Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Cosa fa un Consulente Privacy

Una figura professionale della quale, sino ad oggi, molti ignorano l’importanza strategica all’interno delle imprese è rappresentata dal consulente privacy, oggi meglio noto con l’espressione inglese “data protection specialist” (d.p.s.) o, in qualche caso, come “privacy officer” o “privacy counsel”.

Difatti, prima dell’entrata in vigore del Regolamento U.E. n. 2016/679 ( del 27 aprile  2016 e operativo dal 25 maggio 2018) le aziende, salvo rari casi, non dedicavano certamente le proprie risorse all’implementazione di una tale figura. L’assenza di personale adeguatamente formato per garantire la tutela dei diritti e della dignità nel trattamento dei dati personali di ogni singolo cittadino ha comportato, in molti casi, rischi per gli interessati, gli utenti finali o costi aggiuntivi per l’azienda.

Oggi, proprio in virtù del nuovo panorama legislativo, ci troviamo invece dinanzi ad un importante periodo di cambiamenti, il quale sta rivoluzionando il modo in cui professionisti e aziende si approcciano al trattamento dei dati personali di milioni di utenti o consumatori.

Perché il Consulente Privacy è importante per molte realtà aziendale?

Gli adempimenti connessi agli obblighi sanciti dalla normativa in vigore (anche in ragione delle deterrenti sanzioni ivi previste) hanno reso l’apporto professionale del Consulente Privacy fondamentale per qualsivoglia realtà aziendale.

I servizi resi da un singolo consulente della privacy, o dall’implementazione di un team interno all’azienda, sono sicuramente di primaria importanza, sia per quelle realtà ove sussista l’obbligo di nominare un D.P.O. (Data Protection Officer o Responsabile della Protezione dei Dati personali, una figura professionale obbligatoria per gli enti e le aziende che soddisfino determinati requisiti), sia per quelle strutture aziendali che non lo richiedano.

Innanzitutto, il Consulente Privacy funge certamente da punto di riferimento del D.P.O., il quale si interfaccerà, in tal modo, con un soggetto competente, che possa altresì vantare un certo grado di autonomia. A tal proposito è importante ricordare che i soggetti tenuti agli adempimenti previsti dal G.D.P.R. sono, infatti, il Titolare ed il Responsabile del trattamento, i quali, nella gestione di ogni relativa incombenza (quali, ad esempio, la redazione di un’informativa o del registro dei trattamenti, lo svolgimento di una valutazione d’impatto, la notifica di un data breach o la predisposizione di un codice etico) possono essere assistiti dal Data Protection Officer.

Ciò significa che tali soggetti (specialmente nelle realtà aziendali più articolate) dovrebbero vantare oltre alle skills indispensabili per la gestione dell’azienda, anche una certa competenza in ambito data protection, impiegando la conoscenza specifica del D.P.O. per mere finalità di supervisione. Ciò garantisce che, nell’ambito della protezione dei dati personali e degli adempimenti relativi alla privacy di ciascuna azienda, le due figure del consulente e del D.P.O. agiscano in sinergia e in maniera coordinata, perseguendo il medesimo fine ma con i mezzi e gli strumenti che sono propri di ciascuno dei due.

L’assoluta necessità di implementare un reparto specializzato, privacy e data protection, all’interno delle aziende è ancor più evidente se si pensa a quelle realtà che non richiedono obbligatoriamente la designazione di un D.P.O., giacché, in tal caso, ogni adempimento previsto dalla normativa ricade unicamente sul Titolare e sul Responsabile del trattamento, i quali, essendo in linea di massima dei manager, non possiedono le conoscenze necessarie all’implementazione di un sistema di gestione conforme alla normativa vigente.

Per di più, considerato l’attuale panorama normativo italiano, dominato ancora da una certa alea d’incertezza sorta in seguito all’applicazione del Regolamento Europeo, è ormai inconcepibile per qualunque professionista pensare di poter proseguire nella propria attività senza usufruire di una consulenza specifica, che lo guidi nell’interpretazione delle norme e nella gestione degli adempimenti legati alla data protection.

Basti pensare, inoltre, al ruolo sempre più preponderante che assumono gli obblighi di formazione dei dipendenti, ossia gli incaricati del trattamento dei dati personali (i quali oltre a svolgere un ruolo cardine nell’attività di trattamento, costituiscono, potenzialmente, l’anello debole della sicurezza del dato), che devono possedere le competenze necessarie a riconoscere le minacce, nonché a prevenire e scongiurare eventuali violazioni della sicurezza dei dati.

A nulla varrebbe, infatti, l’adozione di sofisticati sistemi di sicurezza sui dispositivi aziendali o sulla rete, nonché l’adozione di apposti protocolli di gestione, senza una efficace formazione delle persone.

Ciò è sicuramente assicurato dalla presenza in azienda di un Consulente Privacy, il quale, grazie alla propria conoscenza specifica, si occuperà, tra le altre cose, di fornire al personale tutte le informazioni necessarie, nonché di delineare precise regole di condotta, fondate su di un efficace e predeterminato schema d’azione.

