Il regolamento europeo in materia di protezione dei dati, che vedrà la luce in primavera, spingerà pesantemente il mercato del lavoro dei “data protection officer”. Secondo le stime oltre 25mila imprese e 20mila pubbliche amministrazioni avranno bisogno di un esperto di privacy, da nominare entro due anni. I professionisti, avverte però Federprivacy, “dovranno anche confrontarsi con le reali esigenze delle aziende” e il mercato richiederà “profili interdisciplinari per ottemperare agli obblighi di legge e sfruttare allo stesso tempo le opportunità dell’economia digitale”.
Una ricerca condotta su un campione di 1.000 addetti ai lavori, ha infatti evidenziato che nell’ottica del nuovo regolamento comunitario, le aziende ricercano nei privacy officer non solo conoscenza normativa, ma anche competenze su sistemi di gestione, compliance aziendale, marketing strategico, e adeguate conoscenze informatiche.
A differenza di molti paesi anglosassoni, spiega l’associazione, dove i privacy officer sono professionisti affermati e ben retribuiti anche quando non imposti dalla legge, in Italia regna un retaggio imprenditoriale che per anni ha spesso considerato la materia come una fastidiosa burocrazia e un costo superfluo. C’è quindi il rischio, secondo Federprivacy, che il Regolamento Europeo contribuisca ad aumentare al percezione delle aziende degli esperti di privacy come meri “controllori” delle possibili violazioni di legge, o addetti alla produzione di documentazione obbligatoria.
Per cercare di capire le tendenze in atto nelle aziende e nella Pubblica amministrazione e le esigenze del mercato rispetto al tema della privacy CorCom ha intervistato Nicola Bernardi, presidente di Federprivacy.
Voi individuate nella “fastidiosa burocrazia e costi superflui” due elementi che costituiscono il retaggio degli imprenditori rispetto agli esperti di privacy. E’ una tendenza che riguarda anche la Pa?
Purtroppo il problema riguarda sia le aziende private che le pubbliche amministrazioni. Proprio queste ultime sono chiamate ad una progressiva informatizzazione e smaterializzazione dei processi incrementando di conseguenza i trattamenti di dati personali attraverso la rete, ma di pari passo dovrebbero assicurare dei livelli adeguati di compliance con la normativa in materia.
Tuttavia, se ci risulta che la maggior parte delle grandi aziende private si sono già organizzate per avere nel loro organico un privacy officer, non si può dire la stessa cosa delle pubbliche amministrazioni, che dietro la spinta della spending review finiscono per tagliare i budget necessari per avvalersi di professionisti competenti.
In che modo si combatte questa percezione?
L’entità delle sanzioni previste dal nuovo Regolamento UE, (fino a 20 milioni di euro o al 4% del fatturato annuo), è un deterrente che sta spingendo le aziende pubbliche e private ad organizzarsi per prevedere nel loro organico una funzione privacy, ma ciò che serve veramente è che le imprese acquisiscano la dovuta consapevolezza che i dati personali sono dei veri e propri “asset”, e che come tali vanno tutelati.
Il fatto che sia mossa l’Ue nel suo insieme potrebbe aiutare ad abbattere questa diffidenza?
L’UE ha messo a punto un pacchetto sulla protezione dei dati che fornisce tutti gli strumenti utili per conseguire una privacy snella e sostanziale per i prossimi 20 anni, ma le aziende italiane devono ancora liberarsi della mentalità burocratica, e spesso si complicano la vita da sole. Poiché siamo di fronte ad una materia complessa e interdisciplinare, anche nei processi di selezione le nostre imprese devono inoltre stare attente a non farsi influenzare da eventuali raccomandazioni, ma di scegliere solo professionisti che possiedano tutte le competenze necessarie.
Se la competenza normativa non è sufficiente, ma servono competenze trasversali, quali sono gli ambiti, oltre a quello giuridico, su cui formazione e istruzione specializzata devono concentrarsi?
Un’approfondita conoscenza della normativa è fondamentale, ma il profilo degli esperti di protezione dei dati che richiede il mercato alla luce del Regolamento UE deve essere completato con competenze sui sistemi di gestione, che sono necessarie per definire procedure snelle ed ottimizzare i processi aziendali, sulle tecniche di audit per monitorare la conformità dell’azienda, e naturalmente accompagnate da buoni skills informatici, dato che la maggior parte dei dati sono trattati ormai attraverso strumenti digitali.
Anche se il titolo di studio da solo non è sufficiente per essere in grado di gestire la privacy aziendale, un percorso di istruzione raccomandabile a chi aspira a specializzarsi nel settore è sicuramente quello di una laurea in informatica giuridica, tenendo conto che le aziende chiedono poi di poter dimostrare l’effettivo possesso delle competenze, e per questo sono in costante crescita le certificazioni professionali. Un altro aspetto essenziale, è che non c’è un punto di arrivo nella propria formazione, ma il professionista che si occupa di data protection deve tenersi costantemente aggiornato e seguire gli sviluppi normativi derivanti dall’evoluzione tecnologica e dal mutamento degli scenari.