Chi va con lo zoppo impara a DPOare

Caso non comune ma sto ampliando un mio precedente articolo che, nei fatti, costituisce il corpo centrale di questo post.

Stimolato dai feedback sul mio ultimo post sul DPO

e stimolato dalla lettura di un post ed i commenti sagaci di Andrea Monti mi sono rimesso a pensare a certi ruoi aziendali.

Prima di proseguire nella lettura però dovete leggervi di Andrea Monti:

La scomoda sedia del Data Protection Officer, e perché gli avvocati non possono occuparla

La chiusura finale in particolare è interessante dove Andrea nota:

“…o il DPO fa finta di non vedere (e diventa concorrente in un illecito. Formale, ma pur sempre illecito) oppure mette il veto sull’iniziativa e, se l’azienda prosegue, non ha troppe alternative rispetto a segnalare il fatto all’autorità di protezione.”

…

“Quindi il DPO, anche se non segnala in autonomia una violazione normativa, può essere ascoltato dall’autorità (non solo) di protezione dei dati su queste circostanze. E dunque diventare un potenziale teste a carico (dell’accusa, in altri termini).”

…

Andrea Monti

E qui si apre un interessante punto .. ed è una esperienza che ho vissuto come manager in una multinazionale.

image taken from http://elaine.ie/2016/05/27/state-should-pay-whistleblowers/

Ad un certo punto, in una certa azienda, mi è stato detto che certi dati del personale sarebbero stati trasferiti fuori europa semplicemente perchè si, in barba al GDPR, e che non si doveva dire.

La questione mi ha subito dato fastidio per un motivo personale, tra quei dipendenti c’ero anche io. Erano i miei diritti che erano lesi, anche se i dati sarebbero stati trattati in maniera sicura.

Il punto era che invece che provare a discorrere con le autorità europee o trovare delle vie di mezzo percorribili si era scelto di non rispettare alcuni termini del GDPR. sapendo benissimo di violare un regolamento EU e sapendo benissimo di capire di tale regolamento poco o nulla.

Ancora più fastidioso era l’essere messo in mezzo ad un dilemma etico ed economico.

Durante la riunione ho obiettato che:

1. mi si chiedeva esplicitamente di mentire alle mie persone e colleghi
2. mi si chiedeva di non rispettare le leggi del mio paese
3. mi si chiedeva di rendermi complice di un illecito.

Lo scopo era vedere se ci fossero state reazione da parte dei miei colleghi. Aimè solo 2 CSO nord europei mi diedero ragione.

Ovviamente le mie obiezioni furono derubricate a “quello rompe sempre le scatole” il che mi ha portato, assieme ad altre considerazioni (alcune strettamente personali) alla decisione di non rinnovare la collaborazione con quella azienda e contestualmente segnalare la cosa all’authority dopo la fuoriuscita.

Ora la questione è dove deve, eticamente, cadere la mia lealtà in questi casi? Verso la azienda o verso, in questo caso, le leggi del mio paese?

La cosa non è semplice, ne parlavo in un altro post quando osservavo che considero mascalzoni quei CEO/Board che per puro calcolo matematico preferiscono il rischio della sanzione che l’implementazione corretta del GDPR.

La mia obiezione risiede nel fatto che il GDPR è norma per proteggere le libertà di noi cittadini e residenti EU, non rispettarlo quindi implicitamente mette a rischio le mie libertà individuali.

Nel mio caso la mia lealtà va alla protezione dei miei concittadini e al rispetto della legge, anche se parliamo di un illecito amministrativo o formale la questione non è banale.

Un manager potrebbe allinearsi alla richiesta aziendale, potrebbe non allinearsi e prenderne le conseguenze (lo ho vissuto) o fare una via di mezzo, ad esempio denunciare il comportamento in via anonima alla autorità competente dopo aver, almeno, provato a obiettare sul comportamento.

Ancora più delicato, in questo caso, è il dipendente non manager, vaso di coccio.

L’istituto del whistleblowing potrebbe in qualche modo “proteggere” ma diciamocelo se si viene a sapere chi ha cantato…

Il problema etico rimane, in mancanza di obblighi formali a comunicare alla opportuna authority un eventuale illecito.

Il caso del DPO è anche più critico, visto che istituzionalmente ha obblighi chiari in merito al rispetto del GDPR che sono di indirizzo, formazione e controllo. Il punto è che in assenza di segnalazione alla autorità della non aderenza al regolamento il DPO non esercita la sua funzione di controllo.

