“La nostra sfida è far sì che l’associazione operari in tutto il contesto europeo. Vogliamo permettere a un professionista italiano di lavorare in tutti gli Stati membri. Il Dpo è una delle prime professionalità veramente europee”. Matteo Colombo, presidente di Asso Dpo, l’associazione che riunisce i data protection officer (in italiano responsabili della protezione dei dati, Rpd) non nasconde la sua ambizione principale. Intervistato da CorCom, spiega perché questa figura professionale, a cui è affidato il compito di difendere le informazioni personali e sensibili dagli attacchi esterni, ha assunto una rilevanza specifica nel contesto dell’economia digitale. Il riferimento più citato è al Regolamento generale sulla protezione dei dati (Gdpr), che sarà pienamente applicabile dal 25 maggio 2018. Nuove regole che prevedono sanzioni pesanti per chi non si mette in regola, ma che al tempo stesso rappresentano un’importante occasione per valorizzare i dati trattati dalle aziende.
Quando siete partiti ?
Nel 2013 con i soci fondatori Massimo Giuriati, Emanuele Vettorello, Luca Almici e Federica Castelli abbiamo costituito Asso Dpo scegliendo come sede Milano, capitale economica italiana. Negli anni abbiamo avuto una crescita costante e abbiamo costruito una rete di rapporti con Dpo italiani e con il supporto fondamentale di Nadia Arnaboldi abbiamo creato anche una serie sempre più importante di relazioni internazionali con le authority garanti, le associazioni della privacy, le università e i Dpo di multinazionali.
Qual è l’importanza di un’associazione ad hoc per i Data protection officer?
Sentivamo l’esigenza di creare un network di riferimento dei professionisti della privacy. Fin da subito hanno aderito diversi specialisti, sia data protection officer interni che esterni di grandi multinazionali e pubbliche amministrazioni. Oggi siamo una realtà che punta a valorizzazione la figura del Dpo e all’innalzamento delle sue competenze professionali, accompagnando la crescita con una conoscenza costantemente aggiornata delle norme e valorizzando le “best practice”. La nostra sfida è far sì che l’associazione operi in tutto il contesto europeo. Vogliamo permettere a un professionista italiano di lavorare in tutti gli Stati membri. Infatti, Il Dpo è una delle prime professionalità veramente europee. Serve però una conoscenza professionale della lingua inglese. Sembra scontato ma purtroppo non lo è.
Quali iniziative avete messo in campo per supportare i nuovi professionisti della privacy?
Di concerto con il comitato direttivo e scientifico abbiamo costruito degli standard formativi per supportare il percorso professionale, chiedendo a Cepas Bureau Veritas di validare la nostra opera attraverso la certificazione Iso 17024. Oggi vi sono una serie di enti di formazione accreditati che organizzano corsi di formazione per i privacy professional; inoltre Asso Dpo, che vanta 300 iscritti in costante crescita, organizza direttamente workshop di approfondimento delle norme privacy ed è ente iscritto al registro professionale legge 4/2013 del ministero dello Sviluppo economico. Abbiamo anche chiuso un accordo con una primaria compagnia di assicurazione per una polizza professionale orientata alla professione.
A livello associativo diamo il nostro contributo organizzando un congresso annuale internazionale, alla sua terza edizione, che si terrà a Milano l’8 e il 9 maggio 2017 e che ha come linea di conduzione la creazione di una rete di professionisti a livello europeo. Raccoglieremo nella capitale economica d’Italia le principali associazioni europee di privacy e data protection. Anche perché non stiamo parlando di temi nazionali: i professionisti della privacy devono ormai essere in grado di coordinarsi con le regole europee.
C’è un dibattito fra gli addetti ai lavori sulle caratteristiche necessarie del Dpo: c’è chi dice che debba avere più competenze informatiche e chi dice più competenze legislative. La verità è nel mezzo?
Le regole europee descrivono un profilo fortemente orientato alla conoscenza approfondita delle norme di riferimento. In realtà la figura del Dpo deve poter operare a 360 gradi, toccando anche l’informatica, il management, le relazioni sindacali, la cybersecurity, i processi aziendali e i principi di privacy by design e default. Il Dpo deve avere pure qualità che vanno oltre, come essere un team leader. La difficoltà è essere multitasking, cioè sapere passare dal processo di certificazione all’IT passando per il legale. Sono essenziali la passione per il proprio ruolo e un senso comune di appartenenza a un team che può far crescere l’azienda. Questo è il grande tema: non bisogna pensare che la privacy sia una scocciatura, ma capire che oggi la protezione di dati e la compliance sono l’unico modo per valorizzare i dati come asset aziendale.
I data protection officer saranno interni ad aziende e Pubblica amministrazione o saranno dei consulenti esterni?
Le linee guida delineano il profilo di un vigilante, un soggetto che controlla e verifica che le regole siano applicate. È molto probabile che le grandi multinazionali e grandi enti pubblici si orientino verso la creazione di uffici privacy corporate; mentre le realtà medio piccole, se soggette all’obbligo di Dpo, dovrebbero optare su un Dpo esterno.
Diversi studi segnalano però la difficoltà di trovare profili adeguati a ricoprire questo ruolo a causa di una mancanza di competenze. Come si risolve questo problema?
Le università si stanno muovendo. Alcune agenzie del lavoro stanno provando a riqualificare gli avvocati. E anche noi stiamo cercando di sopperire a questa mancanza. Soprattutto il Sud-Europa ha molto da fare. Trovare professionisti italiani è oggi molto complicato: ce ne sono, ma sono pochi. Le associazioni europee stanno organizzandosi autonomamente, al Congresso discuteremo della possibilità di costruire processi comuni di qualificazione professionali.
Le aziende e le PA stanno viaggiando nella giusta direzione?
Da uno studio è emerso che circa il 50 % delle aziende ha messo come focus point in agenda per il 2017 la data protection, anche spaventati dal profilo sanzionatorio che sarà importante; dobbiamo fortemente lavorare per sensibilizzare l’altra metà del mondo imprenditoriale; tutti dovrebbero innanzitutto iniziare a prendere sul serio il tema della privacy e strutturarsi affinché per ogni attività di trattamento, lato cliente, lavoratore, paziente, il Dpo sia coinvolto sin dalla progettazione. Il pubblico è in ritardo ma ci sono delle eccellenze, alcuni enti locali e ospedali sono in fase avanzata di applicazione della norma e di avvicinamento al Gdpr.
