Il tema della Privacy Regulation sta animando il dibattito a Bruxelles, sollevando la crescente preoccupazione delle aziende in vista dell’imminente entrata in vigore del nuovo regolamento europeo sulla Data protection (GDPR) a maggio 2018. I timori delle aziende si concentrano soprattutto sulla nuova figura del DPO (Data Protection Officer), la nuova figura professionale che all’interno di imprese e pubbliche amministrazioni sarà incaricato di vegliare sul rispetto delle nuove regole in materia di protezione dati. Cosa pensano al riguardo il Garante europeo per la protezione dati Giovanni Buttarelli e il collega italiano Antonello Soro? La domanda è stata posta ai due da Rocco Panetta, Avvocato Partner di Panetta & Associati, moderatore dell’incontro in ricordo di Stefano Rodotà, organizzato dalla Fondazione Basso che si è tenuto a Roma il 6 ottobre (qui l’intervento del Garante Privacy Antonello Soro).
“Sul DPO le scelte che stanno facendo le aziende sono al ribasso”, ha detto Panetta, secondo cui il rischio è che queste nuove figure professionali in azienda non vengano messe a diretto riporto del titolare del trattamento dei dati.
Cosa fare di più e meglio per comunicare l’importanza del DPO, potenzialmente il miglior alleato del Garante, a pubbliche amministrazioni e aziende?
Giovanni Buttarelli: ‘Con il GDPR l’Europa ha fissato uno standard internazionale’
Per il Garante Ue Giovanni Buttarelli, “ci sono oggi 121 paesi al mondo che hanno una legge organica sulla protezione dei dati personali – ha detto – un dato molto diverso rispetto a 7-8 anni fa. Oggi l’Europa con il GDPR ha fissato uno standard che sta avendo un successo internazionale. Abbiamo già visto i comunicati di Google, Amazon e Microsoft che si affrettano a dire che rispetteranno la normativa europea, che si applicherà a beni e servizi in tutto il mondo”.
Buttarelli non nasconde che esiste il rischio di una nuova burocratizzazione legata alla nuova figura del DPO, con tante piccole attività commerciali (dal salumiere al negoziante) presi di mira da consulenti che vendono improbabili certificazioni a mille euro l’una. “Ma le autorità nazionali hanno gli anticorpi per difendersi – ha detto Buttarelli – il DPO sarà una figura importante, purché non sia un semplice dispensatore di pater noster e ave gloria in azienda”. Il problema si sposta quindi sull’effettiva capacità di questa nuova figura professionale di essere indipendenti e di dare pareri “pro veritate e non pro causa”. Infine, chiude Buttarelli, con il nuovo regolamento, ci sono grosse opportunità ma anche rischi di banalizzazione delle tutele che andranno evitati.
Antonello Soro: ‘DPO e GDPR, la priorità è fare una comunicazione efficace’
Rispetto alla figura del DPO, “L’attività principale di tutti è quella di fare una comunicazione efficace – ha detto il Garante per la protezione dei dati personali Antonello Soro – per rendere consapevoli le imprese e le pubbliche amministrazioni su quello che il nuovo regolamento imporrà agli uni e agli altri”.
Ora come ora, la difficoltà maggiore del Garante è far capire soprattutto alle imprese che la protezione del loro patrimonio informativo è “un interesse strategico d’impresa – ha detto Soro – e non un obbligo imposto da una legge fastidiosa o da una burocrazia non moderna”.
Per quanto riguarda la PA, esiste un interesse di modernizzazione dell’amministrazione, che secondo il Garante non può non accompagnarsi ad un utilizzo intelligente del proprio patrimonio di dati. A maggior ragione dopo che la maggior banca dati della PA, quella dell’Agenzia delle Entrate, è andata in tilt, spingendo il Garante a scrivere al presidente del Consiglio Gentiloni per sensibilizzarlo sul ruolo fondamentale della tutela di banche dati e data center pubblici.
Ma esiste anche un rischio di sottovalutazione da parte delle imprese del ruolo importante del DPO, visto che circa la metà delle imprese italiane non ha ancora messo a fuoco le nuove responsabilità in termini di protezione dei dati che entreranno in vigore dal maggio prossimo.
Sempre per quanto riguarda il DPO, ci sono diverse università che si sono messe di buona lena per formare i nuovi professionisti della privacy, ma secondo Soro bisogna guardarsi anche dal rischio “diplomificio”. “Meno professionali saranno i DPO, più guai avranno i titolari del trattamento”, precisa Soro.
Perché questo sia più comprensibile, a breve uno degli impegni del Garante è allestire una squadra interna di dipendenti (dirigenti e funzionari) per svolgere una grande attività ispettiva e sanzionatoria nei primi sei mesi di entrata in vigore del nuovo regolamento.
