.

A forza di whinare sfugge però la radice del problema, ovverosia il valore del DPO, che raramente viene affrontata. Perché è esperienza comune e diffusa che spesso si preferisca una facile lamentela ad una ben più impegnativa ricerca di soluzioni percorribili. Il motivo non mi è noto, ma credo sia annoverato fra i misteri della vita e di tutto quel che c'è intorno.

La dispercezione diffusa del valore della funzione deriva anche e fuor di dubbio da alcuni atteggiamenti al limite del delinquenziale (possiamo dirlo o qualcuno si offende?) cui abbiamo assistito, e che ben ricordiamo, nell'aver affrontato la "novità" del GDPR.

E via di dumping ad esempio fin dal 25 maggio 2018, momento in cui ad esempio:

• le associazioni di categoria hanno offerto "servizi DPO" ai propri associati spingendo il cuggino di turno a poco prezzo, con buona pace delle competenze e la capacità di svolgere tutti quei compiti. Insomma: con quel prezzo che ci si poteva aspettare dopotutto?
• i fornitori di servizi IT di enti pubblici (ma anche privati) si sono inventati di fare anche il DPO, o anche di farlo fare a un proprio dipendente, perché il conflitto d'interesse è giusto una questione mentale no?
• alcuni professionisti si sono saputi reinventare DPO raccontandosela un sacco anziché studiare la norma e magari acquisendo qualche competenza, perchè tanto checcevò...vero?

e un sacco di altre designazioni pazzerelle che lì per lì son sfuggite alle autorità di controllo e all'EDPB, ma che pian piano magari emergeranno come co-protagonisti di qualche bella istruttoria.

Non è una questione di misure...

Fra DPO a volte timidamente ci chiediamo la misura reciproca...del nostro compenso. O almeno vorremmo. Quel "A zi', ma a te quanto te pagano?" non manca mai nella testa di un DPO quando ne incontra un altro, ma non sempre questo interrogativo viene espresso. E men che meno soddisfatto.

Poi mi chiedo: esiste una risposta soddisfacente?

Se il compenso è più basso del nostro, apre la porta alla preoccupazione che ci sarà un dumping ancora più feroce, perderemo prima o poi l'incarico e la mano invisibile del mercato stritolerà la nostra professione (semicit. per i veri nerd che conoscono Bigby).

Se il compenso è più alto...vabbé, ammettiamolo: un po' all'inizio ci rosichiamo, tipo un sacco, poi c'è la fase dell'insicurezza per cui pensiamo di non valere abbastanza e dunque pensiamo di aver sbagliato professione e che dovremmo valutare vie alternative.

In entrambi i casi, spesso ci si trova a pensare al piano B di fare il tolettatore di capibara mentre si scrolla pigramente sul sito dell'EDPB in cerca di una risposta neanche fosse la Magic 8 ball.

E quindi? Salvo non ci sia la vocazione di dedicare anima e corpo ai capibara, stare a ragionare dei compensi altrui non ha molto senso. Anzi: proprio zero!

Stop complaining, start acting. Questa espressione motivazionale è molto cara alle mura di un sacco di palestre in cui sono stato, ma sa esprimere un principio abbastanza utile in tutte le sedi e le stagioni. Se qualcosa non va, bisogna agire.

In questo caso, chiediamoci quale e quanto sia il valore del lavoro come DPO e il perché.

Possiamo ispirarci al meteo, in cui la temperatura percepita diverge dalla temperatura effettiva. Infatti molto sta nella percezione: nostra, e del designante. Peccato che poi sia il secondo a sganciar la pecunia e fare la scelta, e dunque si deve tenere conto di un aspetto fondamentale e chiedersi: ho illustrato correttamente che cosa può fare il DPO per l'organizzazione?

E beninteso, non significa fare il compitino e ripetere l'art. 39 GDPR o declamazioni di principio. Quelle lasciamole ai parrucconi che tanto non hanno bisogno di lavorare e provano disgusto per la praticità.

...ma di prospettiva.

Ecco che cambiando prospettiva si può ragionare meglio e prima o poi qualche punto di svolta prima arriva per forza. Solitamente, carburato da qualche esercizio di pensiero laterale.

Un po' come nel momento in cui ho realizzato che "Body" dei Drowning Pool può benissimo descrivere lo stesso scenario di "It's Raining Men" di Gery Halliwell, soltanto da un diverso punto di vista. Non serve ringraziarmi per questa perla di saggezza offerta senza preavviso. L'ho buttata lì così, e non c'è oblio che possa cancellarla perchè oramai non potrete non pensarci.

E quindi una buona idea può essere prendere l'elenco dei compiti e formulare una proposta operativa per ciascuno di essi, dando definizione a un SLA e facendo in modo che sia possibile per il designante comprendere che cosa può fare il DPO e che cosa non può fare. Non si deve mai trascurare l'aspetto della corretta comunicazione, anche perché se siamo bravi e nessuno lo sa, ripeterselo altro non è che onanismo intellettuale.

Si può avere, come spesso si ha, l'impressione di vivere in un mondo troppo affollato di esperti, tutti troppo bravi e troppo belli decidendo che è meglio vivere nascostamente perché la nostra esperienza e competenza non ci sembrerà mai essere mai abbastanza. Eppure, anche questa è una percezione illusoria. Oltre il velo non è nient'altro che una narrazione di blasoni e inutili ripetizioni autoreferenziali, costruite ad arte proprio per escludere i newcomers o costringerli a rientrare in una delle innumerevoli Corti o Schiere come ultimi della fila. Perché in fondo chi si declama così grande e perfetto, non ha nient'altro che la medesima nostra paura di restare indietro. Soltanto, ha meno esperienza perchè forse indietro non c'è stato mai: vuoi per fortuna o per nobili natali.

Bisogna invece saper riconoscere il valore del proprio lavoro, professionalità e competenze. E non fermarsi mai, perché oggi come non mai è importante un aggiornamento continuo nel complesso universo che incrocia norma e tecnologia e che, fra i suoi mondi annovera anche la data protection.

Ma se non agiamo noi per primi sul nostro valore, che senso ha lamentare il fatto che nessuno ce lo riconosca?