Privacy Day, intervista al presidente di Federprivacy sul DPO

ICT
Privacy Day, intervista al presidente di Federprivacy sul DPO

Operativo da oggi il nuovo Regolamento UE 2016/679 sulla protezione dei dati personali, che introduce l'obbligo del Data Protection Officer per tutte le pubbliche amministrazioni e per migliaia di aziende, tra cui quelle che trattano dati sensibili su larga scala o profilano i gusti e le preferenze online degli utenti

Nel giorno della definitiva entrata in vigore del pacchetto protezione dei dati varato dall'UE, conosciuto anche come GDPR (Generale Data Protection Regulation), si è svolta a Roma la settima edizione del Privacy Day Forum con un programma di 35 interventi da parte di relatori autorevoli ed esperti della materia tra plenaria e workshop, e a margine del convegno il presidente di Federprivacy ha rilasciato un'intervista sulla nuova figura del Responsabile della Protezione dei Dati, conosciuto anche come Data Protection Officer.


Presidente, qual è la funzione del "Responsabile della protezione dei dati"?
Si tratta di una figura a cui sono attribuiti diversi compiti che deve svolgere con indipendenza e senza conflitti d'interesse: uno è quello di informare e consigliare il management aziendale e anche i dipendenti in merito agli obblighi prescritti dal Regolamento UE 2016/679 e dalle normative nazionali in materia di protezione dei dati, e su richiesta deve fornire i pareri necessari per essere conformi alle prescrizioni di legge. Poi deve verificare e sorvegliare che la normativa vigente e le policy interne del titolare siano correttamente attuate ed applicate, inclusi gli adempimenti, le attribuzioni delle responsabilità,la formazione del personale, ed i relativi audit. Inoltre, funge da punto di contatto sia con il Garante per la Privacy che con gli interessati, i quali possono rivolgersi a lui per l'esercizio dei loro diritti. Questo significa che deve essere facilmente rintracciabile, e i suoi recapiti devono essere sia comunicati all'Authority attraverso una specifica procedura telematica, sia resi noti nelle informative e nel sito dell'azienda o dell'ente che lo ha designato.

In quale tipologia di struttura è una figura obbligatoria?
E' obbligatorio in tutte le pubbliche amministrazioni ed enti pubblici, eccetto le autorità giudiziarie, e anche per tutti gli enti e le imprese che nelle loro attività principali trattano su larga scala dati sensibili relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici, oppure che svolgono attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati. Questo significa ad esempio che chi svolge attività di profilazione online per monitorare gusti e preferenze degli utenti ricade pienamente nell'obbligo. Dato che tali parametri del Regolamento non sono del tutto perentori, ma richiedono un'attenta valutazione di un esperto che si deve assumere la responsabilità di determinare se occorra o meno nominare un responsabile della protezione dei dati, in molti casi può essere opportuno decidere di dotarsi comunque di questa figura, anche perché in caso contrario si dovranno documentare per iscritto le ragioni per cui si è ritenuto di non designarlo.

Quali sono le competenze che deve avere?
Il Regolamento EU richiede che debba essere scelto un esperto della materia che possiede una conoscenza specialistica della normativa e delle prassi di gestione dei dati personali, ma la conoscenza accademica da sola non è sufficiente, perché il professionista che ricopre questo ruolo deve anche possedere il know-how necessario per applicare correttamente la normativa ed essere in grado di adempiere alle proprie funzioni.

Quale è stata la sua formazione?
Anche se si tratta di un profilo principalmente giuridico, il Garante ha chiarito che non vi sono titoli di studio o certificazioni obbligatorie, per cui non esiste una sorta di abilitazione. Tuttavia, istruzione, percorso formativi, bagaglio d'esperienza pregressa, e competenze certificate da enti indipendenti di terza parte sono certamente tutti importanti tasselli che concorrono a determinare i criteri per determinare se il candidato a cui si intende affidare l'incarico possiede o meno quella conoscenza specialistica della normativa e delle prassi di gestione dei dati personali che è richiesta dal Regolamento UE.

Qual è il livello del suo trattamento economico?
Considerando i delicati compiti che gli sono assegnati, il Garante ha osservato che sarebbe preferibile che la designazione fosse conferita a un dirigente o a un funzionario di alta professionalità. A livello retributivo, questa indicazione è in linea con le statistiche di cui disponiamo in base alle quali nell'area UE un Responsabile della protezione dei dati percepisce in media un compenso lordo di 80.000 euro annui, che per chi svolge questo incarico come dipendente significa uno stipendio mensile di circa 3.500 euro al mese. Naturalmente, questa retribuzione può servire da riferimento per grandi realtà in cui il cosiddetto data protection officer svolge questo ruolo a tempo pieno. Attualmente in Italia si stanno osservando bandi ed annunci di aziende che offrono remunerazioni sensibilmente più basse, e al tempo stesso anche professionisti che si offrono a costi più contenuti, ma chi possiede effettivamente le competenze richieste dal Regolamento UE difficilmente accetterà di essere sottopagato rispetto alle reali quotazioni di mercato.

Quanti sono a oggi in Italia i professionisti in grado di svolgere questa ruolo?
Anche se il fabbisogno di esperti della materia nel nostro Paese è stimato in circa 45.000 professionisti, il numero di quelli che sono attualmente in grado di svolgere questo ruolo è di gran lunga inferiore. Anche se il Regolamento è stato approvato ormai due anni e mezzo fa, la maggioranza di coloro che oggi si propongono per ricoprire questo ruolo ha iniziato ad approfondire la materia solo da pochi mesi, e in molti casi si tratta di esperti e consulenti improvvisati. Secondo le statistiche di Federprivacy, quelli che infatti hanno partecipato a percorsi formativi specialistici in materia di protezione dei dati sono poco più di duemila.

Ufficio Stampa Federprivacy
Email: press@federprivacy.it
Web: www.federprivacy.org
Twitter: @Federprivacy
Mobile: +39 340 2893068



RIPRODUZIONE RISERVATA © Copyright Adnkronos.