Stimolato dai feedback sul mio ultimo post sul DPO (https://thepuchiherald.com/2020/09/01/dopo-il-ciso-il-dpo-sono-convinto-non-lo-fo/) che mi hanno meritato una cazziata e un “saccente” da parte di un utente di LinkedIn, e stimolato dalla lettura di un post ed i commenti sagaci di Andrea Monti mi sono rimesso a pensare a certi ruoi aziendali.
Prima di proseguire nella lettura però dovete leggervi di Andrea Monti:
La chiusura finale in particolare è interessante dove Andrea nota:
“…o il DPO fa finta di non vedere (e diventa concorrente in un illecito. Formale, ma pur sempre illecito) oppure mette il veto sull’iniziativa e, se l’azienda prosegue, non ha troppe alternative rispetto a segnalare il fatto all’autorità di protezione.”
…
“Quindi il DPO, anche se non segnala in autonomia una violazione normativa, può essere ascoltato dall’autorità (non solo) di protezione dei dati su queste circostanze. E dunque diventare un potenziale teste a carico (dell’accusa, in altri termini).”
…
Andrea Monti
E qui si apre un interessante punto. Ed è una esperienza che ho vissuto come manager.
Ad un certo punto, in una certa azienda, mi è stato detto che certi dati del personale sarebbero stati trasferiti fuori europa semplicemente perchè si, e che non si doveva dire.
Al che ho obiettato che:
- mi si chiedeva esplicitamente di mentire alle mie persone e colleghi
- mi si chiedeva di non rispettare le leggi del mio paese
- mi si chiedeva di rendermi complice di un illecito.
Ovviamente le mie obiezioni sono state derubricate a “quello rompe sempre le scatole” il che mi ha portato assieme ad altre considerazioni (pure personali) alla decisione di non rinnovare la collaborazione con quella azienda.
Ora la questione è dove deve, eticamente, cadere la mia lealtà in questi casi? Verso la azienda o verso, in questo caso, le leggi del mio paese?
La questione non è semplice, ne parlavo in un altro post quando osservavo che considero mascalzoni quei CEO/Board che per puro calcolo matematico preferiscono il rischio della sanzione che l’implementazione corretta del GDPR.
La mia obiezione risiede nel fatto che il GDPR è norma per proteggere le libertà di noi cittadini e residenti EU, non rispettarlo quindi implicitamente mette a rischio le mie libertà individuali.
In questo caso la mia lealtà va alla protezione dei miei concittadini e al rispetto della legge, anche se parliamo di un illecito amministrativo.
Il caso del DPO è anche più critico, visto che istituzionalmente ha obblighi chiari in merito al rispetto del GDPR che sono di indirizzo, formazione e controllo. Il punto è che in assenza di segnalazione alla autorità della non aderenza al regolamento il DPO non esercita la sua funzione di controllo.
Ma analogo discorso potremmo farlo per il CISO che non ritenga adatti i meccanismi di protezione messi in atto dall’azienda ed in caso di breach incalzato dalle autorità esprima le sue perplessità (possibilmente scritte in qualche documento ufficiale).
Fa bene?
Fa male?
La questione delle responsabilità è quindi delicata, si prenda il caso INPS, dove alla fine tutto è finito a tarallucci e vino. Possibile che internamente nessuno ha sentito il bisogno di denunciare una situazione che ha portato al disastro? Non voglio credere che il livello di incompetenza sia tale per cui nessuno se ne potesse rendere conto.
Come Whistleblower o per ruolo la questione è non semplice, anche perchè vi sono altri termini da considerare tipo:
- la necessità di uno stipendio
- la possibilità di trovare lavoro
Pensate, ad esempio, un DPO che denuncia al garante una non conformità della propria azienda, viene licenziato, la cosa si sa (questo è un mondo piccolo)…quante possibilità avrà di trovare una nuova collocazione?
Meditiamo, Meditiamo
Related posts:
Managers and Leaders are not the same thing 
Caro CISO, ti suggerisco di parlare d’affari con il tuo CdA, evita tecnicismi. Il costo della inconsapevolezza Appunti per Le Aziende ItalianePowered by YARPP.
from WordPress https://ift.tt/2QJsvD0
via IFTTT
Nessun commento:
Posta un commento