Professione Privacy Champion: chi è e perché in azienda può fare la differenza | Agenda Digitale

SICUREZZA DIGITALE

Professione Privacy Champion: chi è e perché in azienda può fare la differenza

Figura non prevista per legge, la “longa manus” del Dpo si sta affermando nell’industria data-driven. Perché in grado di garantire strategie di business allineate al GDPO e di costruire nell’organizzazione una nuova cultura dei dati. Ecco i must have di rigore e i vantaggi per le imprese che li arruolano

08 Dic 2020
Marco Borzacchelli

Data Protection & Information Security Specialist

Molti di loro sono presenti all’interno di dipartimenti chiave di diverse organizzazioni. Soprattutto quelle in cui la dipendenza dai dati personali è molto alta e che, per questo motivo, sono impattate in modo diretto dal GDPR e dalla normativa data protection in generale. Vediamo chi sono i Privacy Champion, quali caratteristiche devono possedere e quali attività sono chiamati a svolgere.

Chi è il “Privacy Champion”

Si tratta di individui già presenti in azienda con mansioni ben definite e che, ricevuta una determinata e specifica formazione in materia, hanno il compito di promuovere nei loro dipartimenti il “privacy program” dell’azienda (o anche “strategia sulla privacy”). Inoltre, fungono anche da presidio di compliance “privacy” all’interno di tali dipartimenti (soprattutto in caso di avvio di nuovi progetti).

WEBINAR
Come gestire a distanza il cliente? Rendi “all digital” vendita, contrattualistica e customer care

Come per il Data Protection Officer (che ricordiamo essere una figura, sì introdotta dal GDPR, ma già presente in molte aziende sotto la vigenza della precedente Direttiva 95/46/CE), il concetto e la figura del “Privacy Champion” non sono certamente nuovi.

Molti di loro sono presenti all’interno di dipartimenti chiave di organizzazioni (pubbliche e private), dove la dipendenza dai dati personali è molto alta. Si fa riferimento, in particolare, ai dipartimenti Legal, IT, HR, Marketing & Communications, Payroll, Digital Solutions, Procurement, Business Intelligence, Public Affairs.

Per quel che concerne il loro inserimento ed inquadramento all’interno del tessuto aziendale, è bene chiarire che non si tratta di figure previste normativamente. Tuttavia, possono essere facilmente ricondotte a quelle dei “soggetti autorizzati al trattamento” di cui all’art. 29 del GDPR e all’art. 2-quaterdecies del D. Lgs. 196/2003 (già noti come “incaricati al trattamento” secondo la vecchia dicitura dell’art. 30 D.Lgs. 196/2003). Inoltre, potrebbero tranquillamente essere considerate anche come “misure organizzative” adottate, ai sensi degli artt. 24,25 e 32 del GDPR, per garantire la sicurezza dei dati personali.

Le caratteristiche della figura del Privacy Champion

Considerate le attività generalmente affidate ai Privacy Champions (che esamineremo più avanti), è chiaro che per poter rivestire questo ruolo sia necessario possedere specifiche qualità e conoscenze, in termini sia di hard-skills che di soft-skills. In particolare, tra i must have vi sono:

  • conoscere l’organizzazione della propria azienda, le policies e le procedure, nonché i processi esistenti in azienda e nel proprio dipartimento;
  • conoscere i sistemi e le applicazioni utilizzati dal proprio dipartimento ed eventuali collegamenti con altri e diversi applicativi, in ottica di mappatura degli asset e del data flow;
  • avere ben chiari il contesto in cui opera l’azienda e gli obiettivi perseguiti;
  • avere un determinato inquadramento in azienda così da poter interfacciarsi, con adeguata e sufficiente autorità, con tutte le figure aziendali all’interno dell’organizzazione (es. nei confronti del Responsabile di Dipartimento, del CFO, del Management Team, ecc..);
  • possedere la capacità di riconoscere la resistenza ai cambiamenti nel proprio dipartimento ed essere di supporto ai propri colleghi;
  • avere un solido legame con i colleghi anche di diverse business units;
  • avere una buona conoscenza di regole/principi/requisiti stabiliti dalla normativa in materia di protezione dei dati personali (europea e nazionale), nonché delle best practices in questo settore, dietro opportuna formazione personalizzata rispetto alle attività tipiche del dipartimento o ufficio dove si lavora.

