Vacilla la norma sul Data Protection Officer

Uno dei principali obiettivi del nuovo Regolamento UE 2016/679, è quello di creare il giusto clima di fiducia tra i cittadini per far decollare il mercato digitale nell'Unione Europea, un'economia da 272 miliardi di euro che può continuare a crescere solo se gli utenti si sentono a loro agio mentre fanno acquisti in Internet, senza doversi preoccupare che i loro dati personali potrebbero essere trattati illecitamente o utilizzati per commettere frodi a loro danno.

E se da una parte la nuova normativa comunitaria sulla privacy inizia a preoccupare le imprese, che si dovranno adeguare entro il 25 maggio 2018 per non rischiare multe fino a 20 milioni di euro o fino al 4% del fatturato annuo, sul fronte del mercato del lavoro ci sono invece prospettive positive, derivanti dalla crescente necessità di esperti della materia e dall'obbligo di nomina di un "data protection officer" per tutte le pubbliche amministrazioni e per le imprese che trattano su larga scala dati sensibili o altri dati che presentano rischi specifici, oppure se nelle attività principali vengono effettuati trattamenti che richiedono il controllo regolare e sistematico degli interessati, come avviene spesso nelle attività di eCommerce in cui gli utenti vengono profilati online per proporre loro prodotti e servizi in base ai loro gusti e alle loro preferenze.

Un contesto che, secondo le stime dell'Osservatorio di Federprivacy, nei prossimi 12 mesi potrà richiedere fino a 45mila esperti solo in Italia. Numeri importanti, quelli di un'emergente categoria professionale che necessiterebbe però di più trasparenza nel mercato con standard e parametri di riferimento che sono in cantiere da un anno e mezzo con una specifica norma UNI arrivata ora a conclusione del suo iter, ma i cui contenuti non convincono la principale associazione di riferimento del settore:

"Quello della norma tecnica sarebbe stato lo strumento ideale a disposizione degli stakeholder per definire i requisiti che devono possedere i professionisti della privacy per poter essere riconosciuti dal mercato, ovviamente a condizione imprescindibile che tali regole fossero allineate alle prescrizioni del Regolamento UE e alle recenti Linee Guida del Working Party Art.29, nelle quali è stato precisato che il data protection officer deve avere in particolare una conoscenza specialistica della normativa e delle prassi in materia, talvolta anche più elevata in base alla complessità o alla mole dei trattamenti effettuati", spiega il presidente di Federprivacy, Nicola Bernardi. "Da parte nostra, abbiamo segnalato in tutte le sedi la necessità di disegnare un profilo adeguato del DPO, ma ora dobbiamo con rammarico constatare che il progetto finale di norma vede un profilo professionale stravolto rispetto ai dettati dell'UE, generico per quanto riguarda le conoscenze giuridiche della normativa, e con molte altre conoscenze invece informatiche, riconducibili più a quelle di un security manager che a quelle richieste a un data protection officer. Allo stato attuale - conclude Bernardi - questa norma non risponde né alle prescrizioni di legge, né alle esigenze di mercato, e per questo rischia di essere solo fuorviante per le imprese che sono alla ricerca del professionista giusto a cui conferire l'incarico."

Il documento in questione, (Cod. Progetto E14D00036), è stato messo ora all'inchiesta pubblica finale, e tutte le parti interessate possono esprimere i loro commenti fino al 25 marzo 2017, quando UNI tirerà le somme per verificare se ci siano i presupposti perché la norma sul data protection officer possa venire alla luce oppure no.
Certo è, che per spingere sul mercato digitale l'Unione Europea ha varato una riforma sulla protezione dei dati personali egualmente vigente in tutti gli Stati membri, e altrettanto evidente è che la norma così com'è allo stato attuale devia da quella direzione, e rischia di far mancare alle imprese le giuste professionalità, con il pericolo di ingenerare confusione nel mercato delle professioni.

Imprese e pubbliche amministrazioni, devono perciò vigilare attentamente per non incorrere in pesanti sanzioni, perché è in gioco la loro organizzazione e la capacità di rispettare la normativa sulla circolazione e protezione dei dati, senza dimenticare infine che è indispensabile evitare di offuscare i diritti fondamentali che sono riconosciuti per legge ai cittadini.