Supponiamo per un momento che il DPO presenti le sue valutazioni di rischio su di un processo al board dando una valutazione che presenta un piccolo rischio residuale come accettabile, e che il board rifiuti le conclusioni definendo un rischio accettabile più alto. Ora posso comprendere che questo entri in un ambito di contrattazione tra le parti, se il rischio residuale è troppo alto il DPO deve comunicare con l’authority per la valutazione.

Ora il quanto alto sia è il punto dirimente, se il DPO considera il rischio accettato dal board troppo alto fa bene a comunicare al garante la cosa per un parere?

E se non lo fa e accade un incidente? E se non lo fa e viene una ispezione che giunge alle conclusioni del DPO e trova scritto nelle minute dei meeting del board quali erano le posizioni in merito?

Situazione scivolosa persino senza che vi sia un illecito formale come indicato nel post di andrea che vi invitavo a leggere inizialmente.

Analogo discorso potremmo farlo per il CISO che non ritenga adatti i meccanismi di protezione messi in atto dall’azienda ed in caso di breach incalzato dalle autorità esprima le sue perplessità (possibilmente scritte in qualche documento ufficiale).

Fa bene?

Fa male?

La questione delle responsabilità è quindi delicata, si prenda il caso INPS, dove alla fine tutto è finito a tarallucci e vino. Possibile che internamente nessuno ha sentito il bisogno di denunciare una situazione che ha portato al disastro? Non voglio credere che il livello di incompetenza sia tale per cui nessuno se ne potesse rendere conto.

Se è vero che vi sono vincoli di riservatezza, fino a dove questi si possono spingere?

Come Whistleblower o per ruolo la questione è non semplice, anche perchè vi sono altri termini da considerare tipo:

1. la necessità di uno stipendio
2. la possibilità di trovare lavoro

Pensate, ad esempio, un DPO che denuncia al garante una non conformità della propria azienda. Tra lui ed il CEO difficilmente sarà il CEO ad essere licenziato.

Ma se il DPO perde il lavoro a seguito della cosa (e i metodi ci sono per farlo) e la cosa si sa (questo è un mondo piccolo)…quante possibilità avrà di trovare una nuova collocazione?

Pensare ad una indipendenza che sia reale diventa estremamente difficile soprattutto in una situazione economica dove la ricollocazione non è ne facile ne garantita.

Meditiamo, Meditiamo

Micromanagement vs. experts: the original sin in organizations

I was reading an interesting article about micromanagement (Why Is Micromanagement So Infectious?) that forced me to write again on management issue.

My interest is on the implication of a micromanagement attitude on a team with a focus on expert management.

In business management, micromanagement is a management style whereby a manager closely observes or controls the work of subordinates or employees. Micromanagement generally has a negative connotation.

Micromanagement classic symptoms are the lack of delegation, the imposition of company rules regardless their effectiveness or fairness, the not contextualization of task and goals, the trivial focus on the lesser details or procedural trivia, the so called “reportmania” , the continuous references to prove even the most obvious statement and so on

Micromanagement is born in environment where static and well defined sequences of activities were the only needed request to employee to perform hisher duty. While micromanagement can find its reason in old production environments, in modern world business management has presented different management techniques in order to address a different kind of employee, the knowledge worker.

The reason behind this shift of focus is that the employees have to confront not a static production environment therefore need to quickly adapt and take ownership of decisions needed in a very short-term. This requires a different set of expertise and skills that forced business management theory to introduce the concepts of “knowledge worker”.

Knowledge workers

A knowledge worker is, using the Wikipedia definition:

Knowledge workers are workers whose main capital is knowledge. Examples include software engineers, physicians, pharmacists, architects, engineers, scientists, public accountants, lawyers, and academics, whose job is to “think for a living”
Those kinds of workers are required to address a deeper and wider spread of knowledge needed to address current complex and evolving environment, where static rules and approach would be less effective. The value of a knowledge worker is hisher knowledge which should be used to address new and unknown problems, optimize previous process, open new market and so on.
In an environment where knowledge working is fundamental for organization survival micromanagement is the classical portrait of a bad manager … why is this?
Because a manager in a knowledge working environment should manage resources giving them autonomy, trust and resources to accomplish their assigned goals, otherwise would not be managing effectively knowledge worker resources.
This is a serious issue in every company that makes of innovation and technology its reason, since micromanagement does not come well with creativity which is a mandatory requirement for innovation.

