La figura del Data Protection Officer (DPO), al centro di un delicato equilibrio tra diritti degli individui e gli interessi delle organizzazioni, si trova a dover navigare in acque complesse, fatte di sfide legislative in continua evoluzione, aspettative crescenti in termini di competenze tecnico-giuridiche e l’inesorabile avanzata dell’intelligenza artificiale.
Un compito tutt’altro che semplice, che implica una gestione ponderata dei rapporti con i titolari del trattamento e una indipendenza che deve essere salvaguardata in ogni circostanza.
La pubblicazione della seconda edizione del manuale Il Data Protection Officer tra Regole e Prassi, Ed. Giuffrè Francis Lefebvre, 2023, di Rocco Panetta, Tommaso Mauro e Federico Sartore, è stata quindi l’occasione, tra le altre cose, per un dialogo e un approfondimento tra gli autori e un pubblico di autorevoli esperti, sul presente e futuro della figura del Data Protection Officer, a cinque anni dalla sua istituzione, organizzato dai KnowledgeNet Chapters di Roma e Milano della IAPP – International Association of Privacy Professionals.
Il Data Protection Officer: ruolo e sfide nel contesto attuale
Come ben evidenziato nella prefazione dello stesso libro, scritta da Guido Scorza, membro del collegio del Garante per l’autorità dei dati personali, e ribadita anche da Ada Fiaschi, responsabile privacy & data protection di ITA, Italia Trasporto Aereo, entrambi presenti al dibattito, la figura del DPO è una figura “artificiale”, ovvero voluta dal legislatore, e non espressamente richiesta dal mercato: è quindi lecito chiedersi, a cinque anni dall’introduzione del Regolamento generale sulla protezione dei dati (o GDPR), con la quale la figura del DPO è stata istituita, se il mercato ne abbia infine compreso l’utilità e soprattutto se ne abbia riconosciuto quel ruolo di indiscusso protagonista che il legislatore auspicava.
A settembre di quest’anno il Garante ha contato 68255 posizioni di DPO, cifra che testimonia l’interesse crescente per questo tipo di professione, sia da parte dei professionisti della privacy, che chiaramente vedono nuove opportunità per la loro carriera, ma anche da parte del mercato, sia pubblico che privato, dove gli obblighi di nomina di DPO sono inevitabilmente diversi, e ben trattati nel libro.
Il DPO e l’AI Act: nuove sfide e opportunità
È inevitabile però interrogarsi sull’utilità ed efficacia di tale figura, anche in virtù del ben noto e triste fenomeno della proliferazione e mercificazione degli incarichi, che contribuiscono a svilire il ruolo, e sul tipo di competenza che un DPO deve necessariamente avere per svolgere bene il proprio lavoro, considerando anche le sfide tecnologiche degli anni recenti e di quelli che ci aspettano, dove l’AI Act, il regolamento sull’Intelligenza Artificiale e le sue implicazioni rappresentano solo una delle ultime sfide che i DPO e gli esperti di protezione dei dati dovranno affrontare a breve. Anzi, c’è da chiedersi se il DPO scomparirà con l’avvento dell’AI Act, o se invece sarà ancora una figura capace di assistere e guidare i titolari anche in questa occasione.
L’importanza della competenza e dell’autorevolezza del DPO
In questa seconda edizione, che tiene conto dell’esperienza maturata nel tempo che la separa dalla prima, gli autori riescono a superare lo scetticismo sulla nomina del DPO, e convincono il lettore di come tale nomina, lungi dall’essere solo uno sterile adempimento burocratico, può rivelarsi uno strumento potente per dare vita ad iniziative efficaci nell’ambito della protezione dei dati.
Indubbiamente, però, la nomina non è che un primo passo: l’autorevolezza, e non l’autorità, di un DPO dovrà essere guadagnata dal DPO stesso, capace di dimostrare “sul campo” la propria competenza e capacità di parlare ai vertici aziendali. Mai come oggi l’aspetto della competenza è chiaramente complesso, essendo ormai da tempo la data protection una materia multidisciplinare, che richiede, come del resto molte altre discipline, un costante aggiornamento ma anche competenze sempre più specifiche in ambiti tradizionalmente diversi dalla data protection stessa, come lo sviluppo del software, la gestione delle vulnerabilità, la gestione degli asset, la conoscenza di misure tecniche specifiche e degli standard di settore. Il libro dà spazio e chiarisce, in quest’ambito, quali sono o dovrebbero essere le caratteristiche e i requisiti professionali di un DPO capace di svolgere il proprio lavoro efficacemente.
