Privacy, regolamentare la figura del Dpo per tutelare la sicurezza delle aziende

La strada da fare, ovviamente, è ancora lunga: negli ultimi anni, infatti, le aziende si sono trovate sempre più a fare i conti con l’onere di dover trovare un equilibrio tra l’autonomia professionale del Dpo e l’organizzazione aziendale. Un tandem che non può reggersi se non si appoggia, da un lato a un sistema di regole in evoluzione, dall’altro a professionisti preparati e aggiornati sulla cultura aziendale su cui lavorare e da preservare. È proprio in questo perimetro che si innesta il bisogno di una formazione preventiva che, guardando al report, viene oggi erogata da oltre il 94 per cento delle aziende coinvolte.

Eppure non basta: serve, infatti, insistere sulla cultura della privacy, studiando piani d’azione per rafforzarla e consolidare la collaborazione tra le parti. Criticità a cui oltre il 73 per cento delle imprese ha risposto inquadrando il data protection officer non più come obbligo normativo ma come strumento virtuoso in grado di garantire, secondo il professor Maurizio Mensi, consigliere Cese per CIU-Unionquadri, «un vantaggio reputazionale e concorrenziale derivante dall’avvalersi di un professionista qualificato – con caratteristiche in linea coi requisiti fissati dal regolamento europeo -, e soprattutto la possibilità di dimostrare che l’organizzazione aziendale è totalmente orientata al rispetto delle regole in tema privacy».

Una figura da regolamentare

La fotografia restituita dal report punta i riflettori sull’urgenza di disciplinare la figura del Dpo che, a metà tra innovazione tecnologica e gestione protetta dei dati, può fare la differenza. Se a livello europeo, la direzione da seguire è quella dell’articolo 39 del Gdpr – che ne impone la selezione obbligatoria sulla base di qualità professionali specifiche, in particolare conoscenza della normativa e della prassi in materia di protezione dei dati, lasciando agli Stati membri carta bianca sulle competenze -, in Italia c’è un vuoto normativo problematico da correggere. Soprattutto per estirpare il rischio di affidare un incarico così delicato a profili poco preparati, privi dei requisiti e potenzialmente pericolosi.

A questa criticità CIU-Unionquadri risponde con una proposta di legge (in cinque punti) che mira a fissare criteri oggettivi per selezionare e formare il professionista con un percorso certificato e una preparazione di livello. Al primo punto della check list la definizione delle competenze: il Dpo deve conoscere bene la normativa sulla protezione dei dati ma avere anche un background interdisciplinare in grado di spaziare dalla sicurezza informatica alla governance aziendale, fino ai principi etici per il trattamento delle informazioni. Una legge può e deve chiarire quali siano le skill basilari richieste per evitare rischi complicati da gestire. Al secondo punto, quasi in continuità, il focus sul percorso formativo e le certificazioni erogate da enti accreditati. La professionalità e l’efficacia della mansione passano da un iter formativo costruito ad hoc, grazie anche a corsi universitari specializzati, master e percorsi di aggiornamento, con esami finali di verifica. Un pacchetto necessario, per la presidente della Confederazione Gabriella Ancora, «a qualificare la figura, prevedendo standard di riferimento e un percorso professionale solido, per promuovere competenze e qualità e valorizzare anche l’impresa che se ne avvale». Con un impatto positivo per il mercato del lavoro.

Fulcro della proposta l’inquadramento giuridico. Potendo il Dpo operare sia come libero professionista autonomo sia come dipendente di un ente, la legge deve chiarire margini di autonomia, responsabilità, durata dell’incarico ed eventuali incompatibilità con altre funzioni aziendali, differenziando i parametri in base all’inquadramento e stabilendo criteri stringenti. Una bussola necessaria a evitargli pressioni esterne e, soprattutto, potenziali conflitti di interessi. Che potrebberi sorgere, ad esempio, nel caso in cui si trovasse a dover controllare le proprie decisioni o quelle del dipartimento a cui è subordinato.