Regolamento Europeo: il Privacy Officer non sarà un profilo junior

di Nicola Bernardi, Presidente di Federprivacy

Una pratica tanto poco saggia quanto diffusa nelle aziende italiane in tema di privacy, è da anni quella della nomina del responsabile del trattamento o dell’amministratore di sistema fatta meramente per adempiere a una prescrizione di legge o evitare una multa, sebbene lo stesso Codice della Privacy richieda che tali soggetti debbano essere individuati per “esperienza, capacità ed affidabilità, per fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia”. Tuttavia, come ha specificato più volte lo stesso Garante della Privacy, in caso di insorgenza di problemi derivanti da “incauta o inidonea designazione” di un responsabile o di amministratore di sistema, l’azienda titolare del trattamento sarebbe chiamata a rispondere delle proprie leggerezze con il pericolo di sanzioni e pesanti risarcimenti. 

Anchese sarebbe opportuno correggere certe attitudini già nel presente, in tema di data protection è ancora più importante guardare all’immediato futuro, prestando particolare attenzione al cambiamento di scenario che scaturirà dall’avvento del Regolamento Europeo sulla protezione dei dati, che entrerà in vigore tra un anno o poco più in 27 Paesi membri UE, obbligando tutte le pubbliche amministrazioni e tutte le aziende con più di 250 dipendenti a nominare un cosiddetto “privacy officer”, o “responsabile sulla protezione dei dati”. Si ricadrà tuttavia nelle abitudini tutte italiane di fare nomine come Privacy Officer puramente formali a dipendenti più o meno accondiscendenti, oppure convenute a tavolino con consulenti esterni che accetteranno di prendersi tale incombenza in cambio di un “contentino”? 

E’ una questione da non sottovalutare perché, stando ai dati statistici, le imprese che saranno tenute per legge a nominare il privacy officer saranno oltre 23.000 solo in Italia, e trovandosi tutte le nazioni della Comunità Europea contemporaneamente sotto un unico ombrello legislativo, le proporzioni che assumerà il mercato di questa nuova figura saranno molto più estese, coinvolgendo centinaia di migliaia di professionisti, con unico possibile ostacolo per varcare il confine solo quello della conoscenza delle lingue. E se il Privacy Officer è una figura nuova nel nostro continente, che la sua nomina non potrà consistere in un mero atto formale lo si percepisce da come questo sia considerato oltreoceano, dove la figura esiste già da anni e chi svolge questo ruolo è pagato profumatamente: ad esempio, lo stipendio medio negli Stati Uniti di un Privacy Officer è di 98 mila dollari all’anno, pari a circa 77.000 euro. Perché così tanto? E che retribuzione avrà nei Paesi dell’Unione Europea?

Non sappiamo ancora quanto sarà pagato mediamente un privacy officer in Italia, tuttavia dalle regole poste dagli articoli 35-37 del nuovo Regolamento sulla Privacy, sappiamo già con certezza che sarà una figura di tipo dirigenziale, competente, indipendente, con potere decisionale, e soprattutto in diretta relazione con i vertici aziendali e con le Autorità, per cui è del tutto improbabile ipotizzare nomine a profili junior, così tanto per “essere in regola”. Specialmente se si pensa ad alcuni aspetti chiave, quali il potere che effettivamente possederà chi riceverà un simile incarico, le responsabilità anche penali che questo dovrà accollarsi per conto dell’azienda, e non per ultimo il fattore sanzioni per le infrazioni, che con le regole europee non saranno più di importo fisso ma direttamente commisurate al fatturato dell’azienda. Ma ci saranno responsabilità già vigenti al presente che ricadranno anche su coloro che dall’alto dovranno effettuare la designazione, tra l’incudine della Legge 231 e il principio dell’incauta o inidonea designazione del Dlgs 196/2003, che renderanno remote anche eventuali “nomine su raccomandazione”.

Per compiere scelte opportune ed evitare sanzioni e responsabilità, l’impresa dovrà quindi poter documentare accuratamente le competenze del candidato Privacy Officer utilizzando criteri oggettivi, che potranno consistere in abilitazioni alla professione di avvocato, o certificazioni basate su standard riconosciuti ed accettati a livello internazionale, come la ISO 17024 che riguarda specificamente le figure professionali. Non è infatti un caso che, costituendo di fatto una forma di garanzia e di tutela al tempo stesso, certificazioni come Privacy Officer esistano già da tempo in diverse nazioni come Usa, Canada, Spagna, e anche in Italia. Alla luce dell’imminente introduzione del Regolamento Europeo, trascurare i cambiamenti normativi che stanno per arrivare anche in Italia, se persistessimo nelle nostre vecchie mentalità di rimandare tutto all’ultimo, o di “metterci una pezza”, magari “mettendo a fare il privacy officer uno fidato dei nostri”, sarebbe come consentire a nostro figlio di 10 anni di guidare la nostra automobile pensando che possa riuscire ad arrivare a destinazione senza fare danni solo perché è un bravo bambino. O siete davvero fortunati, o le conseguenze sarebbero disastrose, e in certi casi irrimediabili.