Why this is bad in high-tech environment?

The idea behind micromanagement is associated to 2 nefarious assumptions:
1) The employee cannot be trust
2) The manager knows better how to do the job.

Let see in detail what those assumption means:

Trust issue:

Trust is a bidirectional relationship, as respect or, outside working realm, friendship.

Not giving trust means not receiving trust. This affects, basically, the whole environment.

In a team environment, which is the basic requirement to justify the need of a manager, lack of trust consequence is to collapse on start any real collaboration between team members that is not strictly imposed or previously codified.
The resulting dynamics affect flexibility and creativity which is deadly in a complex ever-changing environment like the ITC one.

Another problem related to the trust issue associated to micromanagement is that without delegation there is no assumption of responsibility and therefore there is a tendency to avoid any risk.

While risk minimization can seem to be a good thing, the problem is that not taking any risk means not doing anything different or new. This is the quickest way to block growth and evolution, which are essential for an organization to survive.

In a micromanagement environment subordinated avoid taking responsibility and risks due to the management attitude which does not price this as a value. This attitude runs to the entire control chain or hierarchy, typically shifting blame towards lower levels which, on the other end, does not have ways to change things due to the micromanagement attitude and constrains.

Moreover from an ethical point of view would worth to ask ourselves what are the basis that made a manager more trustable than one of hisherits reports. Considering, in particular, the knowledge workers we are talking in most of the cases of seasoned professionals that have provided their services in several environment; the necessity of strong ethics and commitment are necessary for that kind of activity and, by the way, in the last 30 years more and more studies showed how the assumption that managers works for the sake of the company greater good is not compliant to reality.

Knowledge issue:

In older production environments most of the knowledge was related to the experience maturated doing a specific manual task. The classical application has been, historically, the introduction of the assembly or production lines. In those kinds of environments the need for team management was less strict; since any member was having a predetermined set of actions and defined skills, while all the decision process was demanded to the upper layer, micromanagement was an acceptable behavior and was, at a certain extent, the way to transmit knowledge to the new employees.

In this scenario was natural to assign middle management function to employees based on experience maturated inside the company, since the company and the product or assembly line was the only given reference.

While the assumption the manager is more knowledgeable of hisher report can be truthful in a not knowledge worker environment, by its nature a knowledge worker environment require a deeper breath of skills that cannot be collected in a single source.

The reason is basically connected to the two dimension of knowledge, wide and deep.

Micromanagement is not possible if the deep or the wide of the knowledge required exceed manager knowledge, which is a common situation. As a result micromanagement shift its focus on trivial aspects not strictly related to the goal.
The whole point of expertise is to fill the gap for the organization; if the manager would be able to fill this gap knowledge workers would not be necessary.

Probably the best quote against micromanagement attitude can be taken from a famous former Apple CEO Steve Jobs statement.

“…it doesn’t make sense to hire smart people and tell them what to do; we hire smart people so they can tell us what to do.”

This exemplify in an excellent way why micromanagement is not a good idea when dealing with knowledge workers.
Management is a complicated issue

Micromanagement is not the only portrait of a bad manager as lack of delegation is not just the only portrait of a micromanager. But for sure a micromanager is a bad manager, while not being a micromanager does not means automatically you are a good manager.
Alas in absence of micromanagement as the management style the manager have to find a way to manage, motivate, reward, help, support, and give goals to hisher team members.

The most complicated part is that in modern knowledge working environment some or even all of the team members can have higher seniority in terms of knowledge, age and experience of the direct manager itself, which makes micromanagement, as well as other bad management common practices, not only not practical but even counterproductive.

When a company hire expertise is hiring a knowledge worker, this means to adopt the correct management style.

A correct management style means to start working on goals and targets (forget the damn KPI for once and start thinking as a professional), defining jointly the requirements (which means the level of autonomy, the delegated authority needed, the sponsorship, the credentials among other groups and so on) and setting in a correct way the operative environment.

If this is done micromanagement is absolutely nonsense, if this is not done using experts is absolutely nonsense.

Related articles

• Why Staff Training and Development Should Focus More on How to Improve Self Awareness
• Trump’s obsessive micromanagement could be a major liability as president
• Are You Making These Virtual Team Building Mistakes?

• Risk Management is How Adults Manage Projects (herdingcats.typepad.com)
• Management Experts Paul Niven and Ben Lamorte to Join Alliance Enterprises Engagement Game Webcast July 23 (prweb.com)