DPO, ora la sfida è quella di convincere le imprese che è una figura utile
Il Data Protection Officer è una “figura artificiale”, creata ex lege dal Gdpr anziché dal mercato, e come insegnano i vari precedenti della storia del diritto, in casi analoghi il rischio è che i risultati siano modesti, o addirittura deludenti.
Ma il futuro della categoria dei DPO è nelle mani degli stessi professionisti che svolgono questo ruolo, i quali devono evitare il rischio di diventare una semplice controfigura del titolare che deve assolvere ad un obbligo formale introdotto dal Regolamento Europeo sulla protezione dei dati.
È questo il ragionamento di base su cui si è sviluppato il dibattito in un incontro organizzato da Federprivacy venerdì 26 febbraio a cui hanno partecipato oltre quattrocento professionisti di multinazionali ed altre grandi realtà italiane.
All’evento è intervenuto Guido Scorza, componente del Garante per la protezione dei dati personali, che così ha commentato:
“Non c’è nessun dubbio, in una dimensione accademica, che l’introduzione del DPO nell’ordinamento europeo in materia di protezione dei dati personali sia stata una scelta opportuna e, forse, illuminata ma, ora, la vera scommessa sta nel verificare se tale figura, nella pratica, riuscirà a fare la differenza e garantire un innalzamento qualitativo del livello di applicazione concreta delle regole e di rispetto dei diritti degli interessati o, se al contrario, si rivelerà solo un ennesimo adempimento formale privo di qualsivoglia beneficio concreto per la società. E tocca ai responsabili della protezione dei dati personali scrivere in un senso o nell’altro il destino di questa nuova figura professionale.”
(Nella foto: Guido Scorza, componente de Garante per la protezione dei dati personali)
Durante l’incontro sono stati lanciati anche alcuni sondaggi sul Canale Telegram di Federprivacy che hanno rilevato in tempo reale il termometro dei professionisti del settore, il 27% dei quali concordano che l’introduzione del DPO è stata una scelta opportuna del legislatore, mentre il 41% di essi la considera addirittura necessaria.
A quasi tre anni dall’operatività del Gdpr, di cui uno passato nel guado della pandemia con le continue criticità in materia di privacy che sono emerse una dopo l’altra, il 54% dei partecipanti ai sondaggi ritiene che il data protection officer si sia rivelato una figura utile alle imprese, anche se per scansare rischi di conflitti d’interesse e pregiudicarne l’indipendenza il 69% degli addetti ai lavori pensa che sarebbe meglio affidare l’incarico ad un professionista esterno.
Nonostante il cauto ottimismo dei professionisti, rimane comunque la sfida di convincere le imprese sulla vera utilità del DPO, e a questo proposito l’Avv. Rocco Panetta, Country Leader di IAPP per l'Italia e curatore di un nuovo libro che è stato presentato all’evento, sintetizza così la sua ricetta:
“A distanza di circa 26 anni dalla prima normativa europea sull’uso, la circolazione e la protezione dei dati, sono pochi quanti, nel guidare aziende o pubbliche amministrazioni non considerino strategico il tema dei dati personali. Ma i titolari del trattamento da una parte e le autorità di controllo dall’altra, nel tempo, non sono riuscite a dialogare in maniera costruttiva. Era forte il bisogno di costruire un anello di congiunzione, un ponte di raccordo. Ma come farlo? Discutevo di ciò che oggi chiamiamo DPO già anni fa con Stefano Rodotà, il padre della privacy europea. Se il DPO sia l’opzione giusta, solo il tempo potrà dirlo. Ma di certo è una grande opportunità che il Gdpr ha offerto ad aziende e cittadini. Rafforziamo il DPO con iniezioni di indipendenza, autorevolezza e competenza, sia esso esterno od interno all’azienda e magari riusciremo meglio sia a tutelare i dati personali che a valorizzarli”.
(Nella foto: l'Avv. Rocco Panetta, Country Leader per l’Italia e Membro del Board of Directors di IAPP)
Sul tema delle competenze, un altro dei sondaggi proposti ai partecipanti ha evidenziato che le certificazioni professionali, di natura volontaria per chi deve ricoprire il ruolo di DPO, sono considerate un “must-have” dal 29% dei professionisti, mentre quasi la metà (47%) degli intervistati la considera come una credenziale opzionale di importanza relativa.
Quindi, addetti ai lavori che non sono ancora pienamente convinti sulla necessità di completare il proprio profilo professionale con una certificazione, e Nicola Bernardi, presidente di Federprivacy che ha moderato i lavori del seminario, ne fornisce una possibile spiegazione:
“Fin dai mesi precedenti all’entrata in vigore del Gdpr, e anche oltre, assistemmo ad una intensa attività promozionale da parte di taluni enti ed altri operatori che cercavano di convincere gli addetti ai lavori che per fare il DPO fosse obbligatorio possedere una certificazione, e questo ha ingenerato una confusione sul mercato per cui ancora oggi ne risentiamo le conseguenze. Da parte nostra, siamo fieri che Federprivacy abbia sempre sostenuto la linea del Garante, sottolineando che per svolgere il ruolo di data protection officer non esistono titoli abilitanti ma occorre avere la conoscenza specialistica della normativa e delle prassi sulla protezione dei dati personali. E il valore aggiunto che dà una certificazione in materia sta proprio nell’attestazione da parte di un ente terzo e indipendente che, previa misurazione tramite evidenze oggettive fornite dal candidato, rilascia una certificazione sull’effettivo possesso delle competenze richieste”.
(Nella foto: Nicola Bernadi, presidente di Federprivacy)
Un ulteriore aspetto di rilievo emerso durante i lavori del seminario, è quello relativo alle retribuzioni che dovrebbe percepire un DPO. Mentre quando si tratta di un dipendente possono essere indicative le FAQ del Garante in ambito pubblico, in cui l’autorità si è espressa chiarendo che in linea di massima sarebbe preferibile che la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, la questione economica si complica invece quando l’incarico deve essere affidato ad un professionista esterno.
In particolare, bandi di gare pubbliche con offerte economiche irrisorie, e consulenti che si sono proposti a compensi low-cost pur di aggiudicarsi incarichi seriali hanno causato notevole confusione sul mercato con il rischio di vedere assegnato il ruolo di DPO a professionisti con costi bassissimi ma impreparati, e d’altra parte tagliando fuori coloro che invece le competenze le hanno, ma ai quali spesso non vengono riconosciuti compensi accettabili per poter svolgere dovutamente l’incarico e adempiere compiutamente a responsabilità e compiti che sono richiesti dal Gdpr. A questo proposito, un ultimo sondaggio di Federprivacy lanciato durante l’evento ha rilevato che il 73% dei professionisti vorrebbe l’introduzione di tariffe di riferimento specifiche per la categoria professionale dei data protection officer.