A distanza di quasi due anni dall’introduzione del Gdpr, sono ormai praticamente svanite tutte le più rosee prospettive riguardo alla figura del Data Protection Officer, come quella di vedere un “custode della privacy” nelle organizzazioni pubbliche e private che riportasse direttamente ai vertici aziendali, che avesse autonomia e indipendenza, e che avrebbe dovuto percepire un compenso o uno stipendio adeguato a un ruolo dirigenziale.
In questi ultimi anni si è parlato molto di certificazioni, ma a ben vedere, l’unica cosa che è stata certificata riguardo a questa figura è, insomma, la grande delusione di migliaia di professionisti che avevano sperato di farne un vero e proprio mestiere.
D’altra parte, c’è e ci sarà sempre più spazio per figure strategiche come Privacy Manager, esperti di Data Governance, Data Protection Designer, e soprattutto quel Privacy Officer fondato sul modello anglosassone, di cui le aziende americane ritengono opportuno dotarsi non per rispettare una prescrizione di legge, ma per scelta altamente strategica di avvalersi di un alleato per lo sviluppo digitale e per la valorizzazione dei dati personali.
DPO, aspettative vs realtà
Se può consolare, l’unico baluardo che ha retto al grande svilimento che si è consumato intorno al Dpo, è rappresentato dal fatto che finalmente l’Autorità Garante per la privacy dispone di un punto di contatto, di una persona identificata da un nome e un cognome con relativi recapiti a cui chiedere di riferire sull’operato del titolare del trattamento, e a cui se necessario, tirare le orecchie. Questo è senz’altro un significativo e tangibile passo avanti a favore della tutela di un diritto fondamentale dell’individuo, quale è quello alla privacy e alla protezione dei dati personali.
E dato che il tempo trascorso ci consente di considerare il Regolamento UE 2016/679 un testo ormai maturo, pensarla diversamente potrebbe rivelarsi solo un’utopia, perchè la realtà dei fatti ci presenta un quadro delineato e una situazione che non promette svolte clamorose nei prossimi mesi.
Se è pur vero che le nomine registrate dalla nostra Autorità di controllo sono finora state oltre 53mila, sono però più unici che rari i casi in cui il Dpo viene “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”, o in cui abbia diretti rapporti con il top management, e meno ancora quelli in cui operi effettivamente in una situazione di indipendenza senza prendere istruzioni da nessuno, o in cui disponga di un budget sufficiente da permettergli di operare in autonomia, mentre le speranze di vedere retribuzioni adeguate a quanto richiederebbe rivestire tale incarico sono pressoché tramontate.
I dati dell’Osservatorio di Federprivacy
Sono state invece registrate dall‘Osservatorio di Federprivacy migliaia di segnalazioni di Dpo frustrati ed avviliti che vengono pagati con due spiccioli, che sulle questioni che hanno impatti sui dati personali vengono consultati solo a giochi fatti, che incontrano ostruzionismo o indifferenza da parte dei vertici aziendali, e che si trovano con le mani legate senza neanche la libertà di decidere di andare ad un corso di aggiornamento.
Non vi è plausibilmente un unico motivo che ha causato questo deplorevole scenario: si potrebbe ricercarne le cause nel ruolo principalmente di garanzia e nel profilo troppo rigido e non operativo che il Legislatore europeo ha voluto conferire al Data Protection Officer, imponendo una figura di alto spessore che risulta però limitata dagli stessi compiti che gli sono assegnati, con la conseguenza che quando un management necessita di un supporto proattivo che comporta di dover concorrere a “determinare le finalità e i mezzi di un trattamento di dati personali” deve in ogni caso avvalersi di un consulente esterno o di un’altra figura adeguatamente qualificata per non incorrere in un conflitto d’interessi che violerebbe la prescrizione dell’art.38 del Regolamento europeo.
Per quanto riguarda gli esigui compensi che vengono diffusamente offerti ed accettati nei bandi di gara pubblici e nelle trattative private per assegnare il ruolo di Dpo, in moltissimi casi addirittura al di sotto dei mille euro annui, ha sicuramente influito un mercato sin dagli inizi spesso caratterizzato da una folle corsa al ribasso da parte della pubblica amministrazione avallata da consulenti improvvisati, che pur di aggiudicarsi il maggior numero possibile di incarichi si sono svenduti per cifre inverosimilmente troppo basse rispetto al tempo e alle risorse effettivamente necessarie per fornire decorosamente la prestazione. Questa combinazione ha causato un corto circuito che ha sfornato Dpo distratti e latenti, ben lontani da quella figura che dovrebbe “sorvegliare l’osservanza” del Gdpr come richiesto dall’art.39 del Regolamento, stabilendo allo stesso tempo degli orientamenti profondamente distorti su tariffe che sono state ormai assimilate dal mercato, arrivando così a quello che pare un punto di non ritorno.
DPO, oltre al danno, la beffa
Come se non bastasse il fatto che per la maggioranza degli esperti della materia è dunque svanita la prospettiva di poter fare del Data Protection Officer una professione di alto livello e ben retribuita, c’è da aggiungere anche la beffa per quei volenterosi che tanto (e forse troppo) avevano investito in bollini e certificazioni varie che erano state proposte come abilitazioni all’assunzione di un ruolo, che in realtà non richiede titoli o attestati formali, bensì una concreta conoscenza del Regolamento UE e delle prassi sulla protezione dei dati personali, come esplicitamente spiegato nell’art.37 del Gdpr.
Ovviamente, come ha chiarito a più riprese l’Autorità Garante, una certificazione professionale in materia “può rappresentare, comunque al pari di altri titoli, uno strumento per dimostrare il possesso da parte del professionista delle conoscenze, competenze e abilità necessarie allo svolgimento dello specifico ruolo”, ma sta di fatto che nelle valutazioni che oggettivamente deve fare chiunque pensi di proporsi come Dpo, vi è sicuramente quella di soppesare il rapporto tra i costi e gli sforzi richiesti per conseguire una certificazione ed i vantaggi su cui si potrà contare una volta che la si sarà conseguita, consapevoli che il mancato decollo di questa figura un tempo tanto agognata potrebbe infine non essere remunerata come forse si auspicava.
Dato che allo stato delle cose, è fin troppo lecito domandarsi se possa valere o meno la pena di lavorare nei settori della privacy, è doveroso fugare ogni dubbio: ovviamente, i dati personali sono a tutti gli effetti il nuovo petrolio del terzo millennio, e se ci sono organizzazioni con fatturati milionari che nel loro core business gestiscono enormi quantità di dati, dovendo però prestare la massima attenzione per non incorrere in pesanti sanzioni o danni reputazionali, ciò significa che c’è la strada spianata per professionisti veramente specializzati che possono essere pagati adeguatamente per la preziosa consulenza che forniscono. Per questo, chi in questi anni ha acquisito le competenze in materia di data protection, non ha affatto sprecato tempo e denaro.
È necessario, quindi, essere realisti e consapevoli che sul mercato ci sarà sempre meno interesse per i data protection officer introdotti dal Regolamento UE, i quali pur rappresentando un valore aggiunto ai fini della compliance normativa e per la tutela dei diritti degli interessati, sono però destinati a rimanere visti come un mero adempimento ad un obbligo di legge, e continueranno perciò ad essere sviliti e sottopagati nonostante le elevate competenze che possano aver acquisito.