Mentre il Gdpr sta per compiere un anno, una nuova ricerca della International Association of Privacy Professionals (Iapp) indica che in tutta Europa sono circa 500.000 le organizzazioni che hanno dichiarato di aver nominato un Data Protection Officer.
Il Gdpr, entrato definitivamente in vigore dal maggio 2018, richiede infatti che tutte le pubbliche amministrazioni e le società private che monitorano le persone o trattano i cosiddetti “dati sensibili” su larga scala designino un “Responsabile della Protezione dei Dati” che abbia “conoscenza specialistica delle leggi e delle prassi in materia di protezione dei dati”.
Nel 2017, uno studio della stessa Iapp aveva stimato che il Gdpr avrebbe creato un fabbisogno di almeno 75.000 Data Protection Officer in tutto il mondo, ma a distanza di un anno, si scopre adesso che le stime iniziali, che all’epoca sembravano enormi, erano molto lontana dalla realtà.
Le nuove e più attendibili stime fanno ora luce sulla rapida crescita delle professioni sulla privacy e sul crescente ruolo del DPO in Europa e in altri Paesi del mondo.
La valutazione fatta da IAPP si basa sui dati ufficiali delle notifiche ricevute dalle autorità sulla protezione dei dati in Austria, Bulgaria, Danimarca, Finlandia, Francia, Germania, Irlanda, Italia, Paesi Bassi, Spagna, Svezia e Regno Unito, che messe insieme rappresentano circa l’80% del Spazio Economico Europeo. Solo in questi 12 Stati membri dell’UE sono state inviate alle autorità per la privacy almeno 376.306 notifiche riguardanti la nomina del Data Protection Officer.
Usando questi dati, insieme alle cifre del PIL e alle statistiche pubblicamente disponibili di Eurostat sul numero di imprese attive nell’economia, la Iapp ha calcolato il numero di notifiche per Paese in percentuale del PIL e del numero totale delle aziende.
Le 500.000 organizzazioni che hanno dichiarato di aver nominato un Data Protection Officer nel Spazio Economico Europeo comprendono sia organizzazioni private che pubbliche.
Sebbene nella ricerca manchino dati sufficienti per individuare con esattezza a livello UE le percentuali degli enti pubblici rispetto alle società private, i dati dello studio indicano che gli enti pubblici rappresentano una parte considerevole del totale. Ad esempio, in Irlanda, gli enti pubblici hanno presentato il 18% delle comunicazioni, mentre in Italia il settore pubblico rappresenta il 35% delle notifiche.
I dati di quest’ultima ricerca hanno portato Iapp a considerare come la portata del ruolo del DPO in Europa sia paragonabile a quella di altre figure con competenze analoghe all’estero, e come il numero di questi in Europa sia paragonabile al numero di professionisti della privacy negli Stati Uniti, dove il titolo di “Data Protection Officer” è usato meno frequentemente, ed è infatti molto più comune la denominazione “Privacy Officer”.
Nell’ultimo sondaggio che aveva condotto sempre IAPP sugli stipendi dei professionisti della privacy, era stato riscontrato che tipicamente un Data Protection Officer negli Stati Uniti percepiva 140.000 dollari annui contro gli 88.000 dollari nell’UE.
Invece lo stipendio annuo di un Chief Privacy Officer negli Stati Uniti era di 212.000 dollari, mentre nel Regno Unito il salario medio era pari a 185.000 dollari, e d’altra parte nel resto dell’UE era pari a 142.000 dollari.
Dai dati pubblicati da Iapp, emerge quindi che i Data Protection Officer sono molti di più di quelli che si pensava prima che il Gdpr diventasse operativo, ma che d’altra parte in quanto a stipendio un Chief Privacy Officer è pagato meglio di un Data Protection Officer.
Nicola Bernardi, presidente di Federprivacy – @Nicola_Bernardi