L'anno dei DPO: Data Economy 2023
Il 2022 è stato un anno di cambiamento significativo nel mondo della Data Economy. Nonostante la guerra in Europa orientale, l'evoluzione è continuata e addirittura accelerata, come è successo anche durante la pandemia di Covid-19. Gli eventi imprevisti e distruttivi hanno influito sull'evoluzione del rapporto tra uomo e tecnologia, in particolare con l'aumento delle minacce cibernetiche e l'utilizzo delle tecnologie dell'informazione come armi di guerra. Ovviamente ci si augura che per il 2023 arrivi la fine delle ostilità e il ripristino di una pace duratura, mantenendo i progressi fatti nell'uso consapevole della tecnologia.
Infatti nel 2022 la normativa sulla cybersicurezza ha avuto un grande impulso, diventando sempre più importante a livello sovranazionale e nazionale nell'economia dei dati. Alla fine dell'anno, sono stati pubblicati alcuni testi legislativi tra cui la Direttiva NIS2, che innova il quadro stabilito dalla Direttiva NIS1, e il Digital Operational Resilience Act (DORA) che si concentra sulla resilienza operativa nel settore finanziario.
Riguardo alle nuove norme sul digitale possiamo affermare che il 2022 è stato un anno in cui sono state proposte molte leggi per governare la data economy. Leggi come Data Governance Act, Digital Services Act e Digital Markets Act sono state pubblicate sulla Gazzetta Ufficiale dell'Unione Europea, sono entrate in vigore e si preparano ad essere completamente applicabili. Altre leggi come Artificial Intelligence Act, Data Act e Cyber Resilience Act sono ancora in fase di elaborazione, ma si spera che possano essere applicate presto. Il 2023 sarà l'anno in cui alcune di queste nuove leggi entreranno in vigore, quindi i prossimi mesi saranno cruciali per tutti i soggetti obbligati a conformarsi alle nuove disposizioni e adeguarsi alle nuove normative.
Nel 2023 il Regolamento Generale sulla Protezione dei Dati (il GDPR) compirà 5 anni, nello specifico 7 anni dall'entrata in vigore, e il 2022 ha dimostrato l'importanza, l'attualità e il dinamismo di questa disciplina, con questioni importanti ancora in fase di risoluzione, come i trasferimenti internazionali. Il 2023 potrebbe vedere un aumento delle sanzioni inflitte per violazioni del GDPR, con un aumento del 92% delle sanzioni date nel primo semestre del 2022 rispetto allo stesso periodo dell'anno precedente. Una cosa molto importante che abbiamo appreso nel 2022 è che “l' accountability” funziona, sta mostrando i suoi effetti positivi nei procedimenti sanzionatori, con aziende e PA che si stanno auto-responsabilizzando.
Nel corso dell'ultimo anno, il rapporto tra aziende e PA con il proprio Data Protection Officer (DPO) ha assunto una grande importanza, determinando diversi risultati positivi, anche per quanto riguarda le sanzioni. Il ruolo del DPO è fondamentale, poiché rappresenta il punto di contatto tra l'azienda e l'Autorità per la protezione dei dati. Avere un professionista in grado di rappresentare correttamente ed efficacemente lo stato della compliance aziendale in caso di ispezione dell'Autorità e nelle successive interlocuzioni è un elemento di grande valore e rilievo, anche per quanto riguarda la determinazione dell'entità della sanzione. Il coinvolgimento tempestivo e puntuale del DPO nelle scelte quotidiane del titolare riguardanti il trattamento dei dati può influire positivamente sull'esito di un procedimento sanzionatorio. Inoltre, seguire o meno le indicazioni del DPO può avere un impatto sull'entità delle sanzioni.
Ma come di può scegliere un buon DPO?
Il nominare un Data Protection Officer (DPO) non è sufficiente per garantire la conformità alle normative sulla protezione dei dati. È importante scegliere un professionista qualificato e indipendente, che sia in grado di svolgere un ruolo di controllo e consulenza neutrale. Inoltre, il DPO deve avere una relazione continuativa e immediata con i vertici aziendali e presentare una relazione annuale per programmare le attività future e stanziare il budget necessario.
E' consigliabile scegliere un DPO esterno all'azienda, dato che molti tendono a sovrapporre ruoli e funzioni di chi fa business (magari direttamente in azienda) con il ruolo del DPO, va selezionato un professionista qualificato e indipendente che sia in grado di svolgere il suo ruolo di controllo e consulenza in modo neutrale. Inoltre, è fondamentale che il DPO sia in una posizione organica per comunicare efficacemente con i vertici aziendali e presentare una relazione annuale per programmare le attività future e stanziare il budget.
Va detto che il GDPR consente di avere un DPO interno o esterno, l'importante è che ci sia la giusta distanza dai conflitti di interesse e che ci sia una comunicazione efficace con le funzioni privacy interne,che siano autonome o in connubio con le funzioni legale e compliance. Detto questo è provato che il modello DPO esterno come interfaccia della funzione privacy interna è perfetto e funziona sempre. In ultima istanza va ricordato che affinché un professionista possa svolgere in modo corretto i compiti che la normativa attribuisce al DPO è necessario che venga adeguatamente remunerato, visto che in Italia queste figure risultano ancora ampiamente sottopagate a differenza dei giusti compensi che ricevono oltreoceano.