C’è la diffusa percezione (indotta anche da corsi “specialistici”) che per fare il data protection officer “basti” passare un po’ di tempo in azienda, fare qualche audit, mettere nero su biano che – come diceva Bartali – “gli è tutto sbagliato, gli è tutto da rifare” in modo da evitare azioni per responsabilità professionale e, infine, presentare la parcella. Il tutto, secondo uno schema analogo a quello di un certo modo di intendere il ruolo dell’organismo di vigilanza previsto nei modelli organizzativi 231.
A parte l’irresponsabilità professionale dell’intendere entrambi i ruoli in questo modo, data protection officer e componente di un organismo di vigilanza 231 sono due mestieri completamente diversi.
Il DPO è “strutturale” rispetto all’azienda. Anche se è un esterno, ne diventa parte integrante e concorre a definire (direi meglio, paralizzare) le strategie. Il DPO vive l’azienda e vive IN azienda perché solo in questo modo può avere la dovuta e tempestiva visibilità sul modo in cui vengono applicate le strategie aziendale e sui problemi operativi che queste possono provocare.
L’organismo di vigilanza, invece, ha per statuto normativo un ruolo di controllo di processo che non entra nel merito dei comportamenti concreti. L’ODV è il “Signore del Modello”: deve accertarne innanzi tutto la conformità alle norme e l’idoneità alla prevenzione. Ma i controlli di primo livello sono eseguiti dalle singole funzioni aziendali interessate. E l’ODV entra in gioco quando gli viene segnalata una violazione del codice etico e/o delle procedure di prevenzione.
Fare il DPO pensando di essere un componente di ODV è semplicemente sbagliato, ed è irresponsabile chi “insegna” cose del genere, che non verrà certo chiamato in garanzia quando le aziende faranno causa per responsabilità professionale al professionista non esattamente tale.
Certo, le polizze assicurative professionali “coprono” anche i danni derivanti da questo tipo di attività, ma se questa è l’unica linea di difesa del DPO “specializzato”, almeno che costui si preoccupi di avere dei massimali alti, molto alti…
Possibly Related Posts:
- Lo Human Genome Meeting di Roma riporta in primo piano la necessità di liberare l’uso dei dati
- Quali conseguenze potrebbe avere il possibile bando di TikTok negli Usa
- Social network, poteri privati e diritti pubblici
- La “privacy” uccide gli esseri umani per proteggere la persona
- GDPR e OpenAI: quanto sono fondate le accuse del Garante?