«Buongiorno. Sono il vostro DPO». Forse alcuni di voi, dopo aver portato avanti progetti di adeguamento al GDPR, stanno ora assumendo incarichi di Data Protection Officer. Prima di arrivare davanti al cliente ci sono però alcuni passaggi preliminari, che conviene riepilogare.
Può sembrare banale, ma nel caso di un servizio esternalizzato occorre stipulare un contratto, che definisca non solo durata (meglio se pluriennale) e prezzo, ma soprattutto le differenti tipologie di servizio contemplate e l’effort che si prevede di erogare per ciascuna tipologia. Questo punto vale ovviamente anche per i DPO interni: non sottovalutiamo il fatto che si tratta, almeno in Italia, di una figura del tutto nuova, per cui ogni azienda e ogni DPO probabilmente ha in mente un’idea tutta sua di cosa costituirà effettivamente il contenuto di questo servizio. In particolare si rischiano malintesi se non si chiarisce bene la distribuzione dei pesi fra attività pianificate (controlli, formazione, informazione) ed estemporanee (assistenza in caso di impact assessment (DPIA), data breach, consulenza, rapporti con garanti o interessati).
Who's Who
Paolo Calvi
Data Protection Officer di P4I-Partners4Innovation
Dovrete poi definire un team multidisciplinare: è ormai chiaro come sia impensabile che un singolo possa svolgere correttamente questo ruolo senza il concorso di professionalità differenti (legali, organizzative, informatiche e di sicurezza). Le modalità di costituzione del team potranno essere diverse (una squadra se il team è aziendale, oppure un network se operate come freelance), ma non se ne può prescindere.
Infine il Titolare dovrà comunicare al Garante i dati di contatto del DPO, formalizzando così la nomina.
Perché un incontro di kickoff dopo la nomina del DPO
A questo punto siete pronti per avviare il servizio. Pronti, via. Per partire con il piede giusto mi sento di consigliare caldamente un incontro di kickoff. È vero, non si tratta di un progetto, per il quale fissare tempi e obiettivi, ma di una attività permanente e ricorrente, per cui basta cominciare. O no? Ecco, no.
Ma come? il Titolare ha appena completato un piano di adeguamento, per cui si suppone che tutte le funzioni aziendali abbiano preso coscienza dei contenuti del GDPR; e se vi hanno nominato DPO, si suppone che sia stata valutata la necessità o opportunità di tale figura, e intesi i suoi contorni. Ma allora perché? Beh, quanto meno perché è necessario comunicare un cambio di passo, dall’attività tipicamente progettuale, con un inizio e una fine nel tempo, a quella continuativa, che non per questo non ha scadenze. E poi diciamolo, tutti gli interlocutori coinvolti nel percorso di avvicinamento alla compliance si auguravano, una volta superata la fatidica data del 25 maggio, di poter chiudere la privacy in un cassetto e tornare ad occuparsi delle loro legittime priorità aziendali. È bene che qualcuno gli ricordi che non è e non sarà così.
Quindi convincete l’organizzazione per la quale siete stati nominati a tenere un incontro, convocando tutti quelli investiti di qualche ruolo e responsabilità nel modello organizzativo per la data protection adottato dall’azienda (e magari individuati come membri di un “comitato data protection” oppure “referenti interni”). Lo so, tutti avranno di meglio da fare, ma se non saranno coinvolti in questa fase finiranno per adottare la falsa convinzione che si tratti di processi che non li riguardano. E quando poi tenterete di ingaggiarli per attivare i flussi informativi, svolgere i controlli, ecc. troverete incomprensione e resistenza. Insomma vanno convocati chiarendo che si parlerà di loro.
DPO, cosa dire nella riunione di kickoff
Quali dovranno essere i contenuti della comunicazione?
- Perimetro del servizio: soprattutto nelle realtà complesse è bene condividere esattamente il perimetro definito a contratto (o comunque dalla designazione nel caso dei DPO interni): il servizio riguarda anche le controllate? Tutte? Hanno comunicato anche loro i dati di contatto al Garante secondo la procedura specifica per le controllate?
NB: particolare attenzione andrà rivolta ad eventuali società estere, con i conseguenti problemi di mediazione linguistica, attenzione a normative nazionali, reperibilità del DPO, rapporti con le DPA e gli interessati dei diversi paesi.
- Componenti del servizio: è uno dei punti più controversi che vanno smarcati senza ambiguità. Il titolare probabilmente vede nel DPO un consulente privacy da chiamare alla bisogna, dal quale non si attende alcuna proattività: sforzatevi di contrastare questo errata attitudine. Evidenziate tutte le componenti del servizio, con particolare enfasi su quelle obbligatorie e da pianificare (specialmente i controlli).
- Organizzazione del servizio: chiarite che le attività operative saranno in capo ai membri del team (team che dovete presentare nell’incontro), mentre il DPO manterrà funzioni di coordinamento e rappresentanza istituzionale.
- Piano del servizio: presentate un Diagramma Gantt con la scansione temporale delle attività pianificabili.
- Effort del servizio: anche nel caso di strutture interne, le risorse non sono infinite; chiarite quale porzione del tempo disponibile sarà dedicato alle attività pianificabili e quanto ne resterà a disposizione per attività estemporanee. Scoprirete spesso che i vostri interlocutori avevano in mente una ripartizione molto diversa.
- Prossimi passi: ricordatevi che il kickoff non è una dissertazione accademica sui massimi sistemi, ma essenzialmente un invito all’azione. Definite quindi i prossimi passi (presa in carico, se prevista, attivazione dei flussi informativi, primi controlli ecc.) e soprattutto assegnate le necessarie attività ai membri del team e alle diverse funzioni aziendali presenti.