Esauriti i posti disponibili per il Corso di autodifesa per DPO in programma il 25 marzo con iscrizioni chiuse in anticipo e una classe di ben 50 partecipanti. Specialmente nel periodo della pandemia, molti professionisti che sono Data Protection Officer si sono infatti resi conto che si tratta di un ruolo importante ma pieno di insidie e trabocchetti, e non a caso negli ultimi mesi questo corso organizzato da Federprivacy ha visto la partecipazione di oltre 500 addetti ai lavori.
La Norma UNI 11697:2017 esce di scena dopo 6 anni trascorsi senza mai essere riuscita a raggiungere i risultati auspicati, con appena 476 professionisti attualmente censiti nelle banche dati di Accredia che risultano aver ottenuto la certificazione di DPO, corrispondente allo 0,7% del totale se messo a confronto con le 68.255 nomine notificate al Garante.
Mentre il Gdpr sta per compiere un anno, una nuova ricerca della International Association of Privacy Professionals (Iapp) indica che in tutta Europa sono circa 500.000 le organizzazioni che hanno dichiarato di aver nominato un Data Protection Officer.
Oltre alle opportunità dell'Intelligenza Artificiale, crescono anche le preoccupazioni per le conseguenze negative che possono derivarne da un uso sconsiderato. L’etica, potrebbe essere la soluzione, ma le Big Tech non hanno dato il buon esempio. La spinta potrebbe però partire dal basso, ovvero dai Data Protection Officer, che sono chiamati a sorvegliare per far rispettare le regole del GDPR.
A quattro anni dalla entrata in vigore del Regolamento UE 2016/679 (GDPR), un grande percorso è stato fatto con l’impegno di tutti gli attori dell’ecosistema privacy. I legislatori nazionali sono intervenuti con norme collaterali e/o applicative al GDPR, da ultimo in Italia con le innovazioni del Decreto “Capienze” ( D.L. 139 / 2021 convertito nella L. 205 /2021) per gli aspetti attinenti alla privacy nel comparto della pubblica amministrazione. e altre potranno e saranno emanate in linea con il carattere in progress della privacy anche in relazione all’innovazione tecnologica e delle forme di business.
Negli ultimi mesi l’impatto normativo sui cookie e tracciatori è cresciuto sensibilmente: in UK, l’ICO ha esteso a mille siti web la review sulla cookie compliance, includendo il controllo sui tracciatori passivi come il fingerprinting e il 19 giugno 2025 con l'approvazione del Data Use and Access Act 2025 ha alzato il livello delle sanzioni per abusi nel direct marketing e uso dei cookie.
Il Garante ha sanzionato il Comune di Pompei per aver impiegato tre anni per nominare il proprio DPO e ulteriori tre anni per comunicarne i dati di contatto all’Autorità. Troppi sei anni di ritardo, che non possono essere presentati come una svista o un “mero disguido”, ma costituiscono un grave inadempimento del GDPR.
Tra le potenziali emergenze, è la minaccia del ransomware la più temuta dai DPO (70,4%) e il 55% di essi avverte la necessità di formarsi nel campo della cybersecurity. Ad evidenziarlo è un sondaggio condotto su oltre mille addetti ai lavori. Il 57% degli intervistati include nelle situazioni di criticità anche i trattamenti illeciti di dati personali e sono più preoccupati da una possibile ispezione del Garante della Privacy (53%) che da un’eventuale nuova pandemia (17,2%). Nel 70,8% dei casi preoccupano la sottovalutazione dei rischi sui dati, e poi l’incompetenza degli addetti che trattano dati (64%), mentre il 58% degli intervistati ammette che il pericolo potrebbe essere la non sufficiente preparazione dello stesso DPO, e il 77% di essi teme di finire sotto processo da parte del management per una criticità gestita male.
Dallo scorso maggio il GDPR ha introdotto la figura del DPO per dare più tutele agli interessati, ma a distanza di sette mesi il quadro è decisamente confuso. Il 2018 è stato infatti l'anno del GDPR, ed è stato anche l'anno che ha visto l'esordio ufficiale del Data Protection Officer nel nostro ordinamento e in quelli degli altri Paesi membri dell'UE che ancora non lo prevedevano.
La notizia dell’azione coordinata dell’EDPB riguardante il ruolo dei Data Protection Officer può aver mosso qualche titolare, sia in ambito pubblico che privato, a domandarsi in che modo possa controllare il proprio DPO senza incorrere nel rischio di interferire con le garanzie di indipendenza funzionale proprie della figura. Non è mai facile andare a svolgere delle verifiche nei confronti chi è preposto ad una posizione di controllo. Tant’è che già in tempi antichi il Quis custodiet ipsos custodes? era un trend topic.
