Il DPO nelle aziende italiane

Manca meno di un anno alla data cruciale del 25 maggio 2018, termine entro cui (com'è stato più volte ormai ripetuto) le imprese italiane ed europee dovranno adeguarsi al nuovo regolamento 679/2016 UE sulla protezione dei dati personali, entrato in vigore nel maggio dello scorso anno (il "Regolamento").

Com'è noto, tra i principali obblighi previsti dal nuovo regolamento sulla privacy c’è quello di inserire nel proprio organigramma un Responsabile della protezione dei dati (Data Protection Officer, o semplicemente DPO), ove ne ricorrano i presupposti.

E' stato anche detto (vedi qui per approfondire) che l’obbligo di dotarsi di un DPO vale per tutte le pubbliche amministrazioni e per tutte le aziende che effettuano trattamenti su larga scala di dati personali, con il monitoraggio regolare e sistematico degli interessati, ovvero che trattano su larga scala categorie particolarmente sensibili di dati personali.

Ed è anche certo che, a far data dal giorno in cui il Regolamento sarà applicabile, il DPO diventerà una figura chiave ed imprescindibile per verificarte il corretto trattamento dei dati personali; non solo in Italia, ma in tutti e 28 gli Stati dell’Unione Europea (in alcuni dei quali è di fatto già così).

Federprivacy, associazione professionale di categoria il cui principale scopo è quello di radunare e rappresentare tutti i privacy officer ed i consulenti della privacy d’Italia, ha condotto una ricerca che prende in esame un campione di circa 1000 professionisti. Gli esiti della ricerca (il "Rapporto") evidenziano un quadro abbastanza chiaro di come sono organizzate e di come prevedono di organizzarsi le imprese italiane nei prossimi mesi, per far fronte agli stringenti obblighi posti dal Regolamento.

Il Rapporto prende in esame sia il tessuto imprenditoriale di piccole dimensioni, sia le aziende di medie e di grandi dimensioni. Un primo elemento che emerge è che il 22% degli intervistati ha dichiarato di svolgere la propria attività in aziende con più di 1000 dipendenti.

Il documento reallizzato da Federprivacy prende in esame la figura del DPO e le scelte strategiche e organizzative compiute dalle aziende al riguardo.

Circa un terzo degli intervistati ha dichiarato di essere soggetto all’obbligo di designare un Data Protection Officer (Art. 37), mentre un altro terzo afferma di non esservi tenuto. Un dato allarmante è che il resto delle aziende ha affermato di non avere ancora ben chiaro se sono obbligate a dotarsi di un DPO. Persiste, dunque, una scarsa informazione sugli obblighi previsti dal regolamento.

Inoltre, a prescindere dagli obblighi di legge, circa i tre quarti degli intervistati hanno dichiarato che le proprie aziende non hanno ancora assegnato a nessuno le funzioni di DPO.

Riassumendo, il Rapporto indica indica che, benché il 75% circa delle aziende abbia previsto nel proprio organigramma una specifica funzione per la gestione della privacy, quasi altrettante aziende non hanno ancora designato alcun Data Protection Officer, mentre le aziende che sono già compliant sono in netta minoranza (circa il 25% del totale).

Per quanto riguarda poi le caratteristiche professionali del DPO, è emerso che quasi il 60% di coloro che sono incaricati di svolgere questa funzione non è in possesso di alcuna certificazione professionale.

A questo proposito si ricorda che sebbene l'Art. 37 del Regolamento non prescriva specifiche competenze professionali e titoli per il DPO, la norma prevede che quest'ultimo possegga una “conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati personali”.

Ciò malgrado, un’azienda su quattro ha scelto un professionista con un titolo di studio informatico, e un’azienda su cinque ha collocato la funzione che si occupa della privacy e della protezione dei dati personali nell’area dell’Information Technology. Il Rapporto evidenzia i potenziali rischi di conflitto d’interesse e i conseguenti pericoli di sanzioni che ciò comporta.

L’Art. 38 sancisce infatti che il DPO non deve trovarsi in una situazione di conflitto di interessi. Sembra perciò più adatto alla designazione un professionista esterno, piuttosto che un dipendente dell’azienda, che non pare poter rispettare i criteri di assoluta indipendenza richiesti per il DPO. Nella realtà dei fatti, al contrario, in meno del 3% dei casi la scelta è ricaduta su un professionista esterno.

Vincenzo Diego Cutugno

Edoardo Ghio