GDPR, come scegliere il nuovo manager della privacy

Dal 25 maggio, anche in Italia, sarà in vigore il nuovo Regolamento Ue 2016/679 sulla Privacy, il cosiddetto Gdpr (General Data Protection Regulation). Fra le tantissime implicazioni che la normativa per la sicurezza e il trattamento dei dati sensibili si porta dietro, c’è anche quella relativa alla figura professionale incaricata di gestire questa problematica. Il tema, come noto, interessa uno spettro molto ampio di organizzazioni, dalle società che operano in ambito finanziario a quelle delle “utilities” (telecomunicazioni, energia elettrica o gas), dalle imprese di ricerca del personale a quelle attive nel settore della cura della salute e della sanità privata, dai fornitori di servizi informatici ai provider di servizi digitali e televisivi.

Il Data Protection Officer (o Data Privacy Officer), come prescrive la Commissione europea, è chiamato ad assolvere a diverse funzioni e ha la responsabilità di essere l’interfaccia di riferimento in azienda per tutte le questioni connesse alla sicurezza dei dati personali, garantendo un flusso di comunicazione efficace con gli interessati e con l’autorità Garante della Privacy. Entrando nello specifico delle sue mansioni, il regolamento stabilisce come tale figura debba essere in grado di fornire consulenza al management aziendale circa le prescrizioni della legge, sorvegliando che essa sia correttamente applicata, e di adoperarsi per effettuare in modo continuativo consultazioni di vario genere (e di natura preventiva in particolare).

Per fare questo, il Dpo deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle procedure amministrative che caratterizzano lo specifico settore di riferimento, coadiuvare le figure competenti in materia di dati deve agire in piena indipendenza e autonomia, riferendo direttamente ai vertici dell’organizzazione. Quanto al soggetto più indicato per ricoprire questo ruolo, c’è una precisa indicazione (non vincolante) che le aziende è bene possano recepire: per evitare rischi di conflitto d’interesse, è preferibile infatti non affidare l’incarico a figure del top management (amministratore delegato, membri del consiglio di amministrazione, direttore generale) o con potere decisionale legate alle finalità della funzione di trattamento dei dati, e di conseguenza i direttori di risorse umane, marketing, finanza e area It.

La scelta del candidato adeguato, che può essere selezionato tra i dipendenti dell’azienda oppure fra liberi professionisti esterni, deve in ogni caso avvenire solo in base all’effettivo possesso delle competenze richieste dal Regolamento della Commissione Europea, e non in virtù di titoli o certificazioni formali rilasciati da atenei, enti di formazione e organismi terze parti. Per ricoprire l’incarico non sono quindi richiesti requisiti formali, ossia specifiche attestazioni o l’iscrizione in appositi albi.

Sulla questione è intervenuto di recente il Garante per cercare di dipanare i dubbi avanzati da Federprivacy, in rappresentanza dei circa 7mila professionisti iscritti (giuristi d’impresa, consulenti e avvocati in primis), circa l’obbligatorietà o meno di una certificazione basata su Norma UNI 11697 quale titolo necessario per ricoprire il ruolo di Dpo. Ebbene, come ha confermato ufficialmente in una nota l’Autorità di controllo italiana, per operare come Data Protection Officer non è richiesta la certificazione in oggetto perché non «rientra in quelle disciplinate dall’art.42 del Regolamento Gdpr», per quanto rappresenti uno strumento per dimostrare il possesso, da parte del professionista, delle conoscenze e delle competenze necessarie per questa funzione.

Cosa implica questo? Da Federprivacy spiegano come, allo stato attuale, manchino di fatto i presupposti per una «certificazione unificata» del Data Protection Officer. Per i professionisti rimane comunque la possibilità di rivolgersi ad appositi enti per ottenere una certificazione basata su schemi proprietari (come quella istituita sin dal 2012 da TÜV Italia per la figura di «Privacy Officer e Consulente della Privacy», che oggi conta già circa 500 esperti in elenco).

L’invito di Nicola Bernardi, presidente di Federprivacy, chiama non a caso i professionisti che puntano a una carica di Dpo ad acquisire conoscenze specialistiche della materia senza «illudersi che certi bollini o altre attestazioni formali costituiscano titoli abilitanti». E che ci siano grandissime opportunità di “carriera” a valle dell’entrata in vigore del Gdpr lo confermano le stime che proiettano a circa 45mila il numero di esperti in materia di privacy richiesti dal mercato nei prossimi mesi.

 

Fonte: Il Sole 24 Ore