Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Cosa fa un Consulente Privacy

Un ruolo aziendale del quale, sino ad oggi, molti ignoravo l’importanza strategica all’interno delle imprese è rappresentato dal consulente privacy, oggi meglio noto con l’espressione inglese “data protection specialist” (d.p.s.) o, in qualche caso, come “privacy officer” o “privacy counsel”.

Difatti, prima dell’entrata in vigore del Regolamento U.E. n. 2016/679 (in vigore del 25 maggio 2016 e applicativo dal 25 maggio 2018) le aziende, salvo rari casi, non dedicavano certamente le proprie risorse all’implementazione di una tale figura.

Oggi, proprio in virtù del novello panorama legislativo, ci troviamo invece dinanzi ad un importante periodo di cambiamenti, il quale sta rivoluzionando il modo in cui professionisti e aziende si approcciano al trattamento dei dati personali di milioni di utenti o consumatori.

Perché il Consulente Privacy è importante per qualunque realtà aziendale?

Gli adempimenti connessi agli obblighi sanciti dalla normativa in vigore (anche in ragione delle deterrenti sanzioni ivi previste) hanno reso l’apporto professionale del Consulente Privacy fondamentale per qualsivoglia realtà aziendale.

I servizi resi da un singolo consulente, o dall’implementazione di un team interno all’azienda, sono sicuramente di primaria importanza, sia per quelle realtà ove sia nominato, obbligatoriamente, un D.P.O. (Data Protection Officer o Responsabile della Protezione dei Dati), sia per quelle strutture aziendali che non lo richiedano.

Innanzitutto, il Consulente Privacy funge certamente da punto di riferimento del D.P.O., il quale si interfaccerà, in tal modo, con un soggetto competente, che possa altresì vantare un certo grado di autonomia. A tal proposito è importante ricordare che i soggetti tenuti agli adempimenti previsti dal G.D.P.R. sono, infatti, il Titolare ed il Responsabile del trattamento, i quali, nella gestione di ogni relativa incombenza (quali, ad esempio, la redazione di un’informativa o del registro dei trattamenti, lo svolgimento di una valutazione d’impatto, la notifica di un data breach o la predisposizione di un codice etico) possono essere assistiti dal Data Protection Officer.

Ciò significa che tali soggetti (specialmente nelle realtà aziendali più articolate) dovrebbero vantare oltre alle skills indispensabili per la gestione dell’azienda, anche una certa competenza in ambito data protection, impiegando la conoscenza specifica del D.P.O. per mere finalità di supervisione.

L’assoluta necessità di implementare un reparto specializzato, privacy e data protection, all’interno delle aziende è ancor più evidente se si pensa a quelle realtà che non richiedono obbligatoriamente la designazione di un D.P.O., giacché, in tal caso, ogni adempimento previsto dalla normativa ricade unicamente sul Titolare e sul Responsabile del trattamento, i quali, essendo in linea di massima dei manager, non possiedono le conoscenze necessarie all’implementazione di un sistema di gestione conforme alla normativa vigente.

Per di più, considerato l’attuale panorama normativo italiano, dominato ancora da una certa alea d’incertezza sorta in seguito all’applicazione del Regolamento Europeo, è ormai inconcepibile per qualunque professionista pensare di poter proseguire nella propria attività senza usufruire di una consulenza specifica, che lo guidi nell’interpretazione delle norme e nella gestione degli adempimenti legati alla data protection.

Basti pensare, inoltre, al ruolo sempre più preponderante che assumono gli obblighi di formazione dei dipendenti, ossia gli incaricati del trattamento dei dati personali (i quali oltre svolgere un ruolo cardine nell’attività di trattamento, costituiscono, potenzialmente, l’anello debole della sicurezza del dato), che devono possedere le competenze necessarie a riconoscere le minacce, nonché a prevenire e scongiurare eventuali violazioni della sicurezza dei dati.

A nulla varrebbe, infatti, l’adozione di sofisticati sistemi di sicurezza sui dispositivi aziendali o sulla rete, nonché l’adozione di apposti protocolli di gestione, senza una efficace formazione sulle persone.

