Il DPO privacy è ormai ovunque, anche dal salumiere sotto casa.
Forse per alcuni potrà non essere stato un evento di grande rilievo, ma l’introduzione del nuovo regolamento GDPR ha prodotto una serie di effetti per tutto il mondo del business e, di conseguenza, del lavoro.
DPO privacy e le altre professioni in espansione: cosa cercano le aziende per adeguarsi alla privacy
La necessità di adeguarsi, da parte delle aziende, alle nuove regole genera infatti una mole di lavoro niente affatto indifferente. Già leggere l’intero testo della normativa richiede l’equivalente di una giornata lavorativa!
Al di là di essere a conoscenza di cosa si sta parlando, è la direttiva stessa, attraverso le sue disposizioni, a creare la necessità di nuove figure, specializzatesi nell’ambito della protezione e della tutela dei dati personali.
Queste figure non possono, nella maggior parte dei casi, essere dipendenti già in essere per due semplici motivi:
- Ènecessaria una formazione specifica, che esula dalla laurea in Giurisprudenza con l’esame in diritto informatico.
- Richiede, almeno nel primo periodo, un impegno tale da costituire attività lavorativa a sé, per cui, a meno che non si abbia un provvidenziale gemello di riserva, non è una soluzione praticabile.
Il regolamento è entrato in vigore il mese scorso, tuttavia al momento non è ancora avvenuta la vera rivoluzione attesa. Questo probabilmente è dovuto al fatto che, nonostante la legge sia formalmente entrata in vigore, l’ordinamento nazionale non ha ancora provveduto all’integrazione di queste misure con quelle già esistenti.
Tuttavia, ora che un governo è stato finalmente formalizzato, potremo aspettarci delle novità nelle prossime settimane.
A ogni modo, si è pronunciato in merito anche il Garante della Privacy, l’organismo di controllo che vigila sulla protezione della privacy dei cittadini italiani.
È stato infatti ribadito che non si procederà con i già annunciati controlli a tappeto per almeno sei mesi dall’entrata in vigore della direttiva, proprio per concedere il tempo sufficiente alle imprese di adeguarsi e al governo di puntualizzare le questioni rimaste in sospeso.
La task force GDPR
Nel frattempo, però, si è scatenata la caccia all’uomo (in senso positivo, stavolta) su tutti quei professionisti che sono in grado di districarsi in questo labirinto di norme e restituire un business in regola, uno su tutti il DPO privacy.
In realtà, non esiste un “one man show” che salvi tutti, ma parliamo piuttosto di una vera e propria task force, composta da figure complementari, formate nella stessa macroarea ma con diverse specializzazioni.
Questo ovviamente è d’obbligo per le grandi aziende, ma per quanto riguarda le piccole e medie imprese può esserci la possibilità di disporre di un unico professionista che ricopra diverse funzioni.
Ciò è dovuto al fatto che le PMI sottostanno ad obblighi diversi rispetto alle grandi aziende, poiché si trovano a trattare un numero minore di dati personali. Esistono tuttavia alcune piccole realtà che, occupandosi quotidianamente di dati sensibili, sono comunque sottoposte a molti obblighi.
Per dati sensibili intendiamo quelli relativi a sesso, età, religione, orientamento sessuale, politico ecc.
Vediamo quindi quali sono i professionisti chiamati a svolgere questi importanti ruoli.
L’indagine è stata svolta dall’Osservatorio Information Security & Privacy del Politecnico di Milano.
L’Ethical Hacker
Questo tipo di figura ha l’importante responsabilità di verificare la vulnerabilità dei sistemi informatici dell’azienda dagli attacchi esterni.
Questo avviene attraverso dei penetration test, ossia dei tentativi fatti dall’ethical hacker stesso per replicare le modalità di azione degli hacker veri e propri.
Una volta individuati i punti deboli della struttura, redige un report che sarà attentamente analizzato dal top management. Lo scopo del suo lavoro è quindi individuare le falle del sistema, per poi passare la palla a chi si occupa di implementarne le difese.
Il 39% delle aziende ha dichiarato di aver già introdotto questa figura internamente o di aver programmato di farlo nel breve periodo.
Il Machine Learning Specialist
Il suo mondo è quello dell’automazione. La sua missione è quella di trovare risposte immediate ai problemi riscontrati. Nel momento in cui vengono rilevate delle minacce alla sicurezza del sistema, il machine learning specialist ha il compito di sviluppare tecniche che consentano alle macchine di rilevare in automatico i problemi.
