DPO e soft skill: le capacità comunicative

di Stefano Gazzella - Privacy Officer, Data Protection Officer, Responsabile Comitato Scientifico Assoinfluencer

Nel novero delle soft skill richieste al DPO emerge in modo rilevante la capacità di comunicazione, in considerazione del ruolo pivotale della funzione nella gestione della protezione dei dati personali dell’organizzazione e il rapporto con gli stakeholder.

Nella designazione del DPO, alle qualità professionali che il soggetto designato deve possedere vanno affiancate anche una serie di soft skill che indicano la capacità di assolvere i propri compiti (art. 37 par. 5 GDPR). Queste, alla pari delle hard skill, devono essere riferite al contesto operativo e permanere per tutto il corso della designazione e, se del caso, la loro adeguatezza deve essere garantita da parte dell’organizzazione attraverso lo stanziamento delle risorse necessarie.

All’interno del novero delle soft skill del DPO, assumono un particolare rilievo le capacità comunicative in quanto sono strettamente funzionali allo svolgimento dei compiti indicati dalla norma.

Capacità comunicativa

Le capacità comunicative sono emblematicamente connaturate con l’attività di consulenza e informazione in merito agli obblighi derivanti dalla normativa in materia di protezione dei dati personali. Infatti, è necessario che il DPO sappia gestire le differenti modalità di comunicazione a seconda che si rivolga ai vertici dell’organizzazione, a particolari funzioni interne o esterne, o altrimenti al personale che svolge le operazioni di trattamento. Non è una questione che può essere limitata al linguaggio da impiegare, ma riguarda anche il mezzo da selezionare affinché vengano fornite informazioni complete, efficaci e fruibili. L’obiettivo è sempre quello di una comunicazione efficace, che sappia debitamente tenere conto dei destinatari della stessa e fornisca i dovuti chiarimenti attraverso un’attività d’iniziativa o altrimenti in riscontro a richieste specifiche o in reazione a determinati eventi. 

Comunicazione efficace

L’intervento del DPO nella sensibilizzazione e nella formazione degli operatori è un presidio fondamentale che però rischia di trovarsi svilito nel momento in cui l’aspetto della comunicazione – tanto nella forma quanto nei contenuti - viene trascurato. Anche l’attività di sorveglianza richiede capacità comunicative che coinvolgono la fase dello svolgimento dei controlli e la successiva presentazione dei risultati, come peraltro confermato all’interno dalla ISO 19011:2018, che fornisce le linee guida per gli audit dei sistemi di gestione e può essere un valido punto di riferimento per il DPO. Altrimenti, il rischio non è solo quello di incontrare delle resistenze nel fornire informazioni e acquisirle, ma anche quello di generare un report poco fruibile da parte della Direzione, impedendo di conseguenza l’applicazione degli interventi correttivi e di miglioramento.

In e out

La capacità di comunicare riguarda non solo i flussi informativi interni ma anche il ruolo di punto di contatto esterno. Tanto nell’interlocuzione con gli interessati quanto con l’autorità di controllo, infatti, il DPO deve essere in grado di chiarire le questioni relative al trattamento dei dati personali avendo debita considerazione del proprio ruolo di garanzia. Altrimenti, la conseguenza sarà quella di porsi – o essere percepiti - come un ostacolo all’esercizio dei diritti degli interessati o all’azione dell’autorità di controllo. Con tutte le conseguenze del caso, sia nei confronti del professionista che dell’organizzazione, e ogni relativa responsabilità.

Facilitatore della complessità

Infine, è bene ricordare che la comunicazione efficace non prevede in alcun modo che sia sacrificata la complessità, né tantomeno la profondità di analisi. Piuttosto, il DPO deve essere in grado di proporsi come facilitatore di un percorso di comprensione di tali inevitabili complessità, realizzando così un contributo diretto alla data maturity dell’organizzazione sia a livello di governance che operativo. Ovviamente, in questo caso è particolarmente importante che venga debitamente tenuto conto dei limiti di autonomia e indipendenza in relazione al corretto esercizio della funzione che devono essere garantiti, mantenuti e comprovati.