No, il Data Protection Officer non è l’IT Manager
La figura del Data Protection Officer viene confusa con quella dell’IT Manager, ma compiti e preparazione sono molto diversi.
Secondo il nuovo Regolamento europeo sulla privacy, le aziende hanno l’obbligo di munirsi di un Data Protection Officer, ossia di un responsabile per la protezione dei dati. Questa figura deve essere scelta, secondo l’articolo 37 del Regolamento, sulla base di “qualità professionali” e della “conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”, tutte indicazioni stabilite dalle linee guida decise dai Garanti europei. Il concetto sembra piuttosto chiaro, ma per le aziende italiane non sembra che lo sia abbastanza.
Secondo un’indagine di Federprivacy, infatti, molte imprese affidano i compiti del DPO all’IT Manager, oppure, durante la ricerca di un responsabile, tengono maggiormente in considerazione le conoscenze informatiche, a scapito di quelle giuridiche, fondamentali per la corretta interpretazione del Regolamento e il corretto adeguamento dell’azienda. Questo fatto dimostra che i concetti di conformità alla normativa e security non sono ancora ben distinti all’interno delle aziende, le quali confondono due rami ben distinti.
Questione di competenze
Perché un professionista IT non può svolgere lo stesso compito di chi è specializzato nell’applicazione delle varie normative? Perché le due figure sono fondamentalmente opposte: mentre la prima è dedicata all’analisi delle minace e delle vulnerabilità e alla prevenzione degli attacchi informatici (aspetto pratico), la seconda ha il compito di valutare ed organizzare il modo in cui i dati vengono trattati in modo che la gestione rispetti le norme.
Non a caso, Nicola Bernardi, presidente di Federprivacy, sottolinea l’importanza di verificare che il DPO non solo presenti tutte le conoscenze richieste dalla normativa, ma anche che non svolga altre mansioni capaci di creare conflitti di interessi con l’operato di supervisione. In caso contrario, il rischio è di venire sanzionati, come successo a un’azienda tedesca, la quale aveva fatto coprire al proprio responsabile IT il ruolo di DPO, ricevendo una multa dal Garante locale.
Le imprese hanno quindi tempo fino al 25 maggio 2018 per risolvere questa incompatibilità ed evitare ritorsioni economiche che possono toccare i 20 milioni di euro o, in alternativa, il 4% del fatturato annuo aziendale.