Sempre nel libro, trovano poi spazio altri elementi che non dovrebbero essere trascurati, come l’esperienza sul campo e le cosiddette “soft skill”, quell’insieme di abilità personali necessarie per interloquire in maniera efficace con titolari e responsabili del trattamento, attraverso cui capire “quando mediare, quando assecondare o opporsi alle scelte del titolare o del responsabile”, per evitare di fare la fine del ben noto “grillo parlante”. Come evidenziato dalla discussione tra gli esperti, è incredibilmente complesso riuscire a catturare l’attenzione e veicolare in maniera sintetica ed efficiente una richiesta al board aziendale, che per sua natura è più orientato al business e fatica nel comprendere appieno tutte le sfaccettature della data protection, materia spesso trascurata, e si divide tra centinaia di meeting e riunioni? Come il libro suggerisce ai propri lettori, sarà proprio l’autorevolezza e la capacità del DPO a fare la differenza.
DPO e titolari del trattamento: rapporti, conflitti e indipendenza
Altro elemento sul quale il libro si sofferma, e ne chiarisce l’ambito, riguarda quali dovrebbero essere i rapporti tra il DPO e il titolare o il responsabile del trattamento affinché l’azione del DPO risulti efficace. Oltre alla competenza, infatti, un secondo aspetto critico è rappresentato proprio dall’indipendenza di un DPO rispetto ai vertici aziendali, e la necessaria assenza di conflitti di interesse. Emerge, dalla lettura del libro, quando sia “complesso esercitare un ruolo di guida, con la possibilità di doversi porre in contrasto con la linea e i desiderata dei titolare o del responsabile”.
Tra l’altro, il libro fornisce un interessante spunto di riflessione riguardo alla “possibilità di introdurre ulteriori norme in materia di diritto del lavoro, che rafforzino la posizione del DPO, proteggendola dal licenziamento”, considerando come il mestiere del DPO, diverso da quello del sindacalista, che può essere in aperto contrasto con il datore di lavoro, non può svolgersi senza la fiducia reciproca tra DPO-titolare (o responsabile). La fiducia – il trust – diventa quindi elemento imprescindibile del rapporto, che non esclude la dialettica o il contrasto, ma che richiede che l’indipendenza “dovrà essere impostata ex-ante” e “misurata ex-post”.
Investimenti e emolumenti: riflessioni sul valore del DPO
Il terzo aspetto, evidenziato anche nella prefazione del libro, e ribadito dall’ avv. Scorza e dagli altri esperti partecipanti al dibattito, rimane poi quello degli investimenti che titolari e responsabili possono o sono disposti a fare. È chiaro che se l’acquisizione della competenza da parte di un DPO è per lui un “costo”, sia in termini di “fatica” che di investimento, economico ma anche personale, è anche chiaro che è difficile che ciò si sviluppi a fonte di emolumenti percepiti di scarsa entità e, a volte, addirittura ridicoli, soprattutto nel caso di piccole o piccolissime realtà che non hanno le risorse economiche per investire in questa figura ma che, magari, devono obbligatoriamente nominarla. Oltre a ciò, soprattutto nell’ambito di strutture complesse, il DPO dovrà avere a disposizione “risorse” tali da metterlo in condizione di svolgere adeguatamente il proprio compito. Se questo non avviene, l’azione del DPO, per quanto bravo e competente possa essere, sarà limitata.
Il futuro del DPO nell’era della data economy
Come gli autori evidenziano, sebbene lo scenario attuale preveda molti regolamenti, il Data Governance Act, il Digital Service Act, il Digital Market Act, il Data Act e il recente AI Act, i quali avranno tutti un notevole impatto sul mercato, continuerà comunque a esserci alla base il GDPR, e pertanto la figura del DPO non è destinata a scomparire, sebbene probabilmente dovrà evolversi, e rendersi ancor più un ambasciatore della data economy. Indubbiamente, tale ruolo presenta ancora molteplici questioni aperte, come il libro sottolinea nella sua parte conclusiva, come la scelta tra DPO interno ed esterno, o il DPO inteso come ruolo organico: l’invito degli autori è però quello per cui il DPO “deve abbandonare ogni tendenza alla staticità, calandosi invece in una dimensione dinamica, dove la formazione continua, il networking, il partecipare e il sentirsi parte di una comunità di professionisti costituiscono tasselli imprescindibili.”
Conclusioni
Un DPO autorevole deve essere riconosciuto sia dalle autorità di riferimento così come dai colleghi, “a tal fine premiando la propensione verso un mondo militante equilibrato, misurato, che non cede all’integralismo”. E deve pretendere di essere adeguatamente remunerato, perché non è “svendendo” la propria professionalità che acquisterà l’autorevolezza di cui ha bisogno per svolgere il proprio compito.
