Viene quasi da chiedersi se non siano da elencare in un bugiardino le cattive abitudini di compliance GDPR, come fossero delle worst practices. Perché se è vero che un approccio burocratico danneggia ogni migliore intento di rispettare standard e normative, tutto questo a livello gestionale si traduce in una serie di prassi più o meno formalizzate che “ingessano” l’organizzazione ad un livello – eufemisticamente parlando – sub-ottimale e, al contempo, la rendono impermeabile a ogni intervento volto al cambiamento.
La scusa più ricorrente, d’altra parte, è un “abbiamo sempre fatto così”.
L’art. 24 GDPR prevede però che il titolare, dopo la predisposizione di misure adeguate per garantire il rispetto delle normativa in materia di protezione dei dati personali, ha anche lo specifico dovere di riesaminarle ed aggiornarle. E in ambito di sicurezza, c’è la previsione dell’art. 32 GDPR per cui questa essere continuamente adeguata al rischio dei trattamenti e allo stato dell’arte.
Tutto ciò rende di chiara evidenza, considerato l’intrinseca dinamicità dei parametri da considerare, che è necessaria una capacità di monitoraggio continuo e reazione. Insomma: quelle fasi check-act del Ciclo di Deming che spesso sono dimenticate dopo un adeguamento documentale che così sarà destinato ad avere una dimensione statica e destinata, nel tempo, all’obsolescenza. Con tutte le conseguenze del caso, ivi incluse le vulnerabilità non rilevate ed irrisolte.
Il ruolo del DPO.
In che modo il DPO può contribuire ad infrangere il muro di queste cattive abitudini di gestione? Lo svolgimento operativo di attività di auditing e reporting, nell’esercizio dei compiti di sorveglianza, può giovare a riguardo ma è necessario affiancare anche delle capacità che, solo apparentemente, esulano dal novero di competenze richieste dalla funzione.
Porre il management di fronte ai rischi di violazione del GDPR, richiedere un budget per un vulnerability assessment o dei controlli periodici di sicurezza, è comunque nelle prerogative del DPO il quale anzi deve ragionare secondo un approccio risk-based. E se dunque nota fra gli elementi di contesto interno una resistenza al cambiamento deve evidenziarne gli effetti negativi, nonché fornire informazione e consulenza per individuare delle strategie di risoluzione.
La fase di controllo di un sistema di gestione non è mai agevole, soprattutto per l’auditor e per la comunicazione dei risultati al management che poi dovrà assumere le decisioni. Per questo motivo non è sufficiente che tale attività sia condotta in modo esatto sul piano normativo, ma concorrono anche la capacità di comunicazione e di problem solving del DPO. Altrimenti, ogni esito di controllo è destinato a rimanere su carta o morta, o attuata solo formalmente.
Le sinergie necessarie per la compliance GDPR.
In tutto questo, però, il DPO non può né tantomeno deve agire da solo. La sua capacità di svolgere i compiti propri della funzione richiama difatti l’esigenza di creare sinergie all’interno dell’organizzazione e avere un approccio proattivo, non solo nei confronti dei vertici dell’organizzazione ma anche nei confronti di altre funzioni. Emblematiche sono le funzioni IT, HR e Qualità, con le quali è necessario promuovere ed instaurare un rapporto di cooperazione che tenga conto dei reciproci ambiti di responsabilità tanto nei tavoli di lavoro che nei flussi informativi. Certamente ciò non può prescindere dalle risorse fornite dall’organizzazione, fra cui rientra anche il riconoscimento del ruolo del DPO così come l’agevolazione della sua integrazione.
Altrimenti, il conto lo pagheranno innanzitutto gli interessati tanto nella mancata gestione dei propri diritti o nell’illiceità dei trattamenti quanto, con molta probabilità, nello sfruttamento di una vulnerabilità di sicurezza emergente da cui deriverà inevitabilmente un data breach. E in quel momento è più probabile che scatti una ricerca forsennata del colpevole anziché delle criticità irrisolte di gestione. Con buona pace dell’approccio lesson learned.