Urgono Dpo. La figura aziendale del Data Protection Officer, resa obbligatoria dall’applicazione del Gdpr (General Data Protection Regulation, esecutivo il prossimo 25 maggio 2018) è destinata a essere ben più di un mero garante della compliance normativa. In un mondo in cui i dati diventano un asset fondamentale per qualsiasi impresa, la loro amministrazione si traduce in un’attività strategica, per la quale la consulenza, l’audit, il patrocinio e l’accrescimento della cultura digitale sono alla base della creazione di valore e vantaggio competitivo, in qualsiasi mercato.
Si aprono dunque interessanti opportunità di carriera per profili specializzati nelle tematiche legali e informatiche ma anche – se corredati da formazione ed esperienza sul campo – per curricula costruiti sulle materie umanistiche, sulle scienze della comunicazione e sul marketing. La parola d’ordine, infatti, quando si parla di corretta gestione dei dati, è multidisciplinarietà. Senza contare che solo il lavoro di squadra può mettere a punto una proposizione consulenziale talmente completa e flessibile da affrontare le sfide che pone e porrà sempre più frequentemente la Data Protection.
La certificazione della professionalità del Dpo è stata da poco introdotta dalla norma UNI 11697 (pubblicata il 30 novembre 2017) che ha uniformato le regole di certificazione per le figure professionali relativi al trattamento e alla protezione dei dati personali per gli enti di certificazione preposti al rilascio della stessa sotto l’accreditamento di Accredia. Ottenere questo riconoscimento non è obbligatorio, ma è senz’altro utile in un mercato se non agli albori almeno in piena formazione, dove i confini sono ancora labili e le aziende fanno giustamente fatica a riconoscere i profili qualificati.
“Sono quattro le figure di riferimento quando si parla di data protection”, spiega Matteo Colombo, Amministratore Delegato di Labor Project, realtà specializzata nell’assistenza e nella formazione sui temi della privacy e della compliance normativa, nonché Presidente di AssoDpo, l’associazione nazionale che tutela e promuove la professione del Data Protection Officer. “Partendo dalla qualifica con la maggiore responsabilità c’è il Dpo vero e proprio, figura di supporto al titolare dell’azienda e responsabile della corretta applicazione del GDPR. Quindi si passa al Manager della Privacy, ovvero chi assiste il titolare nel coordinamento interno degli strumenti e delle pratiche a tutela della riservatezza dei dati. Segue lo Specialista della Privacy, che collabora con il Manager nell’attuazione del piano e rispetto alle fasi più operative. Infine c’è il Valutatore della Privacy, che da esterno si occupa dell’audit e delle verifiche sugli adempimenti”.
Colombo spiega che per maturare il know how necessario a svolgere il ruolo di Dpo e ottenere la certificazione UNI, un diplomato o un laureato deve intraprendere un percorso formativo di 80 ore presso società di formazione, come per esempio Labor Project, o gli atenei che hanno aperto corsi e master sulla Data Protection. “Penso a Roma Tre o all’Università di Bologna, dove è lo stesso Garante che collabora alla preparazione delle lezioni”, dice Colombo. “A livello internazionale, a Bruxelles sono stati avviati master ad hoc, mentre mi sento di sconsigliare le costose università americane”.
Impossibile trascurare, infatti, la dimensione internazionale (e per questo anche coltivare le lingue straniere, a partire dall’inglese): quello del Dpo è infatti un mestiere che non solo si snoderà a cavallo dei Paesi verso cui è indirizzato il business dei clienti italiani, ma è anche una professione che offre diversi sbocchi per chi cerca una carriera all’estero. “Il mercato tricolore, al momento, è decisamente più carente rispetto ad altre realtà europee. Si contano in tutto un migliaio di Dpo lungo la Penisola, mentre per esempio in Germania, che è comunque dove la figura è presente da alcuni anni, parliamo già di diverse migliaia di professionisti attivi”, precisa Colombo, che aggiunge: “Sempre a Bruxelles ha sede Dpo Network Europe, una società di recruiting specializzata negli ambiti della Privacy e della Data Protection che ingaggia professionisti per conto di imprese Europee
Non bisogna poi dimenticare l’opportunità rappresentata dalla vicina Svizzera (le cui imprese che acquisiscono, conservano e trattano dati di cittadini europei devono comunque sottostare al regolamento comunitario) e dalle organizzazioni dei Paesi extra UE, che hanno la necessità di istituire delle rappresentanze in Europa per rispondere alle Autorità competenti in caso di indagini o infrazioni. “Soprattutto in quest’ottica la capacità di creare dei team multidisciplinari e di fare network con professionisti internazionali sarà cruciale nel riuscire a intercettare e vincere i bandi delle multinazionali e delle Pubbliche amministrazioni”, garantisce Colombo. “Noi stessi come Labor Project, nel momento in cui siamo chiamati a effettuare l’auditing di multinazionali italiane con sedi all’estero, attiviamo collaborazioni con professionisti dislocati nei Paesi interessati per gestire meglio le attività e svolgere un lavoro più puntuale, caso per caso”.
Ma quanto può guadagnare un Dpo? “Una recente ricerca statunitense dice che il compenso lordo negli USA si aggira sugli 80 mila dollari l’anno. Calandoci nella realtà italiana, direi che il trattamento medio riscontrato nel settore privato è quello di un quadro con riporto diretto al management; Quindi possiamo pensare a un RAL che mediamente vale all’incirca 36/38 mila euro annue”. Nelle linee guida della PA si suggerisce che il Data Protection Officer debba preferibilmente essere un dirigente. Differentemente le imprese si stanno orientando a contratti di servizi con società esterne che permettono di far affidamento su tema di lavoro. “A tal proposito abbiamo creato una divisione apposita dedicata a tale attivata: Dpo Privacy Service a cui le aziende possono appaltare il servizio”.
