Parafrasando Eraclito di Efeso si potrebbe dire che il compito più difficile di un Protection Officer sarà aspettarsi l’inaspettato.

Pubblichiamo iltesto dell’intervento tenuto da Lucio Badiali, DPO, IstitutoNazionale di Geofisica e Vulcanologia, al convegno “I Dati tra SovranitàDigitale e Interesse Nazionale. Le Persone, le Pubbliche Amministrazioni e leImprese”, svoltosi nell’Ateneo milanese il 25 novembre scorso.

Intema di interesse nazionale e sovranità, la Ricerca rappresenta decisamente un asset strategico del sistema Paese. Laricerca nazionale è strutturata in circa una ventina di enti. Si va da quelliimpegnati in studi sull’agricoltura, a quelli sulle particelle subatomiche,dagli studi sull’universo e alle tecnologie spaziali a quelli che si occupanodi ricerca medica, biomedica, dalla genetica alla statistica, c’è chi fascienze della terra, chi si occupa di ambiente, matematica, lavoro, energie,politiche pubbliche, istruzione e così via.

Come il gatto di Schrödinger, bisognavaattendere l’entrata in vigore del GDPR per scoprire gli enti di ricerca nonpronti

Magli enti di ricerca sono anche una declinazione dell’amministrazionepubblica. E da quel lontano 27 aprile 2016 gli enti, come la gran partedella PA, hanno vissuto in uno stato di indeterminatezza quasi quantistica.Come il gatto di Schrödinger, bisognava attendere il 24 maggio 2018 perscoprire che si sono presentati alla data dell’entrata in vigore del GDPR non così pronti come avrebberopotuto.

Nonlo erano i titolari, i quali credevano stesse per sorgeva all’orizzonte solo unulteriore gravoso adempimento normativo. Cercavano ancora al di fuori le regolecui conformarsi e gli elenchi dettagliati di prescrizioni per i trattamenti.Era troppo fuori dall’esperienza il seguire un modello di responsabilità erendicontazione dell’operato. L’accountability,vera chiave di volta e rivoluzione copernicana nel nuovo mondo della protezionedati e della privacy, come principio sembrava un concetto più teorico cheoperativo.

Subito dopo il primopasso obbligato, ed eseguito con un po’ di inerzia, della nomina dei DPO, i DPOstessi del comparto della ricerca hanno iniziato a cercarsi per scambiareopinioni e valutare le migliori prassi. I Direttori generali, riuniti nella Conferenza permanente dei Direttori Generali degliEnti Pubblici di Ricerca Italiani (CO.DI.G.E.R.) intuendol’importanza del fenomeno emergente, creavano per i DPO il “Tavolo Tecnicosulla Privacy”, luogo di incontro dove costruire uno standard operativo per la data protection della comunità degli entiricerca, così da affrontare la sida del nuovo Regolamento.  L’obiettivoera quello di fare rete.

Anche il Garante ha guardato a questaattitudine emergente, e l’ha sostenuta facilitandone il compito affidando altavolo di lavoro un suo dirigente che periodicamente continua ad incontrare iDPO. Un supporto per vedere come cresce la consapevolezza della protezione datiin questa fetta di amministrazione pubblica in un rapporto dialettico fatto didubbi, domande e risposte.

Oggi i DPO del comparto si sentono più preparati ad affrontare le sfide

Oggi, dopo il primo periodo di rodaggio, iDPO del comparto si sentono più preparati ad affrontare le sfide. Dopo poco piùdi un anno anche il DPO comincia ad assumere una sembianza più precisa. La suafigura di verifica e garanzia tuttavia non può essere completamente definita inuna realtà che è sua volta liquida ed in divenire. Le sue stesse competenzesono messe continuamente in discussione. Come pure quelle degli organidecisionali di un tipico ente di ricerca. Durante i nostri scambi ci domandiamocosa ci si aspetti da un DPO e in cosa potrebbe evolvere, rispetto a ciò che siè tentato di stabilire finora sia nelle normative nazionali sia in quellaeuropea con un corpus della materia e di competenze che non è più ormaisolamente riferibile al GDPR. È il nostro un profilo aziendale molto piùsensibile di quello che si è tratteggiato in letteratura e che si è immaginato.Non può limitarsi ad essere presente in un board,interagire con il management solo per prevenire contenziosi futuri ointerpretare la legge per limitare i danni in una causa per violazione dati.Non possono sfuggirgli le dinamiche e i significati della rivoluzione del bigdata e le implicazioni per la società come la privacyby design, norma cui relazionarsi durante le fasi di organizzazioneaziendale.

Una consapevolezza che i DPO hannoraggiunto è che gli stessi organi sociali dovrebbero accrescere le loroconoscenze in ambito di protezione del dato e gestione della sicurezza così daessere consapevoli delle scelte che l’ente compie e poter interagire piùnaturalmente ed efficacemente con il DPO.

Parafrasando Eraclito di Efeso si potrebbedire che il compito più difficile di un Protection Officer sarà “aspettarsil’inaspettato” per non trovarsi impreparato nel momento di crisi così da poterpermettere al titolare di realizzare compiutamente il principio della accountability.

Il rispetto della privacy e, più ingenerale, la difesa del dato personale – specialmente in un ambito di interessenazionale – presuppone un’adeguata sicurezza. La sola sicurezza, purtroppo, nonpresuppone il rispetto della privacy e quindi il lavoro ed il ruolo che si staritagliando il DPO richiederà una formazione sempre più di studiointerdisciplinare per poter interagire e comunicare al meglio ad ogni livello.