Data protection officer, una proposta di legge per riconoscerlo

La professione. Data protection officer, una proposta di legge per riconoscerlo

Maurizio Carucci

Una proposta di legge per riconoscere il Dpo

Il Dpo-Data Protection Officer (in italiano Responsabile della protezione dei dati) è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679 | Gdpr, pubblicato sulla Gazzetta Ufficiale europea (L. 119 il 4 maggio 2016). Figura storicamente già presente in alcune legislazioni europee, è un professionista che deve avere un ruolo aziendale (sia esso soggetto interno o esterno) con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali. È già conosciuto nel mondo anglosassone con il termine di Cpo-Chief Privacy Officer; Privacy Officer, Data Protection Officer o Data Security Officer. Il Regolamento sulla Data Protection, entrato in vigore il 25 maggio 2016, si applica a tutti i 27 Stati membri Ue a decorrere dal 25 maggio 2018, disciplina l’istituzione della figura del Dpo nei seguenti casi:

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

c) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari | sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.

L’articolo 9 del Regolamento al comma 1 definisce quelli che sono le categorie particolari di dati personali (ex dati sensibili) e in particolare i dati personali che «rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona».

L’art. 39 del Regolamento europeo sulla protezione dei dati personali elenca i principali compiti del Dpo:

1. Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:

a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento Privacy UE 2016/679 (Gdpr), nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l’osservanza del Regolamento Privacy UE 2016/679 (Gdpr), di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;

d) cooperare con l’autorità di controllo;

e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

La ricerca sul ruolo del Dpo

La ricerca sul ruolo del Dpo è stata condotta da Cesmal su richiesta di Ciu-Unioquadri su un campione di 100 aziende italiane operanti nel pubblico e nel privato che per legge (art. 37-39 Gdpr) devono avvalersi di questa figura professionale. Le aziende sono state scelte in funzione di due importanti caratteristiche: il quantitativo di dati sensibili trattati al loro interno e l’ammontare totale d’investimenti effettuati nei confronti del Dpo.

In funzione di questi due parametri, le società che hanno costituito il campione sono state in maggioranza quelle del settore Tecnologia e It seguite, nell’ordine, da: Finanziario, Sanitario, Partecipate, Enti Locali, Consorzi di Partecipazione e Autorità Portuali. Territorialmente le diverse tipologie di imprese intervistate si dislocano in modo non del tutto omogeneo lungo la penisola, confermando la concentrazione delle aziende al centro-nord.

Il 95,7% delle aziende intervistate ha introdotto un Dpo, segno di un’attenzione crescente alla privacy e alla sicurezza dei dati. Dal punto di vista di genere, il ruolo è occupato per l’80,4% da uomini e per il 19,6% da donne, riflettendo la disparità nelle posizioni di leadership.

Il 60,9% delle aziende ha reclutato il Dpo esternamente, con una prevalenza di esperti legali (59,8%).

Una sfida cruciale per il settore è il bilanciamento tra l’autonomia professionale del Dpo e le strategie organizzative interne, sotto questo punto di vista è fondamentale una preventiva formazione del Dpo che, secondo quanto rilevato dalla ricerca, viene effettuata dal 94,6% delle aziende intervistate.

Un’altra criticità risulta essere la necessità di rafforzare la cultura della privacy all’interno dell’azienda.

Su questo punto la ricerca ha rilevato due dati positivi. Il 73,9% delle aziende intervistate percepisce il Dpo non più come mero adempimento, ma come un vantaggio competitivo, in grado di aumentare la fiducia dei clienti e la reputazione dell’azienda. Allo stesso tempo, il 60,9% del campione ritiene efficace l’apporto che la figura del Dpo sta dando alla privacy e al trattamento dei dati, tanto da voler nel futuro aumentare il numero del personale impiegato nella protezione dei dati.

La proposta di legge

Il Dpo si colloca tra innovazione tecnologica e tutela dei diritti fondamentali, ma in Italia manca ancora una normativa chiara che ne definisca ruolo e requisiti. Questo vuoto normativo genera incertezze e rischi, affidando spesso la protezione dei dati a soggetti non adeguatamente qualificati. La proposta di legge mira a colmare questa lacuna, prevedendo un inquadramento giuridico del Dpo sia come libero professionista sia come dipendente. L’obiettivo è garantire criteri oggettivi per la selezione e formazione di questa figura, con percorsi certificati e strutturati. La proposta di legge è volta a regolamentare in modo chiaro e dettagliato il ruolo del Dpo, prevedendo requisiti specifici per la nomina, criteri di formazione continua, parametri retributivi adeguati e l’istituzione di un albo professionale. Tra i punti chiave della proposta emergono:

Prevenzione dei conflitti di interesse, con regole chiare per evitare che il Dpo controlli le proprie decisioni o quelle di reparti a cui è subordinato.
Garanzie di indipendenza, con tutele lavorative e contrattuali per evitare pressioni esterne e assicurare trasparenza e imparzialità.

L’iniziativa punta a rafforzare la protezione dei dati personali, in linea con l’articolo 8 della Carta dei diritti fondamentali dell’Ue.

«Una regolamentazione chiara della figura del Dpo è necessaria ed urgente - spiega Gabriella Ancora, presidente di Ciu-Unionquadri -. È indispensabile prevedere un riconoscimento giuridico di una categoria di professionisti che hanno un ruolo chiave nell’assicurare il rispetto delle regole in tema di privacy. Questo anche per evitare ogni confusione fra tale figura ed altre professionalità, come il responsabile per la transizione al digitale o chi sarà a breve chiamato a vigilare sul rispetto delle norme in tema di intelligenza artificiale. Si tratta di profili professionali simili ma distinti, con diverse funzioni, compiti e caratteristiche. Inoltre, rileviamo con urgenza il bisogno di definire percorsi formativi rigorosi e standard di riferimento qualificanti che permetterebbero di valorizzare il ruolo del Dpo, migliorandone la professionalità e offrendo vantaggi alle aziende. Il coinvolgimento di imprese, università e istituzioni è fondamentale per accrescere la consapevolezza sull’importanza di questa figura».

«Il Dpo è fondamentale per le aziende, in quanto garantisce il rispetto delle normative sulla privacy, migliorando la reputazione e la competitività. La sua expertise è cruciale per garantire la sicurezza dei prodotti e servizi digitali, in linea con le normative europee sulla cybersicurezza. È essenziale che il Dpo mantenga la sua indipendenza nell’organizzazione aziendale. Ciò può essere ottenuto tramite un contratto che definisca il suo ruolo e autonomia, evitando conflitti di interesse, specialmente nelle aziende di piccole dimensioni o quando il Dpo lavora per più aziende concorrenti», conclude Maurizio Mensi, consigliere di Cese e Ciu-Unionquadri.