Buttarelli: "Professione Dpo, l'Italia faccia la sua parte" - CorCom

PRIVACY

Buttarelli: “Professione Dpo, l’Italia faccia la sua parte”

Il Congresso Asso Dpo dà la parola a garanti e federazioni sulla General Data Protection Regulation. Formazione, certificazione e internazionalizzazione al centro del dibattito. Il Garante Ue per la protezione dati: “Problema di adeguamento dei vari Paesi: non possiamo fare i compiti per tutti”

09 Mag 2017

Domenico Aliperto

Manca quasi un anno all’entrata in vigore del nuovo regolamento europeo sulla privacy sulla protezione dei dati personali (GDPR): una serie di vincoli concepiti nel 2011 il cui iter approvativo, che ha preso il via nel 2012, è terminato lo scorso dicembre. Dopo ben quattro anni di dibattiti e modifiche al testo, a cui si è aggiunto l’apporto del gruppo di lavoro Articolo 29 che unendo le competenze dei garanti della privacy dei Paesi Ue ha elaborato diversi documenti di indirizzo sulle materie affrontate, il dispositivo è finalmente pronto per essere messo alla prova del mercato. Anzi, dei mercati, visto che ancora ogni Stato membro fa storia a sé.

A prescindere però dal grado di maturità dei singoli Paesi e dalla capacità delle imprese e delle PA che lavorano a stretto contatto con i dati di introiettare le nuove norme, rimarrà comunque una difficoltà comune: in questi lunghi anni di gestazione l’avvento dei big data ha letteralmente stravolto molte regole del gioco. “I big data potranno mettere a rischio la definizione stessa di titolare del trattamento dei dati: i quali non vengono più raccolti con scopi ben definiti e con l’obiettivo di usarli oggi, ma in modo da formare dei bacini a cui attingere domani per estrarre informazioni potenzialmente rilevanti. Non conta più la precisioni del dato, in quanto è l’analisi aggregata e correlata ciò che genera vero valore, e si attenuerà sempre di più la differenza tra dato personale e dato anonimo”. Parola di Giovanni Buttarelli, Garante europeo della protezione dei dati.

Il modo migliore per recepire il regolamento? Fare pulizia normativa

Buttarelli è intervenuto aprendo i lavori della terza edizione del Congresso annuale di Asso DPO, di scena ieri e oggi a Milano. La due giorni organizzata dall’associazione italiana dei Data Protection Officer (a cui fanno capo 284 membri) è stata per l’appunto incentrata sugli effetti dell’applicazione del Gdpr e ha visto alternarsi sul palco dei relatori alcuni tra i massimi esperti del tema, oltre ai rappresentanti delle altre federazioni europee che promuovono e tutelano la figura professionale destinata a fungere da ago della bilancia nelle almeno 250mila organizzazioni per cui scatterà, a partire dal 25 maggio 2018, l’obbligo di dotarsi di un Dpo.

“Il Data Protection Officer smetterà di essere semplicemente una figura professionale e diventerà una professione vera e propria”, ha detto Buttarelli che non ha eluso una delle questioni più importanti legate all’affermazione di questo nuovo ruolo, la certificazione: “Le indicazioni su certificazione e accreditamento saranno disponibili prima dell’entrata in vigore del regolamento, possibilmente entro la fine del 2017. Stiamo cercando di fornire il maggior numero di spunti a chi lavora sulla data protection, ma non vogliamo fare i compiti a casa per tutti. Il Lussemburgo, per esempio, ha avviato un progetto su larga scala per la formazione dei DPO di tutta la PA, mentre il Belgio ha addirittura nominato un ministro per la gestione di questo ambito. E c’è chi invece non si è ancora mosso. Esiste quindi un problema di sincronizzazione da Paese a Paese. L’Italia? Ci aspettiamo che anche qui politica e imprese facciano il necessario”.

eventi digitali
Quale sia la tua esigenza di evento, noi l’abbiamo realizzata! Per il 2021 affidati a Digital360
Digital Transformation
Marketing

