Oramai è dal 2018 che esiste il DPO. Eppure, la figura è ancora ammantata di alcune ombre che definire esoteriche è un eufemismo. Nonostante lettera della norma, considerando e linee guida, c’è ancora chi sostiene bizzarre interpretazioni a riguardo. Ovviamente con tutta la buona fede che ci si può aspettare da un oste a cui viene chiesto lo stato della mescita del giorno e se può giovare un’ubriacatura in locanda.
Tolti però i toni cangianti di un fantasy, il DPO è una funzione dell’organizzazione, selezionata secondo i canoni di cui all’art. 37 GDPR, collocata ai sensi dell’art. 38 GDPR e che svolge i compiti di cui all’art. 39 GDPR. RTFGDPR! is the way. Quindi già se qualcuno si presenta con la geniale proposta di nominare l’ufficio del DPO responsabile del trattamento
perchè sono trattati dati personali nel corso dell’attività
allora è già un ottimo motivo per non selezionarlo.
E lo fanno. Certo che lo fanno, garantito. Al sapor di limone.
Tutto parte ovviamente dalla selezione, ma prima del casting bisogna decidere se questa funzione deve essere interna o esterna. Qui la scelta è di governance e tendenzialmente è neutra poiché entrambe le opzioni sono offerte dalla norma. E no, non ce n’è una aprioristicamente parlando che prevalga sull’altra. Nonostante chi offra servizi in outsourcing ovviamente sostenga che la funzione deve essere esterna, ma qui torniamo al concetto vinicolo di cui sopra.
Per selezionare bene un DPO, però, bisogna sapere alcune cose fondamentali. Una di queste è quanto pagarlo, ma non è la più rilevante. Quella importante è: a cosa serve e che cosa posso/devo farci? (Ok, sono due, ma facciamo che è periodo di sconti).
E quindi? Quindi ecco che ho preparato un brevissimo freebie. Pubblicato già su LinkedIn, ma che ora fisso bel bello all’interno del blog. Un vero e proprio percorso in sintesi per capirci qualche cosa a riguardo, con degli spunti da approfondire per i più arditi.
A chi e a che cosa serve?
Semplice: innanzitutto per non farsi fregare. Perché il mercato dei DPO, o per meglio dire il mercimonio di incarichi, è veramente wild and full of terror. E quindi tanto vale avere un orientamento a riguardo. Non dico proprio una luce, che comunque dovremmo sempre cercare, ma un minimo di direzione non è che guasti più di tanto.
Dopodiché è utile anche per differenziare i preventivi. Perchè il costo è importante, ma deve anche essere credibile. Ci sono SLA da rispettare, ad esempio. Una presenza che in qualche modo si vuole garantire. Una partecipazione proattiva e non qualcuno che si siede su una comoda fatturazione periodica.
E il rendiconto di attività. Perché vero, la funzione è indipendente e non può essere rimossa o penalizzata per svolgere i propri compiti. Ma esiste sempre l’inadempimento contrattuale. Soprattutto poi se quei compiti, indicati dalla norma, non vengono svolti o sono svolti solo in modo parziale.
Informare in modo corretto è un modo come l’altro per consentire al tempo d’esser galantuomo e far pulizia di conflitti d’interesse, dumping e altre oscenità cui abbiamo assistito nel tempo.
