La protezione dei dati esige un responsabile
Dal 25 maggio amministrazioni pubbliche e aziende medio-grandi dovranno individuare il data protection officer, cioè il responsabile della protezione dei dati. Lo prevede il regolamento europeo sulla privacy, che diventerà operativo tra poco più di quattro mesi con due obiettivi: da un lato uniformare a livello Ue la normativa in materia di tutela della riservatezza, ora frammentata nelle legislazioni nazionali; dall’altro, rendere più penetrante la protezione dei dati personali.
Anche per questo il regolamento introduce la figura del data protection officer (Dpo), che dovrà verificare l’applicazione della nuova normativa collaborando e supportando l’attività degli altri uomini-privacy, ovvero il titolare e il responsabile del trattamento dei dati. Si tratta di un ruolo nuovo, sul cui profilo il regolamento dice poco. Di certo c’è che si aprono nuove opportunità per chi intende lavorare nel campo della protezione delle informazioni personali. Nel prossimo futuro si avrà bisogno di migliaia di Dpo: secondo alcune stime, ne serviranno circa 40mila.
Ecco perché almeno da un anno e mezzo – da quando, ad aprile 2016, è stato approvato il regolamento – c’è un grande fermento di corsi per formare i Dpo. Come, però, ha avuto modo di chiarire il Garante della privacy in una nota di qualche mese fa (pubblicata sulla newsletter 432 del 15 settembre), il regolamento non prevede che il Dpo possieda attestati formali delle competenze professionali. I certificati formativi, ha sottolineato il Garante, possono rappresentare uno strumento utile per valutare il possesso di determinate conoscenze, ma non equivalgono a una “abilitazione” allo svolgimento del ruolo di data protection officer.
In altre parole, non esistono requisiti prestabiliti in base ai quali selezionare il Dpo (come il titolo di studio o l’appartenenza a un Albo professionale). Per scegliere il Dpo, dunque, uffici pubblici e aziende dovranno muoversi in autonomia, partendo dalle proprie esigenze in materia di protezione dei dati e seguendo le indicazioni di carattere generale fornite dal Garante: privilegiare chi possiede un’approfondita conoscenza delle regole sulla riservatezza dei dati e di quelle del settore in cui si deve operare, puntando su persone che possano documentare le proprie conoscenze (per esempio, attraverso partecipazione a master o a corsi di studio o professionali) e le eventuali esperienze fatte.