Per Bruno Gencarelli, Head of Unit Data protection della Commissione europea, “il primo compito del legislatore nazionale è fare pulizia normativa. Ovvero: ancor prima di recepire la direttiva – localizzandola nei limiti del regolamento e senza metterne in discussione gli obiettivi fondanti – bisogna passare in rassegna la normativa italiana in materia di privacy e sopprimere le norme che contrastano o si sovrappongono al regolamento”, ha spiegato collegandosi al congresso da Bruxelles. “Non saranno comunque tollerati tentativi di nazionalizzazione, e la commissione rimarrà molto vigile in questo senso”. Gencarelli allude alla possibilità che alcuni Stati decidano di puntare su vincoli meno rigidi per attirare le imprese straniere sul proprio territorio. “Ma se rispetto alla discrezionalità nell’attuare il regolamento si gioca la partita della concorrenza, non andremo da nessuna parte”, ha rilanciato Augusta Iannini, Vicepresidente dell’Autorità Garante per la protezione dei dati. “Affinché il nuovo regolamento risulti davvero efficace, occorrerà anche uno sforzo da parte dei garanti riuniti nel board (l’European Data Protection Board, che sostituirà il gruppo Articolo 29 diventando una personalità giuridica, ndr) per la semplificazione: occorrono comunicazioni veloci, un linguaggio accessibile e strumenti per la rapida individuazione dell’autorità capofila per consentire alle organizzazioni di dirimere il più velocemente possibile eventuali controversie. Alle condizioni attuali ci vorrebbero circa sei mesi. Un tempo che le aziende non possono permettersi”.

Verso un network globale (o almeno europeo) di Dpo

Formazione e certificazione sono, insieme all’internazionalizzazione, gli ambiti su cui si sta spendendo maggiormente Asso Dpo, che ha stretto una partnership con Cepas-Bureau Veritas Italia per sviluppare uno spin-off dedicato alla verifica dei requisiti che rendono un professionista un Dpo in grado di svolgere il proprio compito, tra competenze tecnologiche, legali, manageriali e le sempre più indispensabili soft skill necessarie nelle situazioni delicate. Cepas dispone già di tre programmi di formazione: quella base, Cps (Certified Privacy Specialist), quella tradizionale, Dpo, e quella specificamente indirizzata a chi opera a contatto col settore sanitario, Dops. “Quest’anno è partito il nostro progetto di internazionalizzazione, che ha l’obiettivo di creare il primo nucleo tra le associazioni che puntano a standardizzare e uniformare la figura del Dpo sul mercato globale, dando vita a un network che superi le dinamiche locali”, ha raccontato Cesare Auberti, Sales Manager – Service Line Competence Certification di Cepas-Bureau Veritas Italia.

“La vera sfida oggi è promuovere il riconoscimento della professione dandogli un taglio europeo. Anzi, speriamo diventi la prima vera professione nata in seno all’Unione”, ha ribadito Matteo Colombo, presidente dell’associazione. “Il nostro obiettivo è riuscire a sviluppare uno standard uniforme per la certificazione della professione a livello internazionale, puntando all’aggregazione degli organi associativi nazionali in strutture di più ampio respiro, come per esempio Cedpo (Confederation of national data protection organisations ) e Iapp (International Association of Privacy Professionals). Una visione condivisa da tutti gli omologhi di Colombo ospiti del congresso, tra cui la spagnola Cecilia Álvarez dell’Apep, Jon Baines di Nadpo (UK), la svedese Caroline Olstedt Carlstrom del Data Protection Forum, l’austriaco Philipp Hochstöger di Arge Daten, Paul Jordan, del capitolo europeo di Iapp, Xavier Leclerc, di Cndpo (Francia) e il tedesco Steffen Weiß, che rappresentava Gdd. “Il problema”, ha continuato Colombo, “è che gli italiani sono poco presenti nelle occasioni di incontro. Eppure possiamo incidere solo partecipando ed è un paradosso che a superarci siano le iniziative provenienti dalla Gran Bretagna che ha deciso di uscire dall’Unione europea”.

Quello della Brexit è stato un altro dei temi caldi del congresso. Come si comporterà il Regno Unito rispetto al Gdpr e come dovranno comportarsi le imprese che fanno business scambiando dati Oltremanica? Secondo Stewart Dresner, Ceo di Privacy Laws&Business, e Hannah McCausland, Senior International policy officer dell’Ico (Information Commissioner’s Office, il garante britannico della privacy), non dovrebbero esserci scossoni. “La normativa rimarrà focalizzata sul regolamento europeo, come hanno confermato i ministri in un recente documento”, ha garantito McCausland, “e il flusso dei dati rimarrà ininterrotto. Inoltre l’Ico continuerà a essere un membro del Gruppo Articolo 29 e dell’ European Data Protection Board”.