NEWS

Dal Data Protection Officer al manager dei dati: come deve cambiare il ruolo chiave del Gdpr anche nel quadro di un suo costante aggiornamento professionale

Come abbiamo detto più volte anche nelle pubblicazioni di Federprivacy, l’Unione Europea è impegnata ormai da anni in una sfida a tutto campo per conquistare la sovranità digitale e competere a livello globale con gli ecosistemi USA e Cina.

Francesco Pizzetti, Presidente dell'Autorità per la protezione dei dati personali dal 2005 al 2012

(Nella foto: Francesco Pizzetti, Presidente dell'Autorità per la protezione dei dati personali dal 2005 al 2012)

Non deve stupire dunque che già il 26 gennaio 2022 la Commissione abbia presentato la “Dichiarazione europea sui Diritti Digitali e sui Principi per il decennio digitale” mentre successivamente, il 19 febbraio del 2020, praticamente poco dopo l’avvio del mandato della Commissione von der Leyen, la Commissione stessa abbia adottato una nuova Comunicazione intitolata “Una strategia europea per i dati” nella quale ha tracciato una analisi approfondita dell’economia dei dati e dell’Intelligenza Artificiale, con la formulazione di un programma quinquennale per la costruzione di un robusto Mercato Unico Digitale Europeo.

In questa Comunicazione cominciò anche ad essere delineata larga parte di quello che poi sarebbe divenuto il Recovery Fund: un programma di investimenti economici collocato nel quadro di un impressionante sforzo economico (in quel documento già delineato ma non ancora specificato), pensato per dotare l’Unione anche delle infrastrutture tecnologiche necessarie per sostenere un disegno così audace.

Contemporaneamente alla Comunicazione citata, la Commissione presentò anche la Comunicazione “Plasmare il futuro digitale dell’Europa” e il “Libro bianco sull’Intelligenza artificiale”. Su tutti e tre i documenti avviò inoltre una ampia consultazione, inaugurando così un metodo di rapporto trasparente con gli stakeholders dell’economia digitale, ivi comprese ovviamente le Big Tech. Una consultazione che ebbe subito il duplice obiettivo di favorire la compartecipazione alla legislazione europea dei soggetti economici interessati e di cominciare a porre, proprio grazie a una consultazione aperta e trasparente, un freno alle attività lobbistica delle grandi piattaforme del digitale.

Ciononostante le grandi piattaforme on line hanno sviluppato anche una impressionante, e in linea generale legittima, attività di pressione sui decisori europei con la finalità di influenzarne le decisioni per renderle più compatibili coi loro tradizionali modelli di business. Questa attività si è talvolta spinta anche a promuovere corsi per Data Protection Officer spesso poco attenti a proteggere questa figura così come delineata nel GDPR da di iniziative di formazione che ne compromettono o ne “appannano”, almeno in ragione dei finanziamenti che ne garantiscono la gratuità, anche l’immagine del DPO e, conseguentemente, quella del Paese in cui questi corsi si sviluppano.

Inoltre queste iniziative hanno spesso trascurato il fatto che chi si è formato in un corso promosso da una Big Tech potrebbe avere più difficoltà a godere della fiducia dei concorrenti o delle imprese che operano in settori concorrenziali o, peggio, del tutto diversi da quelli che interessano i promotori.

In ogni caso quello che merita sottolineare è che a partire dalla fine del decennio scorso nella Unione Europea l’attenzione alla disciplina dei dati nell’ambito dell’economia digitale ha subìto un mutamento molto forte. Mentre negli anni precedenti l’attenzione dell’UE alla regolazione dei dati è stata tutta incentrata sulla protezione dei dati personali, e dunque sulla tutela del diritto alla privacy inteso come diritto fondamentale riconosciuto agli individui, successivamente con l’affermarsi dell’evoluzione dell’economia digitale l’UE ha cominciato a vedere la regolazione dei dati anche come uno strumento per consolidare il suo ruolo e soprattutto per tornare a competere su scala mondiale con gli ecosistema americano e cinese.

Quest’ultimo passaggio si basa sostanzialmente sulla convinzione che se la UE riuscirà ad adottare una regolazione completa dei fenomeni connessi a un’economia sempre più digitale e riuscirà a costruire un Digital Single Market basato sul rispetto dei diritti fondamentali e dei valori della cultura europea, allora lo spazio digitale europeo sarà anche uno spazio più sicuro dell’ecosistema americano e di quello cinese. Se così sarà (e questo è il nodo centrale), allora il nuovo ecosistema europeo potrà attrarre anche investitori di altre parti del pianeta spinti dalla possibilità di operare in un mercato protetto e affidabile per tutti i cittadini proprio in virtù del fatto che la regolazione europea pone al centro l’individuo e la tutela dei suoi diritti. Cosa questa, e qui sta la vera “scommessa” che è la stessa che è anche alla base del GDPR, che potrà anche favorire la fiducia dei fornitori e degli utenti dei servizi digitali nell’affidabilità complessiva del Mercato Digitale Europeo.

