Cosa fa una Data Protection Officer?
Lucia Menini (al centro nella foto di copertina) è una consulente in materia di protezione dei dati personali presso Effizient Srl. In quest’intervista ci racconta le sfide del suo lavoro, sempre più richiesto dalle imprese.
Di professione è una DPO, acronimo di Data Protection Officer. Lucia Menini, bolzanina, recentemente eletta nel consiglio direttivo della Sezione ICT di Assoimprenditori Alto Adige, è esperta e consulente in materia di protezione dei dati personali. Lavora presso Effizient Srl, società di consulenza privacy con sede a Bolzano. Assieme ai colleghi Valentina Amico e Loris Ghirello (con lei nella foto di copertina) supporta le aziende nel processo di adeguamento e gestione degli adempimenti in materia di protezione dei dati personali.
Tra le attività della società rientrano la formazione per le imprese, l’organizzazione dei dati nelle campagne di marketing, il supporto nel caso di cessione di un’azienda a un’altra di titolarità e contitolarità dei dati, la consulenza nel caso di trasferimento dei dati all’estero, l’assistenza nei casi di violazione dei dati personali. Effizient è anche nel team dei partner in materia di privacy con cui Assoimprenditori Alto Adige ha una convenzione per le sue associate. Gli altri partner sono Gruppo Inquiria e Larese & Associati.
Come si diventa DPO e perché è un lavoro affascinante? Per scoprirlo abbiamo fatto una chiacchierata con Lucia Menini.
Cosa fa una Data Protection Officer?
Una DPO si occupa di osservare, valutare e gestire il trattamento dei dati personali. Lo scopo è far sì che vengano rispettate le normative europee e nazionali in materia di privacy.
Come si diventa Data Protection Officer?
Per diventare un buon DPO è sicuramente necessario un percorso di studi intenso ed è fortemente raccomandato ottenere una certificazione specifica.
Quale è stato il suo percorso di studi?
Mi sono laureata in legge all’Università di Trento. Inizialmente ho lavorato nell’ambito della consulenza del lavoro. Poi, visto che la tematica della protezione dei dati personali mi affascinava ho preso una prima certificazione con l’ente certificatore TIV Italia e sono diventata Privacy Officer. Dopo, con l’avvento del nuovo regolamento europeo sulla protezione dei dati personali GDPR mi sono specializzata ulteriormente facendo un percorso molto intenso che mi ha portato a Milano, dove ho fatto un master e poi sostenuto un esame ottenendo una seconda certificazione, quest’ultima presso l’Istituto Cepas Bureau Veritas Italia.
Come mai si è appassionata a questa tematica?
La tematica mi affascina per due ragioni, una personale e l’altra professionale. Dal punto di vista personale sono sempre stata sensibile all’argomento della protezione dei dati personali perché è un argomento di cui si è sempre occupato mio padre. Era dirigente della ripartizione informatica e sociodemografica della Provincia di Bolzano e ha lavorato nel campo della sicurezza e della tutela dei dati tutta la vita, trasmettendomi la sua sensibilità.
La seconda ragione è che trovo quello nella protezione dei dati un lavoro molto creativo e mai ripetitivo. La normativa vigente fornisce delle linee guida che poi vanno adattate ad ogni azienda a seconda delle caratteristiche specifiche della realtà in questione. Questo fa sì che chi come me lavora in questo settore ha la possibilità di conoscere moltissime realtà diverse, interfacciarsi con molte persone e trovare ogni volta le soluzioni più adatte alle diverse esigenze. Ogni volta c’è qualcosa da scoprire. Si ha sempre a che fare con le persone. Non è un lavoro dietro a una scrivania. Lo trovo quindi variegato, stimolante e sfidante.
Come è l’approccio delle aziende verso questa tematica?
La tematica non è semplice e non c’è una cultura diffusa in fatto di protezione dei dati personali. Tuttavia, l’approccio del “devo farlo perché la normativa me lo impone”, che era fino a poco tempo fa quello predominante, sta piano piano scemando. Oggi sempre più aziende si stanno rendendo conto che il dato personale rappresenta il vero patrimonio dell’azienda, quindi capire come trattarlo in modo corretto può portare vantaggi non indifferenti. La sensibilità verso questa materia sta diventato maggiore.
Quali sono ultimamente le richieste più frequenti da parte delle imprese?
Ultimamente le imprese ci chiedono supporto in fatto di sicurezza dei dati dal punto di vista informatico. Questo è dovuto anche all’utilizzo sempre più massiccio dello smart working e dell’home office in risposta alla pandemia. La protezione dei dati è una grande preoccupazione per l’imprenditore. Garantire che i dati siano protetti anche quando non si lavora in ufficio non è difficile. Bisogna solo organizzarsi, farsi affiancare da un partner competente dal punto di vista sistemico e soprattutto investire sulla formazione dei collaboratori. I collaboratori in grado di cogliere le minacce informatiche in modo corretto sono i primi protettori dei dati di un’impresa. Questo è fondamentale sia se si lavora in ufficio che se si lavora da casa.
Quali sono gli errori più comuni e gravi che un’impresa può fare violando dati personali?
Tra gli errori più gravi, anche se involontari, c’è quello di utilizzare dati per i quali non è stato richiesto il consenso. Succede quando un’azienda acquista una banca dati con indirizzi e-mail e altri dati per una campagna di marketing basandosi su una dichiarazione che afferma che i dati hanno il consenso. Succede spesso che ciò non sia vero. L’acquisto dei dati in questo caso non ha valore. Quindi bisogna saper riconoscere quanto siano affidabili le fonti da cui si acquista. Alcuni fornitori, infatti, danno delle garanzie maggiori di altri. In caso di violazioni dei dati, ci va di mezzo chi acquista e utilizza i dati e le sanzioni possono essere molto onerose.
Quali sono le sfide più grandi per le imprese in fatto di protezione dei dati?
Le novità in materia di protezione dei dati personali sono costanti e continue. Una delle sfide più grandi è quindi, una volta adeguati alle nuove norme, riuscire a tenersi sempre aggiornati e a adattare man mano i propri documenti. L’aggiornamento vale per le aziende, ma anche per noi esperti che quindi dobbiamo dedicare molto tempo nella formazione continua e tenere sempre sotto controllo le decisioni del Garante che man mano, partendo da casi concreti, fornisce precisazioni in materia.
Per voi come società di consulenza quale è la sfida più grande?
In questo momento la difficoltà più grande è trovare personale qualificato. Si tratta di un campo particolare e in continuo aggiornamento. Bisogna avere una preparazione specifica, ma anche una forma mentis e un approccio alla risoluzione dei problemi adatto. Spesso fatichiamo a trovare sul mercato figure che possiedono entrambe queste caratteristiche.
Quali sono le competenze umane più importanti per una Data Protection Officer di una società di consulenza, i cosiddetti “soft skills”?
Essere empatici ed essere in grado di conquistare la fiducia nel proprio interlocutore. Più il cliente sente questa connessione con il proprio consulente, più si fiderà e più efficace sarà il nostro intervento.