Ruoli e responsabilità del Privacy Champion

Una volta definito il profilo tipico di un Privacy Champion, è necessario individuare con precisione i ruoli e le responsabilità da affidare, nonché definire l’eventuale effort richiesto. Questo, chiaramente, per non sovraccaricare la persona che ne ricoprirà il ruolo rispetto al resto delle attività giornaliere connesse alla propria mansione principale.

Alcune delle attività tipicamente richieste ai Privacy Champions sono quelle di:

  • promuovere il privacy program all’interno del proprio dipartimento e della società, anche fornendo supporto alle comunicazioni del DPO (ove presente) rispetto al programma;
  • essere il punto di contatto nel proprio dipartimento per questioni connesse a tematiche data protection, fornendo un supporto ed una consulenza di primo livello;
  • identificare eventuali problemi e/o profili di rischio all’interno del proprio dipartimento, scalando verso il DPO o il Management ove necessario per la loro risoluzione;
  • mantenere viva la sensibilità dei propri colleghi, attraverso attività di awareness, anche rispetto alle policies aziendali e temi generali di sicurezza (ad es. sulle finalità e sulle corrette modalità del trattamento dei dati personali, sul corretto utilizzo di computer e supporti rimovibili, password, corretta archiviazione e distruzione dei documenti cartacei, ecc.);
  • monitorare le fasi di ingaggio di nuovi partners ed identificare eventuali impatti privacy;
  • identificare potenziali aree di resistenza ai cambiamenti associati alla normativa privacy;
  • tracciare le nuove iniziative all’interno del proprio dipartimento che richiedono delle valutazioni e dei requisiti specifici (es. Privacy Impact Assessment, requisiti di Privacy-by-design, ecc.);
  • offrire consulenza e assistenza durante l’implementazione di processi e linee guida sul corretto trattamento dei dati, monitorandone anche il rispetto da parte dei propri colleghi;
  • allinearsi con il DPO (ove presente) rispetto alle attività svolte e a quanto monitorato nel proprio dipartimento;
  • supportare il DPO rispetto all’adempimento delle attività richiesta dalla normativa (es. aggiornamento Registro dei trattamenti, svolgimento della DPIA, gestione dei Data breaches, ecc..);
  • partecipare a meeting periodici per monitorare lo “stato di avanzamento lavori” (es. le azioni concluse, quelle da intraprendere, i rischi rilevati e il relativo piano di mitigazione, ecc..);
  • partecipare alle sessioni formative e di aggiornamento sui temi data protection, nonché condurre le attività di “induction” ai neo colleghi.

E’ evidente, dunque, come i Privacy Champions possano giocare sicuramente un ruolo importante all’interno di quelle realtà dove la figura del DPO è assente. La loro presenza può, infatti, aiutare l’azienda (e quindi il Titolare del trattamento) a garantire e dimostrare che si stanno proteggendo adeguatamente i dati personali all’interno della propria organizzazione (accountability).

Sarà fondamentale, dunque, assicurarsi che queste figure siano individuate e designate formalmente (es. mediante una lettera di nomina o delibera del Consiglio di Amministrazione o dell’Amministratore Delegato), nonché mappate all’interno della propria “governance data protection”.

I rapporti con il DPO

Attenzione, avere un Privacy Champion non equivale a dotarsi di un Data Protection Officer: il primo non potrà mai avere le medesime responsabilità del secondo.

Il Data Protection Officer, come detto in precedenza, è normativamente previsto, insieme ai requisiti che questo deve possedere (professionali ma anche di indipendenza), le responsabilità che assume (informare, monitorare, fornire pareri al Titolare del trattamento, ecc..) ed i casi in cui deve essere obbligatoriamente nominato.

Le attività del DPO riguardano l’intera realtà aziendale, mentre il Privacy Champion opera limitatamente alla propria area funzionale e dietro specifiche istruzioni.

Il network dei Privacy Champions in azienda può, pertanto, essere visto come la longa manus del DPO (ove presente) ovvero un presidio di compliance all’interno delle varie funzioni aziendali, che funge da principale punto di contatto per il DPO e da “alert” in caso di eventi compromettenti per l’azienda (es. segnalazione di un data breach).

