Tra le professioni più ricercate del futuro emerge la figura del Data Protection Officer

03 10 2017

Saranno più di 3.600 i professionisti della cyber sicurezza aziendale ricercati da imprese e società di consulenza.

La ricerca si annuncia lunga e difficile: tante ed eterogenee le competenze richieste a questa nuova figura professionale.

Una nuova figura professionale si affaccia al mondo del lavoro: si tratta del Data Protection Officer (DPO), il “supereroe” incaricato di difendere i dati sensibili che un’azienda custodisce.

Si tratta di un ruolo aziendale reso obbligatorio dal regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679), attraverso il quale la Commissione Europea intende rafforzare e rendere omogenea la protezione dei dati personali entro i confini dell’UE. Il regolamento, che entrerà ufficialmente in vigore il 25 maggio 2018, dopo un periodo di transizione di due anni, prevede una serie di norme e regole a cui tutte le aziende, anche quelle italiane, dovranno dimostrarsi conformi. Un’esigenza resa stringente da quello che sembra ormai il reato del nostro secolo: il cyber crimine. Tutte le imprese che contano più di 250 dipendenti, nonché quelle imprese che intrinsecamente si trovano a maneggiare e processare dati sensibili, quindi, dovranno dotarsi di un DPO per essere conformi alla normativa.

 

Cosa fa un Data Protection Officer

Il DPO è visto come un’estensione dell’autorità sovrintendente, nazionale e indipendente, a difesa della privacy – in Italia, il Garante per la protezione dei dati personali. Il Data Protection Officer funge da interfaccia tra l’Autorità e l’azienda. In caso di violazione di dati, il DPO è obbligato a segnalare l’evento all’Autorità competente. Inoltre, questa figura professionale deve assicurare che l’azienda sia conforme a quanto stabilito dal GDPR, attraverso la gestione di un registro dei dati immagazzinati a sistema; deve produrre documenti di verifica chiamati Privacy Impact Assessment, ovvero vere e proprie valutazioni di impatto nel trattamento dei dati; deve controllare che le procedure di sicurezza informatica siano rispettate.

La nuova figura professionale del DPO deve essere in possesso di competenze specifiche, ma anche di soft skill organizzative e di relazione con i dipendenti: compete al DPO, infatti, anche l’organizzazione di specifiche sessioni di formazione e sensibilizzazione delle risorse umane sulla cyber sicurezza, gestendo anche eventuali segnalazioni da parte dei dipendenti stessi, nonché le contestazioni, aggiornando poi il management sullo svolgimento delle proprie funzioni.

Tra i compiti demandati al Data Protection Officer, in aggiunta, c’è anche il rispetto del cosiddetto diritto all’oblio: una corretta gestione dei dati personali in azienda, infatti, deve garantire a qualsiasi interlocutore il diritto ad avere accesso ai propri dati, alla cancellazione di tali dati, ad opporsi alla loro diffusione e a richiedere risarcimenti in caso di danni.

Le competenze richieste a un DPO di successo? La comprensione del settore legale, innanzitutto: il Data Protection Officer deve saper interpretare la normativa e metterla in pratica all’interno dell’azienda. Il GDPR, infatti, introduce l’obbligo per tutte le aziende di dotarsi di una specifica contrattualistica che regoli i rapporti fra il detentore del trattamento dei dati personali, ovvero l’impresa o “controller”, con tutti i “processor” che maneggiano tali dati su mandato del controllore – un esempio banale di questo comparto di attività è la gestione dei payroll, spesso affidati in outsourcing. A ciò si deve aggiungere anche una chiara visione del settore IT e un continuo aggiornamento in materia. Senza poi dimenticare la capacità di saper comunicare efficacemente, ai dipendenti all’interno dell’azienda, ma anche agli stakeholder esterni.

“La figura del Data Protection Officer sarà presto al centro delle ricerche di personale da parte delle grandi aziende italiane – commenta Stefano Minini, Partner Advisory & Risk di BDO Italia Sappiamo che in Italia il tessuto imprenditoriale è in larga parte costituito da piccole e medie imprese, ma i più recenti dati Istat ci parlano comunque di più di 3.600 imprese italiane che vantano oltre 250 dipendenti, e che quindi saranno influenzate dall’entrata in vigore del GDPR. Serviranno, quindi, più di 3.600 DPO nel nostro Paese entro il 2018: numeri che sembrano piccoli, ma che scateneranno una vera e propria febbre nel campo delle risorse umane. Semplicemente perché sarà molto difficile trovare la forza lavoro in possesso di tutte le competenze effettivamente richieste. Molti sceglieranno di esternalizzare il servizio a società di consulenza come la nostra: anche noi advisor non possiamo farci trovare impreparati.”

 

Tutti i requisiti previsti nel GDPR:

  1. Implementazione di una policy aziendale per la privacy e di un programma di sensibilizzazione dei dipendenti
  2. Gestione e aggiornamento di un registro di tutti i dati personali custoditi in azienda
  3. Conduzione del PIA, Privacy Impact Assessment
  4. Costruzione di specifiche misure di cyber sicurezza
  5. Gestione della collaborazione tra detentori del trattamento dei dati personali (controller) e tutti i “processatori” di tali dati
  6. Gestione delle comunicazioni dell’azienda in termini di informativa sul trattamento dei dati personali
  7. Segnalazione di eventuali fughe di dati
  8. Assunzione di un DPO

 

Tra i vari requisiti di sicurezza introdotti dalla normativa, come accennato prima, il più eclatante riguarda sicuramente la notifica delle violazioni di dati aziendali all’Autorità competente: se l’evento non viene segnalato entro 72 ore dall’accadimento (o dal momento in cui l’azienda si accorge della violazione), l’impresa incorre in una multa che può arrivare ad essere pari al 4% del fatturato dell’azienda stessa.

“Ci sono diversi settori industriali che, seppur non toccati dall’obbligo regolatorio di dotarsi di un DPO, potrebbero comunque sentire il bisogno di assoldare tale figura professionale - prosegue Lorenzo Mazzei, Partner Intelligence & Cybersecurity di BDO Italia. – Sono particolarmente vulnerabili e appetibili tutti i settori in cui la mole di dati sensibili maneggiata è notevole: il settore sanità, quella dei servizi finanziari, ICT e comunicazione, retail, senza dimenticare la Pubblica amministrazione. Ci sentiamo di consigliare alle aziende afferenti a questi settori in ogni caso di affidarsi alla consulenza di professionisti del settore, che possano garantire alti livelli di cyber sicurezza e pronte risposte in caso di crisi. Non tutti i cyber attacchi di cui sentiamo parlare portano poi effettivamente a una fuga di dati: è importante, tuttavia, sapere come evitare che ciò si verifichi e tenere i dati sensibili debitamente… sotto chiave.”