Ciò è sicuramente assicurato dalla presenza in azienda di un Consulente Privacy, il quale, grazie alla propria conoscenza specifica, si occuperà, tra le altre cose, di fornire al personale tutte le informazioni necessarie, nonché di delineare precise regole di condotta, fondate su di un efficace e predeterminato schema d’azione.

Ma vi è di più, poiché, pur non essendo, ad oggi, certificato ufficialmente, il Consulente Privacy e data protection è indispensabile per la pianificazione di ogni strategia di marketing (basti pensare al semplice servizio di newsletter), per l’implementazione di ogni nuovo sistema di elaborazione delle informazioni (come, ad esempio, l’implementazione di nuovi e complessi software capaci di interagire e lavorare autonomamente con ingenti quantità di dati, anche di natura particolare), nonché per  lo sviluppo di ogni nuova tecnologia (ormai noti sono i pericoli dell’Internet delle cose o “Internet of things”).

Ad ogni buon conto, una valida alternativa all’implementazione dell’organico è rappresentata dall’esternalizzazione dei servizi relativi alla privacy e alla data protection. Avvalersi di una tale consulenza esterna, infatti, assicura all’azienda di operare sempre con professionisti (“consulenti privacy” o “data protection specialists”) aggiornati ed altamente specializzati.

Quali sono i requisiti necessari per diventare un Consulente Privacy?

Il Consulente Privacy non è ancora un professionista che gode di una certificazione specifica o di un corso di studi dedicato. Tuttavia, stiamo assistendo al moltiplicarsi di appositi corsi di formazione, i quali, in conformità con quanto stabilito dal GDPR, possono fornire un’istruzione mirata.

Si segnala, in ogni caso, come tali corsi non siano di per sé sufficienti a garantire una preparazione adeguata, poiché l’aspirante Consulente Privacy deve possedere una conoscenza, quantomeno di base, in ambiti quali la giurisprudenza, l’informatica, nonché competenze più o meno approfondite relative al marketing e al risk management, di natura sia teorica sia pratica.

Logicamente, in considerazione dell’attuale panorama normativo (specialmente in considerazione dell’emissione Decreto di armonizzazione italiano), chiunque svolga o intenda svolgere tale attività è tenuto ad un costante aggiornamento relativo alla normativa di riferimento, così come ai provvedimenti del Garante e delle ulteriori autorità competenti.

Inevitabilmente, per affinare le competenze necessarie è indispensabile che il consulente accumuli un certo grado di esperienza, circostanza che i soli studi teorici, pur accompagnati dall’analisi di casi pratici, non sono in grado di assicurare. Il D.P.S., infatti deve acquisire ad una capacità di ragionamento che oltrepassi uno schema o un modello prestabilito.

Pertanto, al di là di quanto concerne la formazione legale, digitale e business, bisogna cimentarsi con l’effettiva assistenza professionale a clienti quali imprese e società, e trovarsi in condizioni che richiedano lo svolgimento analisi e verifiche pratiche sui rischi specifici, con redazione di documentazione adeguata al caso di specie.

Gioca inoltre un ruolo preminente, anche e soprattutto al fine disviluppare le necessarie soft skills, la gestione delle urgenze e degli imprevisti. Il D.P.S. deve essere in grado di gestire, conformemente alla legge, ogni richiesta che possa scaturire, all’interno o all’esterno dell’azienda, relativamente al trattamento di dati personali, sviluppando una ragguardevole capacità d’intervento qualificato.

Conclusioni

L’assiduo e inarrestabile sviluppo tecnologico, specie con riferimento a ciò che viene definito I.O.T. (Internet Of Things), o Internet Delle Cose, porta con sé tutta una serie di minacce concrete per le persone fisiche. Gli eventi pregiudizievoli per gli individui, infatti, non scaturiscono unicamente da azioni criminose, bensì anche, e sempre più spesso, da un uso superficiale ed irresponsabile degli strumenti che il progresso ci mette a disposizione. Per tali motivi la data protection e, di conseguenza, le figure professionali ad essa legate, quale il Consulente Privacy, stanno assumendo un ruolo centrale all’interno di ogni realtà professionale, didattica o ricreativa, poiché un trattamento di dati compiuto in maniera difforme da quanto previsto a norma del G.D.P.R. comporta, inevitabilmente, un pericolo potenziale per i diritti e le libertà dei soggetti interessati.