Possiamo immaginare questo network come una struttura scalabile a livello Locale, Regionale e Globale, finalizzato a realizzare un approccio olistico sulla corretta gestione delle tematiche data protection. Non a caso, come detto in precedenza, queste figure sono molto presenti all’interno di gruppi multinazionali, dove il problema della governance del dato è maggiore rispetto a realtà medio-piccole e prettamente locali.

Alcuni casi di “embedded” Privacy Champions

La città di Seattle parla del Privacy Champion all’interno del proprio Privacy Program e lo descrive come colui che “will provide departmental support for incorporating the Privacy Program objectives into departmental business systems and processes. The Champion is a departmental resource familiar with the objectives and tools of the Privacy Program”.

Anche famose multinazionali come Fox Networks Group, Coca-Cola, Google e molte altre ancora hanno previsto nella propria governance aziendale queste figure.

Nel caso di Google, ad esempio, tra le persone che ricoprono questo ruolo vi sono anche i Product Manager. E’ ciò che è emerso in una recente intervista rilasciata all’interno del Google Cloud Blog Team, da Michee Smith (Product Manager in Google Cloud). Questa ha infatti dichiarato che, oltre a ricoprire il suo tipico ruolo, nel corso del tempo è diventata una Privacy Champion per i prodotti da lei sviluppati. In questo modo ha coniugato attività tipiche della propria mansione con quelle che, oggi, diremmo essere tipicamente affidate al Data Protection Officer, ossia le valutazioni sulla privacy dei prodotti al fine di proporre soluzioni privacy-compliant nel mondo di Google Cloud.

L’importanza della cultura privacy

Quello che emerge, pertanto, è che i Privacy Champions fanno parte di una più ampia strategia di cambiamento organizzativo e di governance “data protection” delle società. Tuttavia, per poter parlare di cambiamento è necessario, innanzitutto, parlare di cultura del cambiamento e di “cultura privacy” nel caso in questione.

Nell’incorporare la privacy nella propria cultura organizzativa, è possibile realizzare una struttura votata alla protezione “by-default (ossia per impostazione predefinita) dei dati personali, consentendo al contempo di sfruttare i dati in possesso al massimo potenziale. L’effetto è pressoché simile a quello ottenuto quando si incorpora la privacy nei sistemi e nelle tecnologie.

Tale cultura contribuisce a far comprendere l’importanza di un corretto trattamento dei dati e dei benefici da questo derivanti, non soltanto in termini di compliance e ottimizzazione dei servizi, ma soprattutto in termini di supporto ai più ampi obiettivi strategici dell’azienda.

Le organizzazioni che danno importanza a questa cultura, facendola propria, possono moltiplicare l’effetto delle attività svolte dal Team Privacy e dal DPO, attraverso una visione condivisa dell’utilizzo dei dati. Nel fare ciò, “creare” ed istituire le figure dei Privacy Champions costituisce, dunque, un tassello fondamentale nella strategia privacy delle aziende, unitamente alla sensibilizzazione ed al commitment del Top Management, chiave di volta dell’intero cambiamento organizzativo.

I benefici per le aziende

La creazione di un network di Privacy Champions all’interno dell’azienda consentirebbe dunque di:

  • garantire un livello comune di sensibilità e, nei casi migliori, di compliance in ogni dipartimento;
  • ridurre notevolmente la pressione ed il carico di lavoro del Team Privacy e del DPO, fornendo un’assistenza e consulenza di primo livello per quei quesiti ricorrenti e relativi ad attività di business-as-usual;
  • identificare più facilmente le potenziali aree di resistenza e suggerire cambi organizzativi;
  • aiutare nella diffusione della “cultura privacy” in azienda, favorendo una costante sensibilizzazione sul tema;
  • fungere da collettore per i feedback sulla strategia privacy dell’azienda, soprattutto da parte delle business divisions che tendono spesso a percepire i requisiti data protection come inutili limitazioni alle strategie commerciali.

Si avrebbe così una sorta di sistema decentralizzato di compliance che, tuttavia, non sfuggirebbe al monitoraggio e coordinamento del DPO (ove presente) e dei vertici aziendali.

webinar, 22 aprile
Formazione e performance management: la gestione HR nel never normal
Risorse Umane/Organizzazione
Smart working
@RIPRODUZIONE RISERVATA

Articolo 1 di 2