Nel giorno della definitiva entrata in vigore del pacchetto protezione dei dati varato dall'UE, conosciuto anche  come GDPR (Generale Data Protection Regulation),si è svolta a Roma la settima edizione del Privacy Day Forum con un programma di 35  interventi da parte di relatori autorevoli ed esperti della materia  tra plenaria e workshop, e a margine del convegno il presidente di  Federprivacy ha rilasciato un'intervista sulla nuova figura del  Responsabile della Protezione dei Dati, conosciuto anche come Data  Protection Officer.       

Presidente, qual è la funzione del "Responsabile della protezione dei  dati"?

Si tratta di una figura a cui sono attribuiti diversi compiti  che deve svolgere con indipendenza e senza conflitti d'interesse: uno  è quello di informare e consigliare il management aziendale e anche i  dipendenti in merito agli obblighi prescritti dal Regolamento UE  2016/679 e dalle normative nazionali in materia di protezione dei  dati, e su richiesta deve fornire i pareri necessari per essere  conformi alle prescrizioni di legge. Poi deve verificare e sorvegliare che la normativa vigente e le policy interne del titolare siano  correttamente attuate ed applicate, inclusi gli adempimenti, le  attribuzioni delle responsabilità,la formazione del personale, ed i  relativi audit. Inoltre, funge da punto di contatto sia con il Garante per la Privacy che con gli interessati, i quali possono rivolgersi a  lui per l'esercizio dei loro diritti. Questo significa che deve essere facilmente rintracciabile, e i suoi recapiti devono essere sia  comunicati all'Authority attraverso una specifica procedura  telematica, sia resi noti nelle informative e nel sito dell'azienda o  dell'ente che lo ha designato.       

In quale tipologia di struttura è una figura obbligatoria?

E'  obbligatorio in tutte le pubbliche amministrazioni ed enti pubblici,  eccetto le autorità giudiziarie, e anche per tutti gli enti e le  imprese che nelle loro attività principali trattano su larga scala  dati sensibili relativi alla salute o alla vita sessuale, genetici,  giudiziari e biometrici, oppure che svolgono attività in cui i  trattamenti richiedono il controllo regolare e sistematico degli  interessati. Questo significa ad esempio che chi svolge attività di  profilazione online per monitorare gusti e preferenze degli utenti  ricade pienamente nell'obbligo. Dato che tali parametri del  Regolamento non sono del tutto perentori, ma richiedono un'attenta  valutazione di un esperto che si deve assumere la responsabilità di  determinare se occorra o meno nominare un responsabile della  protezione dei dati, in molti casi può essere opportuno decidere di  dotarsi comunque di questa figura, anche perché in caso contrario si  dovranno documentare per iscritto le ragioni per cui si è ritenuto di  non designarlo.       

Quali sono le competenze che deve avere? Il Regolamento EU richiede  che debba essere scelto un esperto della materia che possiede una  conoscenza specialistica della normativa e delle prassi di gestione  dei dati personali, ma la conoscenza accademica da sola non è  sufficiente, perché il professionista che ricopre questo ruolo deve  anche possedere il know-how necessario per applicare correttamente la  normativa ed essere in grado di adempiere alle proprie funzioni.       

Quale è stata la sua formazione?

Anche se si tratta di un profilo  principalmente giuridico, il Garante ha chiarito che non vi sono  titoli di studio o certificazioni obbligatorie, per cui non esiste una sorta di abilitazione. Tuttavia, istruzione, percorso formativi,  bagaglio d'esperienza pregressa, e competenze certificate da enti  indipendenti di terza parte sono certamente tutti importanti tasselli  che concorrono a determinare i criteri per determinare se il candidato a cui si intende affidare l'incarico possiede o meno quella conoscenza specialistica della normativa e delle prassi di gestione dei dati  personali che è richiesta dal Regolamento UE.       

Qual è il livello del suo trattamento economico?

Considerando i  delicati compiti che gli sono assegnati, il Garante ha osservato che  sarebbe preferibile che la designazione fosse conferita a un dirigente o a un funzionario di alta professionalità. A livello retributivo,  questa indicazione è in linea con le statistiche di cui disponiamo in  base alle quali nell'area UE un Responsabile della protezione dei dati percepisce in media un compenso lordo di 80.000 euro annui, che per  chi svolge questo incarico come dipendente significa uno stipendio  mensile di circa 3.500 euro al mese. Naturalmente, questa retribuzione può servire da riferimento per grandi realtà in cui il cosiddetto data protection officer svolge questo ruolo a tempo pieno. Attualmente in  Italia si stanno osservando bandi ed annunci di aziende che offrono  remunerazioni sensibilmente più basse, e al tempo stesso anche  professionisti che si offrono a costi più contenuti, ma chi possiede  effettivamente le competenze richieste dal Regolamento UE  difficilmente accetterà di essere sottopagato rispetto alle reali  quotazioni di mercato.       

Quanti sono a oggi in Italia i professionisti in grado di svolgere  questa ruolo?

Anche se il fabbisogno di esperti della materia nel  nostro Paese è stimato in circa 45.000 professionisti, il numero di  quelli che sono attualmente in grado di svolgere questo ruolo è di  gran lunga inferiore. Anche se il Regolamento è stato approvato ormai  due anni e mezzo fa, la maggioranza di coloro che oggi si propongono  per ricoprire questo ruolo ha iniziato ad approfondire la materia solo da pochi mesi, e in molti casi si tratta di esperti e consulenti  improvvisati. Secondo le statistiche di Federprivacy, quelli che  infatti hanno partecipato a percorsi formativi specialistici in  materia di protezione dei dati sono poco più di duemila.