In questo quadro si capisce bene l’importanza del Digital Services Act Package presentato dalla Commissione nel dicembre del 2020 e anche il rilievo dato dai commentatori al fatto che negli ultimi tre mesi è stato trovato un accordo tra le Istituzioni europee sia sul DMA (Digital Market Act) che sul DSA (Digitale Services Act). Due proposte regolatorie, queste ultime, fondamentali per dare al mercato digitale europeo regole che favoriscano la fiducia degli utenti nei fornitori di servizi operanti nello spazio unico europeo nel quale appunto, una volta approvate, le regole in questione consentiranno a tutti di operare con fiducia in un contesto regolato e rispettoso degli interessi e dei diritti individuali degli utenti e dei fornitori.

È ovvio però che in questo quadro la figura del Data Protection Officer, pur senza che il GDPR sia modificato, è destinata a cambiare.

Sempre più nella cornice del nuovo Mercato Unico Digitale gli operatori e le imprese, sia quelle fornitrici di servizi che quelle costruttrici di apparati tecnologici di utilizzo e analisi dei dati, avranno bisogno non solo di un DPO preparato a maneggiare adeguatamente la normative del GDPR, ma richiederanno anche DPO che siano anche esperti di dati e dunque in grado di dare alle imprese consulenza e tutela adeguata anche rispetto alle innovazioni regolatorie e tecnologiche che la UE sta mettendo in campo proprio per vincere, in ragione della maggiore affidabilità del suo mercato, la competizione con l’ecosistema americano e con quello cinese.

La figura del DPO, pur senza che il GDPR sia modificato, è destinata a cambiare.

Non a caso le Università più avanzate come quella di Milano e di Torino già si sono mosse e hanno organizzato corsi di formazione per DPO nei quali si dedica analoga attenzione e spazio sia al GDPR che alla nuova regolazione che verrà.

Il fine di questi corsi, infatti, è quello di formare Data Protection Officer che fin dalla fase dell’apprendimento iniziale siano conoscitori attenti del mondo che c’è e di quello che sta arrivando, nella consapevolezza che, come dice Floridi, ormai viviamo nella società on line mentre quella of line è destinata a diventare man mano sempre più solo un ricordo proprio delle generazioni che hanno vissuto gli anni che ci stanno alle spalle.

Come si sottolinea sempre più spesso, infatti, la Unione Europea ha già attualmente una carenza di circa un milione di esperti di dati e di specialisti digitali. Per questo nei piani citati sono previsti ingenti risorse anche per la formazione di nuove competenze digitali con l’obiettivo che entro il 2025 l’attuale deficit della UE in materia di esperti digitali, pari a circa un milione di persone, sia almeno dimezzato.

Sarebbe davvero singolare che invece nell’ambito dei DPO, settore nel quale la conoscenza dei dati digitali dovrebbe essere massima, dovessimo registrare invece una insensibilità alle nuove esigenze a un inammissibile atteggiamento conservativo nella propria formazione.

Infine, merita sottolineare fin da ora che nel contesto qui descritto i DPO dovranno sempre di più curare anche il loro costantemente aggiornamento: il che significa che organizzazioni da molti anni specializzate nel settore come Federprivacy , anche tenendo conto dell’evoluzione delle piattaforme online e delle innovazioni tecnologiche adottate dai fornitori di servizi dovranno sempre più curare la organizzazione di periodi di aggiornamento che mantengano elevata la professionalità dei Data Protection Officer già in piena attività lavorativa.

Ci troviamo dunque di fronte a mutamenti che pongono anche elevate sfide ai formatori e agli stessi professionisti già in servizio.

È dovere di tutti garantire che l’Italia sia preparata a queste sfide, facendo così la sua parte anche nel quadro dell’Unione Europea.

Note sull'Autore

Francesco Pizzetti Francesco Pizzetti

Professore ordinario di diritto costituzionale a Torino e docente alla Luiss. Presidente Autorita' Garante per la protezione dei dati personali dal 18 aprile 2005 al 17 giugno 2012.

Prev Gdpr, bello e impossibile
Next Privacy e minori online: dall’Europa una buona notizia, ma anche un’altra meno buona

Il presidente di Federprivacy a Report Rai 3

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy