Data protection officer: chi è, cosa fa, come si forma e quanto guadagna
I BigData sono il futuro della maggioranza delle aziende, che si avvarrà delle informazioni rese pubbliche on e offline dagli utenti per pilotare la propria strategia.
L’utilizzo dei dati si scontra però con la necessità di privacy garantita dai paesi democratici e liberali e con le leggi a tutela di cittadini e consumatore. A fare da ponte tra aziende e utenti c’è il Data protection officer, o Responsabile Protezione Dati, in italiano.
Questa figura ha un duplice ruolo sia esecutivo che di consulenza (tecnica e legale), e tutte le aziende datadriven dovranno presto averne uno nell’organico per accertarsi di lavorare nella legalità e nel pieno rispetto di normative e diritti dei clienti, dei consumatori e dei cittadini.
Vediamo insieme di cosa si occupa il Data protection officer, cosa studia, quali competenze possiede e quali sono le sue possibilità di guadagno e carriera.
Tabella dei contenuti
Dati e sicurezza: come si proteggono dati e consumatori
I dati sono informazioni che tutti i cittadini e gli utenti della Rete disseminano durante le proprie attività quotidiane. Lo sono, per esempio:
- lista di amici, giochi collegati, like e commenti a post e pagine sui social network
- informazioni contenute nei conti correnti (dove si lavora, come si percepisce denaro, come si spende, se si hanno carta di credito, libretti di assegni, eccetera)
- tutta la burocrazia statale: quante tasse si pagano, come, dove, per quale lavoro, se si è stati incriminati per qualche reato
- le informazioni sanitarie
- le abitudini di acquisto online
- gli spostamenti, se si usa uno smartphone con la geolocalizzazione attiva
Tutti questi dati, raccolti da varie fonti e messi insieme, creano un ritratto piuttosto fedele delle nostre abitudini, condizioni, preferenze. Le aziende sono ovviamente interessate a conoscere alcuni di questi dati, per finalizzare al meglio la pubblicità, proporci siti più interessanti, sconti, email di avviso per promozioni, post sui social, ADV.
Non solo: alcuni dei nostri dati sono utili anche a capire e in un certo senso a “predire” come ci comporteremo in alcune circostanze. Per esempio, se abbiamo una storia di cattivi pagatori, le banche faranno ricerche sul nostro conto e più difficilmente ci concederanno un mutuo o un prestito.
Per alcuni dati siamo poco preoccupati; per altri invece desideriamo mantenere il più rigoroso riserbo. Entrano in questa categoria, per esempio, i dati sanitari: nessuno di noi vorrebbe fosse pubblica la propria positività ad un test o quali sono gli esiti delle ultime analisi effettuate.
Pensiamo a quale ritorno negativo potrebbe avere la notizia, arrivata ad un’azienda, della gravidanza di una dipendente poco prima del rinnovo del contratto: il medico o la struttura che divulgassero queste informazioni sarebbe penalmente ed economicamente perseguibili.
Tutti gli stati in Europa si sono organizzati negli anni per proteggere i consumatori, quantomeno in merito ai dati più sensibili, senza inficiare eccessivamente la lecita attività delle aziende.
Dunque ogni stato ha in vigore una normativa specifica per il trattamento dei dati, riservati o pubblici, a seconda del tipo di attività che delineano o da quale fonte provengano.
Dal 2018 la normativa è stata unificata e per molte aziende è diventato obbligatorio avere un Data protection officer nell’organico, con competenze di consulenze ed esecutive. La norma però ha lasciato alcuni vuoti di responsabilità che si stanno cercando di colmare.
L’Europa ha leggi sulla tutela della privacy piuttosto severe: i governi non possono accedere a moltissimi dati sensibili dei cittadini. La situazione è molto diversa in altre nazioni, per esempio dove vigono regimi dittatoriali, che usano (e hanno le basi e gli appoggi legali per farlo) ogni possibile tipo di dato per individuare persone reputate pericolose o per manipolare le intenzioni di voto.
