Il vero requisito del DPO? Essere nerd!

 
...lo dice anche l'Art.29WP nelle Linee-guida sui responsabili della protezione dei dati (WP243), come andrò brevemente a spiegare, con un sintetico riferimento ai passaggi argomentativi fondamentali. Procediamo con ordine.

Se deve essere garantita l’accessibilità del RPD, chi meglio di un soggetto con limitate attività al di fuori della data protection? Insomma: che la socialità sia limitata a Dungeons&Dragons (training delle cc.dd. soft skill richiesta al RPD), tornei, magari qualche novità tecnologica e frequentazione di molteplici community online...così da non ostare alla facile raggiungibilità dello stesso.

Sono richieste conoscenze specialistiche della normativa e delle prassi in materia di protezione dei dati? Ebbene, un nerd eccelle proprio in questo: specializzarsi. Studiare. Approfondire. Incrociare più fattori e coordinarli per un risultato utile. In fondo: provate voi a fare le migliori build di un personaggio ricorrendo ad elenchi pressoché infiniti di manuali. O trovare la migliore combo di strategie possibili, fra infinite carte o mosse da poter scegliere. Indubbiamente, richiede ore e ore di dedicata esperienza...

Si parla inoltre di qualità professionali. Beninteso, qui è già sufficiente riportare il medesimo discorso del metodo (efficace ed efficiente) di apprendimento delle conoscenze specialistiche. Inoltre, il nerd medio è altamente competitivo e dunque punterà ad eccellere. Inoltre, quella dose di curiosità che porta a fare ricerche su Wikipedia in tardissima notte, andando a cliccare il pulsante della perdizione "Una voce a caso", è elemento essenziale per conseguire la conoscenza del settore di attività, del contesto e dell'organizzazione del titolare del trattamento.

Viene infine richiesta la capacità di assolvere i propri compiti...ed invero è il requisito cardine che si richiede al RPD, ed è fonte della sua principale responsabilità contrattuale (in breve: chi si propone come RPD va ad affermare di possedere conoscenze e qualità professionali, nonché essere in grado di assolvere i compiti di cui all'art. 39 GDPR). Ma su questo punto non credo serva soffermarsi più di tanto, stante un'evidenza empirica. Chi se non il nerd risponde all'archetipo di colui che fa i compiti, e magari li fa anche copiare?

Insomma: molto si è discusso, si discute e si discuterà sulle qualità del DPO/RPD.
Ma spesso si fa tanto rumore per nulla, dato che sarebbe sufficiente riferirsi alla lettera e alla sostanza della norma, così come meglio esplicitata dal WP243.

Essere GDPReady è...essere (un po') nerd.

Commenti