Conduzione audit, competenza necessaria al Privacy Officer

ROMA - E' assodato che i dati personali sono il nuovo petrolio dell'era digitale, e i professionisti che hanno il compito di custodirli e gestirli correttamente sono sempre più ricercati dalle imprese. Federprivacy ha recentemente patrocinato una guida operativa che affronta il tema dell' audit sui sistemi di gestione aziendale della privacy. Ma quali sono le competenze che deve avere un professionista della privacy per avere maggiori opportunità di affermarsi nel mercato del lavoro?

Prima di poter dare una risposta logica e convincente, è opportuno premettere che l'esperto di data protection, in particolare il privacy officer, è una figura multidisciplinare con alcune competenze specifiche ed anche altre trasversali, che deve essere adeguatamente preparato per scongiurare o comunque ridurre al minimo i rischi di violazioni sui dati che possano esporre a sanzioni civili e penali, richieste di risarcimenti, danni reputazionali, e anche per prevenire l'insorgere di contenziosi legati a scarsa trasparenza nell'organizzazione pubblica o privata per cui lavora, e per questo deve conoscere bene i processi aziendali e sapere come funziona un sistema di gestione della privacy, audit compresi.

Avete capito bene, "audit": se non volete rischiare di diventare bersaglio di una crisi di rigetto da parte del vostro datore di lavoro o dell'azienda per cui prestate la vostra attività di esperto di privacy, le vostre pur elevate competenze giuridiche potrebbero risultare persino sgradevoli e soggette a "ingessare" le attività aziendali agli occhi del management, e anche le vostre abilità informatiche potrebbero farvi sembrare degli inconcludenti smanettoni che vogliono solo blindare i pc da intrusioni di estranei.

Se invece conoscete come funziona un'azienda e i sistemi di gestione che permettono di governarla in modo snello ed efficace, potreste addirittura riuscire in una impresa che nell'Italia perseguitata dalle burocrazie sembrerebbe quasi una missione impossibile: far diventare la privacy una tematica interessante e utile alla vostra azienda.

Molti addetti ai lavori della data protection rimasero stupiti quando appresero che la parola "audit" era contenuta nell' art.37 della proposta di regolamento presentata dalla Commissione Europea il 25 gennaio 2012, che intendeva assegnare al Responsabile della Protezione dei dati (il cosiddetto Data Protection Officer) il compito di "sorvegliare l’attuazione e l’applicazione delle politiche in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi".

Ma in realtà, di strano non c'era niente, in quanto l'ambizioso progetto dell'UE era quello di dar vita a un unico impianto normativo comunitario, condiviso ed identico in tutti e 28 Stati membri, e l'unico modo concreto per poterlo realizzare era quello di basarsi su standard riconosciuti a livello internazionale, come quelli che ritroviamo ad esempio nella Norma ISO 9001 sui Sistemi di Gestione della Qualità.

Diventare auditor capaci ed efficaci nel settore della privacy, potrà invece significare ad esempio poter individuare e risolvere le non conformità alla normativa privacy con criteri organizzati e sistematici, evitando di affidarsi al solo buon senso. Un'altro vantaggio sarà quello di poter evitare la sovrapposizione e la duplicazione dei processi e la dispersività di energie che ne conseguono. Una delle cose che spesso accade ad un professionista esperto quando mette i piedi in un'azienda, è scoprire che più persone fanno le stesse identiche cose, molte volte a insaputa l'uno dell'altro, come se gli uffici ed i reparti fossero delle vere e proprie "camere stagne" con evidenti problemi di comunicazione. E la risposta più raccapricciante che purtroppo non di rado si riceve quando si chiedono educatamente informazioni al riguardo, è "abbiamo sempre fatto così".

Un professionista che è invece in grado di ottimizzare e armonizzare i processi, riduce i costi delle risorse, per la gioia del management. Di non poco conto, è anche l'individuazione delle best practices per la compliance normativa privacy, e il monitoraggio di "chi fa cosa, come lo fa, e quando lo deve fare", senza lasciare niente al caso.

Questo è l'approccio giusto che vi permetterà di porvi sul mercato in modo dinamico e competitivo, con una visione strategica al passo con i tempi ed adeguata alle reali esigenze delle imprese in relazione alla gestione dei dati, che sono ormai riconosciuti come veri e propri "asset" aziendali.