A metà strada tra le aziende e i dati dei consumatori (dunque la loro riservatezza) c’è il Data protection officer: una figura che conosce le normative e fa da consulente tecnico e legale. C’è un’altra mansione, però, di cui si occupa: quella esecutiva. In base alle norme vigenti il Data protection officer può scegliere di interrompere un’analisi o l’acquisizione di certi dati, oppure invece di proseguirla -e secondo quali modalità di ricerca-.
La giornata tipo del Data protection officer
Fare il Data protection officer non è per niente facile. Da una parte c’è la necessità di fare l’interesse dell’azienda per cui si lavora: dall’altro leggi e controlli scrupolosi da cui bisogna uscire immacolati per continuare a lavorare serenamente.
Le attività del Data protection officer nel corso di una giornata tipo sono svariate:
- Viene messo a parte delle decisioni e delle attività dell’azienda per cui lavora e dei progetti in corso
- Verifica con i tecnici che la raccolta dei dati sia eseguita in modo conforme, per mezzi, tempi e ricerche, alle normative vigenti
- Sorveglia e controlla che le attività dell’azienda rispettino quelle normative
- Produce report sulle attività, individuando le criticità e suggerendo soluzioni
- Dialoga con il management per comunicare l’esito delle proprie analisi e suggerire strategie vantaggiose
- Se necessario, frena da una gestione non conforme dei dati la direzione. La firma sulle decisioni -e dunque la responsabilità legale sui loro esiti- non spetta al DPO ma al titolare, che seguirà o non seguirà le sue indicazioni e i suoi suggerimenti
- Redige il rapporto sul trattamento dei dati per le autorità e consiglia (non lo fa al posto di) il proprietario della società nella redazione del periodico registro dei dati
Con chi lavora il Data protection officer
Il Data protection officer lavora principalmente con due realtà: la direzione generale e l’acquisizione dei dati.
Con la direzione stabilisce gli obiettivi, analizza le leggi vigenti ed educa ad un corretto utilizzo dei dati, nei limiti delle normative.
Con chi i dati li acquisisce collabora per verificare che tempi e modi delle ricerche non siano sottoponibili ad esame da cui si rischia di uscire sconfitti (con pessimi ritorni di immagine, legali ed economici).
In quali aziende è indispensabile avere un Data protection officer
L’articolo 37 del Regolamento Europeo sulla privacy prescrive che la nomina di un Data protection officer è obbligatorio quando il trattamento dei dati “venga effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali nell’esercizio delle proprie funzioni”.
L’articolo 37 parla anche di aziende private, però. Le regole a questo punto sono molto vaghe ed imprecise, per cui tante aziende stanno ancora aspettando istruzioni.
Si dice, per esempio, che:
- se il core business ″consista in trattamenti richiedenti il monitoraggio sistematico su larga scala″, allora la figura del DPO è obbligatoria;
- oppure, se le attività del titolare o del responsabile del trattamento ″riguardano il trattamento, su larga scala, di informazioni sensibili o di dati relativi a condanne penali e a reati″, allora anche in questo caso è necessario avere in organico un Data protection officer.
Non si spiega però cosa significhi di preciso “vasta scala”, o “attività principali”, nonostante le richieste delle società e degli enti e alcuni vaghi chiarimenti successivi. In attesa di notizie dal Garante italiano per la privacy, elenchiamo quali sono le attività che sicuramente devono avere un Data protection officer.
- Enti locali
- Compagnie di assicurazione
- Banche
- Fornitori di servizi di telecomunicazioni
La figura è da noi fortemente raccomandata anche per:
- Studi legali
- Webmarketing
- GDO
Questi sono dunque, al momento, i settori in cui un Data protection officer avrà più probabilità di trovare un impiego.
Ma considerata la pervasività dell’utilizzo dei BigData, e il fatto che questa pervasività già altissima crescerà sempre di più, un sempre maggior numero di aziende preferiranno avere un consulente che le guidi con sicurezza per evitare sanzioni future.
La formazione necessaria per un Data Protection Officer
La formazione più frequente per questa figura è quella di Giurisprudenza, con particolare attenzione e specificità al mondo della privacy e delle normative vigenti nel paese in cui lavorerà.
Dopo la laurea è necessario tenersi in costante aggiornamento, sia sul versante delle modifiche alle normative, sia sull’utilizzo effettivo, il campionamento, la raccolta dei dati. Ovviamente il Data protection officer non può conoscere a fondo un sistema di programmazione, ma deve sapere se le procedure utilizzate dal Data scientist, per esempio, sono conformi alle normative.