Sempre in automatico, le macchine devono anche trovarne la soluzione. Si tratta di un compito molto complesso, che richiede una profonda conoscenza degli strumenti informatici, dei linguaggi di programmazione e delle possibilità da esso offerte.
Questa figura è già presente internamente nel 19% delle aziende.
Il Security Administrator
Questo è un ruolo chiave per la protezione dei dati. Si occupa di rendere operative le misure stabilite dagli altri professionisti. Ogni soluzione tecnologica riguardante la sicurezza dei dati sarà da lui interamente seguita.
Il suo lavoro comincia dunque con la messa in produzione della particolare misura, e ne segue l’intera realizzazione fino ad arrivare alla manutenzione del “prodotto finito”.
Può essere, dunque, che le misure vengano decise anche esternamente, ma la realizzazione, nella stragrande maggioranza dei casi, spetta a una figura interna.
Il 76% delle aziende, infatti, ha già introdotto questa figura nel suo organico.
Il Security Analist
Questa figura è abbastanza simile a quella dell’Ethical Hacker, almeno nel suo scopo. Anche lui, infatti, ha la missione di rilevare le falle della sicurezza del sistema, tanto a livello di applicazioni quanto di servizi. Si occupa, inoltre, di proporre soluzioni per il miglioramento.
La differenza è che non si occupa di testare attivamente la resistenza attraverso i penetration test. Invece, cerca sul mercato soluzioni che non possono essere sviluppate internamente e, in caso, di partecipare alla realizzazione di nuovi prodotti.
A oggi, il 55% delle aziende lo ha previsto come membro del team.
Il Security Architect
Proprio come il suo nome suggerisce, il Security Architect si occupa di progettare le soluzioni di security e le policy dell’azienda, cercando di fornire un’identità comune.
Esperto in costruzioni modellistiche, è quindi presente sia nel momento della realizzazione di nuovi prodotti che nei servizi di security generali.
È già presente o lo sarà a breve nel 57% delle aziende.
Il Security Developer
Anche il security developer si occupa dello sviluppo di soluzioni interne di cibersecurity, ma anche della ricerca di queste soluzioni presso produttori esterni. Il suo compito, in aziende piccole, potrebbe essere ricoperto dal security analist.
Solo il 29% delle aziende lo ha attualmente previsto.
Il Security Engineer
È responsabile della verifica e del monitoraggio del funzionamento delle misure intraprese, nonché di proporre le relative soluzioni.
Partecipa dunque agli audit, essendo parte tanto del team di controllo che di quello di intervento attivo.
È previsto attualmente dal 56% delle aziende.
Il DPO privacy
Capitolo a parte merita il DPO privacy, ossia il Data Protection Officier. È questa la figura su cui si è maggiormente discusso in questi giorni, ossia il responsabile della protezione dei dati.
Il DPO privacy è innanzitutto obbligatorio per legge in alcune tipologie di azienda:
- Tutti gli enti pubblici
- Enti privati, di tutte le dimensioni, che si trovano a trattare dati sensibili
- Enti privati che hanno come core business “trattamenti richiedenti il monitoraggio sistematico su larga scala″.
Il ruolo del DPO privacy è quello di garantire il rispetto della normativa GDPR, tanto nei confronti del titolare del trattamento dei dati, cioè l’azienda, quanto nei confronti dei consumatori.
Il DPO privacy deve operare secondo i criteri di responsabilizzazione, e non limitarsi a verificare che l’attività dell’azienda rientri nella legge.
Al contrario, il suo ruolo è proattivo, e consiste nel trovare e proporre nuove modalità volte a tutelare ancor di più la privacy e la protezione dei dati degli utenti.
Una grande responsabilità, che viene però condivisa, quando possibile, con la “task force GDPR”.
Quest’ultima è pronta a lanciarsi nel mondo del lavoro, e trovare le occasioni che le aziende offrono per soddisfare il loro bisogno di adeguamento alla normativa.
Se la tua preparazione rientra in queste caratteristiche, il mio consiglio è quello di gettarti a capofitto nella ricerca, sfruttando “l’ora d’oro GDPR”.
Se invece questa non è l’opportunità per te, consulta la nostra banca dati di offerte di lavoro e cerca quello che fa per te!