Ma vi è di più, poiché, pur non essendo ad oggi certificato ufficialmente, il Consulente Privacy & data protection è indispensabile per la pianificazione di ogni strategia di marketing (basti pensare al semplice servizio di newsletter), per l’implementazione di ogni nuovo sistema di elaborazione delle informazioni (come, ad esempio, l’implementazione di nuovi e complessi software capaci di interagire e lavorare autonomamente con ingenti quantità di dati, anche di natura particolare), nonché per lo sviluppo di ogni nuova tecnologia (ormai noti sono i pericoli dell’Internet delle cose o “Internet of things”).

Ad ogni buon conto, una valida alternativa all’implementazione dell’organico è rappresentata dall’esternalizzazione dei servizi relativi alla privacy e alla data protection. Avvalersi di una tale consulenza per la privacy esterna, infatti, assicura all’azienda di operare sempre con professionisti aggiornati ed altamente specializzati sulla base delle correnti norme e linee guida emanate a livello europeo e nazionale in materia di privacy.

Inoltre, per le aziende con un numero di dipendenti ridotto, fare affidamento su un’azienda esterna per una consulenza sulla privacy consente di ridurre i costi che andrebbero altrimenti impiegati per assumere appositamente un esperto, o per formare adeguatamente uno o più dei propri dipendenti.

Quali sono i requisiti necessari per diventare un Consulente Privacy?

Il Consulente Privacy non è ancora un professionista che gode di una certificazione specifica o di un corso di studi dedicato. Tuttavia, stiamo assistendo al moltiplicarsi di appositi corsi di formazione, i quali, in conformità con quanto stabilito dal GDPR, possono fornire un’istruzione mirata.

Si segnala, in ogni caso, come tali corsi non siano di per sé sufficienti a garantire una preparazione adeguata, poiché l’aspirante Consulente Privacy deve possedere una conoscenza, quantomeno di base, in ambiti quali la giurisprudenza, l’informatica, nonché competenze più o meno approfondite relative al marketing e al risk management, di natura sia teorica sia pratica. Molti dei corsi attualmente disponibili sul mercato non coprono, o coprono solo in parte, tutti questi specifici settori, mentre è assolutamente indispensabile che il Consulente della Privacy possieda una formazione a 360 gradi sull’intera disciplina, nelle sue diverse sfaccettature.

Logicamente, in considerazione dell’attuale panorama normativo,chiunque svolga o intenda svolgere tale attività è tenuto ad un costante aggiornamento relativo alla normativa di riferimento, così come ai provvedimenti del Garante della Privacy (o Garante per la protezione dei dati personali, l’autorità indipendente italiana che assicura la tutela dei diritti nel trattamento dei dati personali) e delle ulteriori autorità competenti, come anche l’European Data Protection Board (ossia Il Comitato europeo per la Protezione dei Dati, organismo indipendente dell’Unione europea il cui scopo è garantire un’applicazione coerente del Regolamento e promuovere la cooperazione tra le autorità di protezione dei dati dell’ UE).

La frequenza degli aggiornamenti legislativi e delle novità regolamentari rende tanto più necessario, per il consulente della privacy, un atteggiamento di attenzione e ricettività nei confronti di ogni modifica importante che coinvolga il suo ambito lavorativo.

Inevitabilmente, per affinare le competenze necessarie è indispensabile che il consulente accumuli un certo grado di esperienza, circostanza che i soli studi teorici, pur accompagnati dall’analisi di casi pratici, non sono in grado di assicurare. Il D.P.S., infatti deve acquisire una capacità di ragionamento che oltrepassi uno schema o un modello prestabilito.

Pertanto, al di là di quanto concerne la formazione legale, digitale e business, bisogna cimentarsi con l’effettiva assistenza professionale a clienti quali imprese e società, e trovarsi in condizioni che richiedano lo svolgimento di analisi e verifiche pratiche sui rischi specifici, con redazione di documentazione adeguata al caso di specie.

Gioca inoltre un ruolo preminente, anche e soprattutto al fine disviluppare le necessarie soft skills, la gestione delle urgenze e degli imprevisti. Il D.P.S. deve essere in grado di gestire, conformemente alla legge, ogni richiesta che possa scaturire, all’interno o all’esterno dell’azienda, relativamente al trattamento di dati personali, sviluppando una ragguardevole capacità d’intervento qualificato.

Conclusioni

L’assiduo e inarrestabile sviluppo tecnologico, specie con riferimento a ciò che viene definito I.O.T. (Internet Of Things), o Internet Delle Cose, porta con sé tutta una serie di minacce concrete per le persone fisiche. Gli eventi pregiudizievoli per gli individui, infatti, non scaturiscono unicamente da azioni criminose, bensì anche, e sempre più spesso, da un uso superficiale ed irresponsabile degli strumenti che il progresso ci mette a disposizione.

In base alla normativa sulla privacy, per com’è fissata dal Regolamento UE in materia di protezione dei dati personali, al singolo utente finale è riconosciuto il diritto di essere protetto da ogni violazione della propria privacy attraverso apposite misure organizzative che includono misure di sicurezza informatica, oltre che di vedersi garantita la tutela dei propri dati, come stabilisce ogni singola informativa sul trattamento dei dati secondo norma di legge.

Per tali motivi la data protection e, di conseguenza, le figure professionali ad essa legate, quale il Consulente Privacy, stanno assumendo un ruolo centrale all’interno di ogni realtà professionale, didattica o ricreativa, poiché un trattamento di dati compiuto in maniera difforme da quanto previsto a norma del G.D.P.R. comporta, inevitabilmente, un pericolo potenziale per i diritti e le libertà dei soggetti interessati.