La protezione dei dati, un tavolino a tre gambe tra privacy, cybersecurity e governance
La contrapposizione tra figure tecniche e figure umanistiche è antica; storicamente si sono sempre individuate professioni in cui la componente tecnica era rilevante, a scapito delle conoscenze umanistiche, e viceversa. Oggi, alla luce dell’ampiezza e della complessità delle competenze richieste da ogni professione, ormai multisettoriale, ed in funzione della necessità di acquisire costantemente nuove abilità, l’antica dicotomia va riducendosi.
La dottrina della protezione dei dati è una dimostrazione di ciò: è un tavolino a tre gambe. Le cosiddette “hard skills”: le competenze giuridiche, quelle organizzative e l’indispensabile componente tecnica, la quale è andata vieppiù imponendosi, alla luce dello sviluppo tecnologico e dell’evoluzione normativa, e che assumerà un’importanza sempre crescente.
È necessario, inoltre, possedere un insieme di cosiddette “soft skills”, ovvero le competenze necessarie, ad esempio, per:
- relazionarsi con gli interlocutori;
- lavorare in team;
- gestire emotivamente un data breach;
- entrare in empatia con i soggetti destinatari della formazione.
Il sondaggio “Cybersecurity & Privacy, gap e margini di convergenza tra gli addetti ai lavori” svolto in queste settimane dall’Osservatorio di Federprivacy mette in evidenza questi vari aspetti.
(Nella foto: Monica Perego, membro del Comitato Scientifico di Federprivacy. E' docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager)
Analizziamo ora le competenze “hard”.
Benché più del 40% di chi ha risposto al sondaggio sia in possesso di un background professionale di natura giuridica, più del 50% ha considerato gli aspetti organizzativi della governance dei dati personali come quelli più rilevanti, al fine di poter intervenire in modo incisivo in questa tematica.
Agli addetti ai lavori è noto come da più di quindici anni con Federprivacy sosteniamo quanto la componente organizzativa di un impianto per la protezione dei dati sia il pilastro che regge l’intera struttura. Tale componente, composta da: sistemi informativi, procedure, regolamenti, direttive, prassi, controlli ed audit, è quella che fornisce una valenza dinamica al modello; senza il suo apporto, in grado adeguarsi alle costanti modifiche, il modello applicato all’interno di un’organizzazione sarebbe intrinsecamente debole.
Con questo non si vuole suggerire che le componenti giuridiche o quelle tecniche non siano rilevanti, ma è comunque necessario mettere in evidenza alcuni elementi.
La componente tecnica richiede competenze molto specifiche come quelle sulla cybersecurity, spesso estremamente verticali, le cosiddette competenze “silos”. Di volta in volta è quindi necessario, per affrontare le problematiche aziendali, acquisire personale tecnico competente sul tema. Nel caso in cui, ad esempio, dovessi affrontare, come Data Protection Officer, una criticità inerente la protezione delle reti o un caso di data breach a seguito di un malfunzionamento tecnico, ho bisogno di un professionista con competenze evolute ed aggiornate sul tema in esame. Lo scelgo quindi con una logica “cherry picking”, prendendo “quello che mi serve” di volta in volta.
La componente giuridica è parimenti indispensabile: solo un giurista riesce a leggere ed interpretare un provvedimento o una norma in materia di privacy comprendendone tutte le sfaccettature ed i collegamenti con altre disposizioni. Tali analisi però talvolta tendono ad essere statiche, limitate al presente.
Un esempio? Il Dlgs 24/2023 cosiddetto “Whistlebolwing” si applica agli enti che hanno più di 50 dipendenti o adottano un modello Dlgs 231/2001. L’analisi organizzativa aiuta a comprendere che un ente con meno di 50 dipendenti, che non applica il decreto sulla responsabilità amministrativa degli enti, potrebbe, in un breve lasso di tempo, dover operare diversamente, a causa dell’aumento del numero di collaboratori; per la compliance normativa è quindi necessario tenere sotto controllo tale aspetto e la conseguente eventuale necessità di introduzione un modello Dlgs 231/2001. Gli strumenti organizzativi ci aiutano, attraverso la componente dinamica, a supervisionare questo aspetto; non è quindi sufficiente effettuare un’analisi on-off, ma bisogna effettuare un monitoraggio costante. Analogamente, per quanto riguarda l’applicazione del Dlgs 104/2022 cosiddetto “Trasparenza”, per ogni nuovo trattamento dovremmo chiederci se lo stesso presenta solo elementi automatizzati od anche decisionali, nel qual caso daremmo avvio alle misure richieste dal decreto.
In sintesi, la protezione dei dati dev’essere affrontata dai tre punti di vista analizzati, in modalità interdisciplinare e con un’interazione costruttiva (come evidenziato dal 60% dei partecipanti al sondaggio). È necessario ricorrere di volta in volta alle varie competenze, tra cui quella organizzativa può essere acquisita più agilmente, mentre quella giuridica e quella tecnica richiedono un background derivante, nella maggior parte dei casi, dal percorso di studi individuale. Le capacità organizzative invece si ottengono, in modo prevalente, attraverso l’esperienza sul campo, la formazione, l’approfondimento personale, l’attività di audit, la partecipazione a gruppi di lavoro, all’attività di associazioni…; quindi l’acquisizione di tali competenze non è vincolata a quelle ab origine del professionista.
