800 561720
Al 1° settembre 2023, il totale dei Responsabili della Protezione dei Dati (RPD) o Data Protection Officers (DPO) notificati presso il Garante per la Privacy Italiano (GPDP) ha raggiunto la cifra sorprendente di 68.255.
Tuttavia, questa statistica nasconde una realtà complessa: un singolo professionista può infatti ricoprire il ruolo di DPO per più società o enti, specialmente se agisce come consulente esterno attraverso società di consulenza strutturate o reti di professionisti.
La domanda cruciale, quindi, è: quanti sono realmente i DPO unici in Italia? Questo quesito, di notevole importanza strategica per gli stakeholder del settore, rimane senza risposta, poiché né il Garante per la protezione dei dati (GPDP) pubblica tali informazioni, né le fonti pubbliche online forniscono chiarimenti in merito.
La complessità di questa situazione è emersa chiaramente da un recente sondaggio che ho condotto su LinkedIn, che ha visto coinvolti 75 RPD|DPO italiani.
Questa la domanda posta ai partecipanti: "Per quanti Titolari-Responsabili del trattamento sei notificato personalmente al Garante Protezione Dati Personali italiano?"
Le risposte hanno rilevato un quadro eterogeneo: il 24% è DPO per una sola organizzazione, il 48% da due a cinque organizzazioni, il 13% da 6 a 10 organizzazioni e il 15% oltre le 10 organizzazioni.
Questi dati, però, non evidenziano una problematica diffusa nel nostro mercato e in quello europeo: l'esistenza di "cacciatori di nomine". Questa “categoria” di professionisti accumula un numero molto elevato di incarichi, che spesso supera le 100 nomine, agendo in chiaro contrasto con lo spirito del GPDR e delle normative internazionali che richiedono effettività e dedizione al ruolo.
Tale fenomeno non è esclusivo del mercato italiano; ad esempio, in Ungheria, un professionista è stato notificato per quasi 300 organizzazioni, come rivelato questa primavera durante il Panel DPO alla 31’ European Conference of Data Protection Authorities.
Se in un anno solare ci sono circa 250 giorni lavorativi, come fanno questi professionisti a svolgere correttamente ed efficacemente il ruolo da RPD|DPO? È quindi indubbio che la conoscibilità, soprattutto nel settore pubblico, di tali incarichi, diventi un elemento fondamentale di trasparenza e verifica da parte dei Titolari e Responsabili del trattamento.
Guardando ai nostri vicini europei, troviamo esempi virtuosi come la CNIL francese (https://www.cnil.fr/en/recherche-dpo ) e l'AEPD spagnolo, che pubblicano gli elenchi dei DPO, fornendo una maggiore chiarezza e responsabilizzazione.
Questi elenchi permettono di identificare con precisione per quali organizzazioni ciascun DPO è notificato, contribuendo ad una maggiore chiarezza e a un mercato più equilibrato.
È tempo che l'Italia si allinei ai Garanti Europei di riferimento per quanto riguarda le informazioni disponibili sui Data Protection Officer notificati; se sia compito del Garante per la protezione dei dati stesso o del legislatore italiano intervenire, non sta a me definirlo.
Tuttavia, è evidente la necessità di un'azione volta ad aumentare la trasparenza del mercato dei DPO in Italia.
In qualità di professionista del settore e Presidente di ASSO DPO, ritengo essenziale stimolare una riflessione approfondita sul numero di incarichi ricoperti dai DPO, sensibilizzando sia i professionisti che i Titolari ed i Responsabili del trattamento. Chiarezza e trasparenza non sono solo requisiti normativi, ma rappresentano anche i pilastri per un mercato della protezione dei dati sano, funzionale e orientato verso criteri di sostenibilità generale.
Articolo a cura di Matteo Colombo, Presidente di ASSO DPO
