C’è la diffusa percezione (indotta anche da corsi “specialistici”) che per fare il data protection officer “basti” passare un po’ di tempo in azienda, fare qualche audit, mettere nero su biano che – come diceva Bartali – “gli è tutto sbagliato, gli è tutto da rifare” in modo da evitare azioni per responsabilità professionale e, infine, presentare la parcella. Il tutto, secondo uno schema analogo a quello di un certo modo di intendere il ruolo dell’organismo di vigilanza previsto nei modelli organizzativi 231.
A parte l’irresponsabilità professionale dell’intendere entrambi i ruoli in questo modo, data protection officer e componente di un organismo di vigilanza 231 sono due mestieri completamente diversi.
Il DPO è “strutturale” rispetto all’azienda. Anche se è un esterno, ne diventa parte integrante e concorre a definire (direi meglio, paralizzare) le strategie. Il DPO vive l’azienda e vive IN azienda perché solo in questo modo può avere la dovuta e tempestiva visibilità sul modo in cui vengono applicate le strategie aziendale e sui problemi operativi che queste possono provocare.
L’organismo di vigilanza, invece, ha per statuto normativo un ruolo di controllo di processo che non entra nel merito dei comportamenti concreti. L’ODV è il “Signore del Modello”: deve accertarne innanzi tutto la conformità alle norme e l’idoneità alla prevenzione. Ma i controlli di primo livello sono eseguiti dalle singole funzioni aziendali interessate. E l’ODV entra in gioco quando gli viene segnalata una violazione del codice etico e/o delle procedure di prevenzione.
Fare il DPO pensando di essere un componente di ODV è semplicemente sbagliato, ed è irresponsabile chi “insegna” cose del genere, che non verrà certo chiamato in garanzia quando le aziende faranno causa per responsabilità professionale al professionista non esattamente tale.
Certo, le polizze assicurative professionali “coprono” anche i danni derivanti da questo tipo di attività, ma se questa è l’unica linea di difesa del DPO “specializzato”, almeno che costui si preoccupi di avere dei massimali alti, molto alti…
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte