Siamo nel pieno della “quarta rivoluzione industriale”. Epoca nella quale il dato e il suo governo non hanno più caratteristiche di staticità: il patrimonio informativo delle aziende è ormai costituito da dati generati, dati dedotti e derivati (“data derived and data inferred from other data”), condivisi tra più Titolari del trattamento per effetto di normative vigenti o emanande, che tendono a favorire la creazione di spazi comuni e dinamici di condivisione.
La sempre maggiore affermazione del fintech e delle strategie di trasformazione digitale ha portato al centro delle decisioni il Data Protection Officer (DPO), che, da “artigiano” della conformità chiuso nella propria “bottega” durante il primo periodo di applicazione della normativa europea sulla protezione dei dati, si sta affermando come “artista” poliedrico, stimato e richiesto.
In questo nuovo panorama, il DPO – in particolare nel settore banking/finance – ha l’affascinante e impegnativo compito di assicurare l’efficacia dei meccanismi di tutela per gli interessati, affinché possano mantenere il controllo dei propri dati, solidificando al contempo il proprio rapporto di fiducia con le Banche, titolari del trattamento.
DPO ‘artigiano’: la fase iniziale e le sue sfide
Dal 2018 ad oggi, la sfida più complessa del Responsabile della Protezione dei Dati è stata quella di dover esercitare la propria funzione bilanciando risolutezza e spirito collaborativo, rigore e sensibilità, non eccedendo in una o nell’altra direzione.
Sin dalle prime applicazioni del Regolamento UE 2016/679, difatti, il DPO si è dovuto calare nel ruolo di consulente del Titolare del trattamento, accompagnandolo per mano nella comprensione di nuove disposizioni meno prescrittive rispetto al passato, suscettibili di molteplici e complesse interpretazioni a seconda delle circostanze.
Parallelamente, il DPO ha dovuto, altresì, svolgere la propria funzione di sorveglianza e presidio di garanzia sul corretto adempimento delle prescrizioni regolamentari, svestendo i panni del consulente e indossando quelli dell’auditor, quale principale punto di raccordo con l’Autorità Garante.
La dicotomia consulenza-sorveglianza ha, nel tempo, portato il DPO a dover sviluppare competenze comunicative, linguistiche e organizzative, in grado di consentirgli di restare in equilibrio tra due poli apparentemente distanti.
È ciò che è emerso, con specifico riferimento al settore bancario, anche dal questionario dell’Associazione Bancaria Italiana (“ABI”) promosso insieme a Federcasse e all’Autorità Garante per la Protezione dei Dati, con il contributo dei principali istituti bancari nazionali e di Banca d’Italia.
DPO nel settore bancario: il questionario ABI
Nel corso del 2022, l’Associazione Bancaria Italiana (ABI) ha aderito all’iniziativa promossa dall’Autorità Garante per la protezione dei dati personali denominata “Rete dei DPO nel settore bancario”.
Con questa iniziativa, il Garante ha inteso creare un momento di scambio tra i diversi Responsabili della Protezione dei Dati in ambito bancario, per discutere – con un approccio pratico – temi di interesse comune.
In questo contesto, come prima iniziativa, il Garante ha richiesto di acquisire una visione d’insieme dello stato di attuazione e delle caratteristiche che connotano il ruolo e l’attività del DPO nel settore bancario.
Nell’ottica di disporre di una “fotografia” rappresentativa della figura del DPO, il Garante, in collaborazione con l’ABI, ha predisposto un questionario composto di 46 domande, suddivise nelle seguenti macroaree:
- designazione, requisiti, esperienza: da cui è emerso che i Gruppi Bancari di maggiori dimensioni hanno provveduto ad una designazione formale del DPO, che nella quasi totalità dei casi corrisponde ad un dipendente dell’organizzazione, il quale ha, nella maggioranza delle casistiche, un’esperienza in materia di superiore a sei anni.
- compiti e risorse: le cui risposte hanno fornito un quadro variegato anche tra i Gruppi Bancari di maggiori dimensioni. Con riferimento alle risorse in staff al DPO, il 54% ha dichiarato un dimensionamento superiore a sette FTE (“Full-Time Equivalent”).
- ruolo e posizione: le risultanze del questionario hanno evidenziato che, nei Gruppi Bancari di maggiori dimensioni, il DPO risulta principalmente incardinato nell’area compliance, per effetto delle influenze della Circolare 285/13 Bankit, che inquadra la matrice “privacy” quale “presidio specialistico di compliance”. È emerso, altresì, che oltre l’80% dei DPO riferisce direttamente – da 1 a 4 volte l’anno – al più alto vertice gerarchico, in ossequio ai principi di autonomia e indipendenza.
- budget e formazione: il questionario ha confermato le buone prassi degli istituti bancari, che garantiscono una formazione continua alle risorse della funzione DPO, sia attraverso corsi specialistici individuali, sia mediante incontri di gruppo alla presenza di docenti altamente qualificati.
Lo stato dell’arte ci racconta, dunque, di un DPO che, dopo i primi anni vissuti da “artigiano di bottega”, sta progressivamente ampliando le competenze e la propria visibilità.
Nel settore bancario, in particolar modo, si registra una tendenza ad investire sempre di più su tali figure professionali, ormai al centro delle decisioni strategiche e dei processi di innovazione.
DPO “artista”: l’evoluzione nel tempo e nuovi compiti
Nell’ultimo anno abbiamo assistito al formarsi di una netta linea di cesura tra il vecchio e il nuovo.
Il ruolo del DPO sta subendo continue mutazioni (come affermato dallo stesso Comitato Europeo per la Protezione dei Dati), dovute alle tecnologie emergenti e all’entrata in vigore di nuove norme che impattano sulla protezione dei dati personali.
Stanno cambiando, in particolare, le competenze richieste e le responsabilità, sia nelle funzioni di sorveglianza, sia – e ancor di più – in quelle di consulenza e pareristica.
Metaforicamente, il Responsabile della Protezione dei Dati – la cui stessa denominazione, a tendere, potrà risultare riduttiva per la portata delle skills richieste – dovrà svolgere il proprio ruolo con la versatilità di un “artista poliedrico”, non più specializzato in una soltanto delle “arti classiche”, ma capace di misurarsi in ciascuna di esse, a seconda del contesto.
Il DPO “pittore”: l’arte di raffigurare il mondo esterno per mezzo di linee e colori
Le diverse norme nazionali, il sempre maggiore ricorso a strumenti di soft law e le nuove tecnologie vanno a conferire variegate sfumature di colore al “quadro” della protezione dei dati personali, nella sua corrente contemporanea ormai influenzata da “pennellate” di decisioni algoritmiche.
Il DPO dovrà saper dipingere trattamenti unicamente automatizzati, valutandone le gradazioni etiche e rispettando la prospettiva “umano-centrica”.
È ciò che emerge non solo dall’AI Act e dalle prescrizioni sul “credit scoring” (qualificato come sistema di AI “high risk”), ma anche da norme proprie del settore bancario, come la nuova “CCD2” (Credit Consumer Directive 2) o dalla recente decisione della CGUE “Schufa”, in materia di valutazione automatizzata del merito creditizio.
Allo stesso modo, il recentissimo Regolamento (UE) 2024/1624 (new AML Regulation), in materia di antiriciclaggio, sottolinea con enfasi la necessità di prestare particolare attenzione ai dati personali nel ricorso agli algoritmi per la definizione dei profili di rischio, prevedendo che “i soggetti obbligati possono adottare decisioni risultanti […] da processi che coinvolgono sistemi di IA, a condizione che […] qualsiasi decisione di instaurare o rifiutare di instaurare, ovvero di mantenere, un rapporto d’affari con un cliente, o di eseguire o rifiutare di eseguire un’operazione occasionale per un cliente, o di estendere o limitare la portata delle misure di adeguata verifica della clientela, sia soggetta a un intervento umano significativo per garantire l’accuratezza e l’adeguatezza di tale decisione”.
Il DPO “scultore”: l’arte di dare forma ad un oggetto
La scultura è l’arte di dare forma ad un oggetto, partendo da un materiale grezzo.
La tecnica scultorea del DPO dovrà ruotare intorno alla verifica della robustezza dei materiali utilizzati, delle misure di sicurezza implementate, che dovranno altresì garantire duttilità e resilienza, in modo da poter assicurare una protezione dei dati non solo dalla fase di design, ma anche nel monitoraggio e nel restyling scultoreo (ovvero nelle successive e necessarie azioni di rinnovamento e miglioramento continuo, in relazione alle minacce e ai rischi del contesto).
La trasformazione del blocco di marmo in opera dipenderà, pertanto, non solo dal pregio del materiale, ma anche dalla capacità del DPO di scolpire con la giusta intensità: non dovrà avere a cuore il compiacimento a tutti i costi del Titolare del trattamento, il quale deve essere indirizzato sempre con buon senso e rigore.
In quest’ottica, prescrizioni normative come quelle contenute in DORA (Digital Operational Resilience Act) e NIS2 si innestano nell’elenco dinamico delle misure di sicurezza richieste dal Regolamento UE 2016/679, venendo in soccorso degli istituti bancari rispetto ai rischi dell’attuale contesto storico, segnato dalla sempre più crescente ondata di attacchi e incidenti di natura informatica (interni all’organizzazione o presso “terze parti”).
Il DPO “musicista”: l’arte per eccellenza
L’arte di ideare e produrre – mediante l’uso di strumenti o della voce – successioni strutturate di suoni semplici o complessi, che possono variare per altezza, intensità e per timbro.
Il DPO ha l’importante compito di “mettere in musica” le norme di conformità sui dati, contemperando il diritto alla riservatezza con i suoni altrettanto acuti della libertà di iniziativa economica.
La musica è l’arte per eccellenza del DPO: è fatta di doti comunicative, si contraddistingue per l’abilità di accordare gli strumenti, di comporre melodie e di rendicontare ai Titolari del trattamento con le giuste intonazioni e vocalità.
La vera sfida del prossimo lustro ruoterà intorno alle nuove tonalità e ai ritmi incalzanti della strategia europea sui dati (es. Data Act, Data Governance Act, ecc.) e del nuovo Payments Package (PSD3, PSR, FIDA, Euro Digitale, ecc.), contesto nel quale il DPO dovrà saper armonizzare i propri suoni con quelli delle altre funzioni interessate in una compliance integrata e, in determinati casi, dovrà saper dirigere l’orchestra.
Le nuove frontiere del settore bancario implicano, dunque, un intenso studio da parte del DPO, finalizzato ad una comunicazione efficace e quanto più “musicale” possibile.
Poesia
Ovvero l’arte di esprimere in versi le idee, le emozioni, le fantasie e i sentimenti.
Il DPO oggi, e ancor di più nel prossimo lustro, dovrà saper ricorrere alla propria “penna” con determinazione, ma in modo delicato, rappresentando concetti complessi con la grazia del poeta romantico. Con il proliferare delle normative applicabili ai dati, la capacità di catturare e coinvolgere i Titolari del trattamento dipenderà dalle parole utilizzate e dalla cura con cui le stesse saranno adoperate.
In tal senso, oltre alle normative innanzi citate, il DPO dovrà contribuire sempre più alla finanza sostenibile e agli adempimenti in materia di ESG (Environmental, Social, and Governance). A titolo esemplificativo, sarà fondamentale garantire reporting sugli aspetti della sostenibilità legati ai diritti umani e alle garanzie di non discriminazione, come richiesto dalla nuova Corporate Sustainability Reporting Directive (CSRD), direttiva che pone un forte accento sulla trasparenza e sulla gestione dei rischi (es. di “breach”).
Tutte le attività di rendicontazione e reporting, sia interne che esterne, dovranno essere veicolate con linguaggio chiaro e accurato, evitando i c.d. “pseudotecnicismi”, ovvero quelle parole o locuzioni dall’apparenza specialistica, ma in realtà prive di un’autentica necessità concettuale.
Dunque, ad una “buona penna” corrisponderà un DPO “vettore di significati”.
Strategie per un efficace Data Protection Officer nel futuro
Il novero delle nuove attività e competenze del Responsabile della Protezione dei Dati sarà dunque ben più esteso rispetto a quanto cristallizzato nel Regolamento.
Probabilmente il Regolatore aveva già a suo tempo intuito che le funzioni del DPO avrebbero dovuto essere elastiche, laddove nell’elenco dell’art. 39 ha previsto che “Il responsabile della protezione dei dati è incaricato almeno (“at least”) dei seguenti compiti: […]”, di fatto mantenendo aperto il contenitore delle attribuzioni, in modo che la norma potesse resistere al tempo e all’impatto sui dati personali delle nuove tecnologie.
Come sottolineato anche dall’EDPB nel suo rapporto sulla figura del DPO, “in un momento in cui diverse normative dell’UE in campo digitale sono in fase di sviluppo o sono entrate in vigore di recente, il ruolo dei DPO sembra cambiare; è quindi fondamentale che tutte le parti interessate considerino seriamente il modo in cui i DPO vengono incaricati e supportati, per garantire che possano fornire il miglior valore aggiunto a tutti i soggetti coinvolti”, nel rispetto dei principi di autonomia e indipendenza.
Naturalmente, è quantomai opportuno prestare la massima attenzione a non sovraccaricare il DPO di attività che esulino dalla sua competenza. In molti dei servizi prestati, il DPO dovrà fungere da contributore e non da owner, limitandosi a pareri circoscritti alle sue effettive responsabilità.
Nel solco di tali principi, la missione dei Responsabili della Protezione dei Dati è, e sarà sempre più, quella di rendere assimilabile la norma, digeribile l’adempimento, intrigante -per i Titolari del trattamento- l’opportunità di offrire prodotti/servizi conformi e, pertanto, più appetibili.
La capacità di educare e di persuadere gli stakeholder ruoterà attorno alla realizzazione di un’opera percepita non come ostacolo allo sviluppo, quanto piuttosto come guida per rimanere entro i confini della legalità, della tutela dei diritti fondamentali dell’uomo, quale ‘bandiera’ di moralità ed etica.
In questo modo, accanto al DPO nella sua nuova veste di “artista eclettico della conformità”, il Titolare del trattamento potrà riscoprirsi nelle sembianze del “mecenate”: appassionato d’arte, in rapporto continuo e diretto con l’artista, disposto a sostenerne l’operato con budget adeguati, garantendogli altresì importanti sacche di discrezionalità e autonomia di pensiero e di azione.