Urgono in Italia i data protection officer, i responsabili cioè della protezione dei dati in azienda.
Mentre scoppia il caso Cambridge Analytica che porta nuovamente alla ribalta il tema della
privacy e Facebook si scusa finendo sul bancone degli imputati per gli 87 milioni di profili violati, in
Europa sta per diventare pienamente operativo il General Data Protection Regulation (GDPR)
ovvero il regolamento (2016/679/Ue) in materia di protezione dei dati personali che ha introdotto
nelle imprese la figura del Data Protection Officer (DPO). Manager con il compito, tra gli altri, di
sorvegliare l’osservanza della normativa in materia di privacy a tutti i livelli.
Il GDPR, che sostituisce la vecchia direttiva del 1995 e il Codice della Privacy (Dlgs 196/2003), mira
a uniformare tutti gli Stati membri a delle best-practice che, una volta “metabolizzate”, renderanno
i processi aziendali più sicuri, rapidi ed efficienti e garantiranno il corretto trattamento dei dati di
cui le imprese vengono in possesso.
Previsto dall’articolo 37, il DOP è il soggetto designato dal titolare dell’impresa o dal responsabile
del trattamento per assolvere le funzioni di controllo e supporto, consultive, formative e
informative in azienda relativamente all’applicazione del regolamento. In particolare, la prima
azione del DPO, seguente alla sua nomina, è quella di analizzare i meccanismi di raccolta e
conservazione dei dati in atto.
Dopo aver valutato probabilità di perdite e tutti i possibili rischi, in relazione ai sistemi impiegati e
alla particolare natura dei dati custoditi, il manager produce un documento nel quale evidenzia
anche l’eventuale necessità di un adeguamento tecnologico o di correttivi da apportare alle
procedure in atto. Una volta mappata la realtà esistente, si fa carico quindi della redazione di un
piano di aggiornamento e di manutenzione dei sistemi, per restare sempre al passo con l’evolversi
delle normative in materia.
Il responsabile della protezione dei dati personali deve […] possedere un’approfondita
conoscenza delle leggi e delle prassi in materia di privacy, delle norme e delle procedure
amministrative che caratterizzano lo specifico settore industriale di riferimento.
È compito del DPO, inoltre, fare da interfaccia con le autorità di controllo (in particolare il Garante),
per tutte le questioni che riguardano la consultazione preventiva, la possibilità di reperire i dati
anche in caso di guasti e, più in generale, per qualsiasi verifica necessaria in azienda ad attestare
la conformità delle procedure interne con il pacchetto di norme del regolamento europeo sulla
privacy.
Quali requisiti deve possedere il manager in questione? Formalmente, per svolgere i propri
compiti, non sono necessari particolari titoli di studio (sono preferibili le lauree giuridicoamministrative
o economiche con specializzazione in marketing) o abilitazioni. Non esiste infatti,
almeno per il momento, un albo per tale professione, e tantomeno sono previsti “bollini” che
certifichino un tale profilo lavorativo.
Il responsabile della protezione dei dati personali deve, però, possedere un’approfondita
conoscenza delle leggi e delle prassi in materia di privacy, delle norme e delle procedure
amministrative che caratterizzano lo specifico settore industriale di riferimento.
In più, anche se il ruolo di DPO è comunque compatibile con altri incarichi, il regolamento prevede
che sarebbe bene evitare possibili conflitti di interesse, escludendo dalla lista dei potenziali
candidati figure come, ad esempio, l’amministratore delegato, un membro del consiglio di
amministrazione o il direttore generale. E, ancora, il personale della direzione risorse umane, della
direzione marketing, della direzione finanziaria e di quella dell’information technology. Dev’essere,
insomma, una figura dotata di una certa autonomia.
Quali sono le aziende obbligate ad avere il DPO? In maniera molto sintetica, saranno obbligate
all’assunzione di una figura ad hoc quelle imprese le cui principali attività consistono proprio
nel monitoraggio regolare e sistematico di dati personali o relativi a condanne penali e a reati. Il
Garante della privacy elenca una serie di esempi come le banche, le assicurazioni, le società
finanziarie e che forniscono servizi di telecomunicazioni, gas ed elettricità.
Poi, ancora, le aziende che operano nel settore sanitario e radiotelevisive, i call center e gli istituti di vigilanza.
Il tempo stringe, perché dal 25 maggio il regolamento europeo diventerà pienamente operativo e il
mancato rispetto delle prescrizioni può comportare sanzioni fino a 20 milioni di euro o fino al 4%
del fatturato totale annuo mondiale dell’impresa. Sanzioni che aumentano a seconda delle
violazioni commesse.