Aumentano le aziende che si rivolgono a esperti nella protezione dei dati, nonostante non ci sia una specifica disciplina e il mercato è ancora caratterizzato da scarsa trasparenza. Tuttavia è partito un progetto di norma per definire i profili delle figure professionali che si occupano di protezione dati. Negli Stati Uniti e in altre nazioni questa figura è molto ricercata dalle aziende che necessitano di consulenza per gestire i dati in modo efficace e lecito, specialmente quelle che veicolano prodotti e servizi attraverso l’e-commerce, o il cui core business è incentrato sui dati personali, come quelle dei settori marketing e sanità. Sebbene le nostre imprese si rivolgano sempre più spesso a consulenti esperti della materia, o si dotino di responsabili interni nell’ottica del Regolamento Ue, in Italia, dunque, non è ancora stata emanata alcuna legge specifica, né il garante ha adottato provvedimenti per disciplinare questo profilo. Eppure, che si tratti di un consulente esterno specializzato nella normativa sulla protezione dei dati, o di un giurista d’ impresa, il professionista esperto di protezione dati è ormai fondamentale per le imprese che puntano sul mercato online senza però incorrere in sanzioni, risarcimenti, contenziosi, o danni reputazionali. Basti pensare che proprio in quelle nazioni dove questo ruolo è previsto dagli ordinamenti locali, il commercio online produce fatturati da capogiro, come in Francia e in Germania, dove l’e-commerce vale rispettivamente 56,8 e 70 miliardi di euro annui, anche se la regina europea degli acquisti online è la Gran Bretagna con 122 miliardi di euro. Questo professionista possiede competenze specifiche sulla protezione dei dati personali e approfondite conoscenze della normativa che la regolamentano. È una persona esperta nella valutazione e organizzazione della gestione del trattamento di dati personali e, dunque, la loro protezione all’interno di un’azienda, di un ente o di un’associazione, affinché questi siano trattati in modo lecito e pertinente. Deve possedere conoscenza della normativa sulla gestione dei dati personali nel paese in cui opera (Legge sulla privacy) e poter offrire la consulenza per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, interagendo coi sistemi di gestione aziendali, per curare l’adozione di misure minime di sicurezza finalizzate alla tutela dei dati che soddisfino i requisiti di legge. In ragione del fatto che l’acquisizione e la gestione dei dati personali avviene in modo preponderante per mezzo digitale, deve altresì possedere competenze di carattere informatico. Per evitare i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta, deve inoltre curare l’adozione di misure idonee di sicurezza. È dunque un ruolo che fornisce tutta la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali comprendente l’adozione di un complesso di idonee misure di sicurezza finalizzate alla tutela e alla salvaguardia del patrimonio basato sui dati e sulle informazioni che assicuri un elevato grado di sicurezza e riservatezza. Questo ruolo ha il compito di informare e consigliare il responsabile del trattamento in merito agli obblighi derivanti dal regolamento europeo e conservare la documentazione relativa a tale attività e alle risposte ricevute. Deve sorvegliare l’attuazione e l’applicazione delle politiche del responsabile del trattamento o dell’incaricato del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e sorvegliare l’attuazione e l’applicazione del regolamento europeo, con particolare riguardo ai requisiti concernenti la protezione fin dalla progettazione, l’informazione dell’interessato e le richieste degli interessati di esercitare i diritti. E’ chiamato a fungere da punto di contatto per l’Authority per questioni connesse al trattamento e, se del caso, a consultare l’Authority di propria iniziativa. Si occupa, inoltre, di garantire la conservazione della documentazione, di controllare che le violazioni dei dati personali siano documentate, notificate e comunicate e controllare che il responsabile del trattamento effettui la valutazione d’impatto sulla protezione dei dati e richieda l’autorizzazione preventiva o la consultazione preventiva nei casi previsti. Infine, deve controllare che sia dato seguito alle richieste dell’Authority di controllo individuata dall’ordinamento nazionale (in Italia è il garante per la protezione dei dati personali) e, nell’ambito delle sue competenze, cooperare con l’Authority di propria iniziativa o su sua richiesta.