Per ottenere queste competenze non ci sono strade se non quelle di corsi privati, continui aggiornamenti e l’accumulo di esperienza in varie aziende come tirocinante.
Le competenze più richieste per i Data Protection Officer
Veniamo ora a parlare delle specifiche competenze che deve avere il Data protection officier per lavorare in modo corretto.
Anzitutto, deve conoscere approfonditamente l’ente o l’attività per cui svolge il proprio compito. Indagarne le peculiarità lo aiuterà ad individuare eventuali anomalie o criticità.
Deve ovviamente conoscere a menadito tutti i più piccoli dettagli degli enti nazionali e sovranazionali che regolano il trattamento dei dati personali. Ovviamente la conoscenza va estesa alle normative di altri paesi qualora siano implicati in fusioni o rapporti commerciali, o se decidesse di lavorare all’estero.
Deve conoscere con proprietà i termine delle attività di IT (Information Technology) e dello scandaglio e della gestione dei dati personali.
Soft Skills per fare lavorare come Data Protection Officer
Le competenze morbide, quelle che fanno parte della propensione di carattere del Data protection officer, sono due.
La prima è l’attenzione al dettaglio e la scrupolosità. Le leggi sono fatte di piccoli paragrafi, di cavilli, di casi specifici: lo specialista deve conoscerli tutti, e deve sapere individuare immediatamente le criticità, prima che si trasformino in valanghe di malagestione e cattivo ritorno pubblicitario.
La seconda è la capacità di frenare il proprio cliente. Ovviamente alle aziende farebbe comodo disporre dei dati come e quando vogliono, ma la legge deve essere seguita in modo assoluto per evitare sanzioni. Capiteranno occasioni in cui il datore di lavoro andrà bacchettato, e il Data protection officer deve resistere allo stress e alla tentazione di lasciar correre per non causare dissapori.
Le possibilità di carriera
Come abbiamo detto, è dal 25 maggio 2018 che il DPO (Data protection officier) sarà obbligatorio in tutti e 28 gli stati dell’Unione Europea, per tutte le società che usufruiscono dei BigData e dei dati personali.
Abbiamo già analizzato quali siano le criticità della legge e in quali campi la chiarezza non sia stata assoluta.
Ad oggi, circa 500.000 aziende europee hanno assunto o fatto richiesta per avere un Data protection officier in organico: decisamente un bel numero, che lascia intendere ci saranno nuove alternative per altri professionisti!
Riteniamo molto probabile, però, che quasi tutte le aziende vorranno avere un DPO in organico. Lo stipendio del più qualificato dei professionisti è comunque immensamente più basso delle multe per chi non rispetta la normativa sulla privacy o delle perdite in caso di chiusura dell’azienda per il mancato rispetto delle leggi in tema.
Pensiamo, dunque, che le possibilità di carriera non mancheranno nel prossimo futuro, specialmente perché i BigData sono la vera risorsa che gestirà tutti i mercati dei prossimi anni.
Lo stipendio medio del Data protection officer
Parliamo ora dello stipendio del Data protection officer.
- In Europa, un DPO a fine carriera (non meno di 20 anni di esperienza) può guadagnare anche 100.000 EUR al mese, se impiegato presso grandi multinazionali
- Un incarico di medio livello, per esempio in una grande azienda ma radicata territorialmente, farà accedere ad uno stipendio che si aggirerà tra i 50.000 EUR e i 70.000 EUR l’anno
- Un junior, con 0-3 anni di esperienza, potrà ambire ad un guadagno compreso tra i 30.000 EUR e i 40.000 EUR l’anno, a seconda di benefit, bonus produttività ed incentivi proposti dalla propria azienda
- Negli Stati Uniti lo stipendio medio per questa mansione è di circa 125.000 EUR l’anno; parliamo di cifre sopra i 300.000 EUR nel caso di prestigiosi incarichi in multinazionali che trattano decine di milioni di dati di altrettanti utenti e hanno stretti rapporti con molte altre società (pensiamo, per esempio, a Facebook)
lascia un commento