Le competenze necessarie per rendere il trattamento dei dati personali conforme alle richieste della normativa europea GDPR, vanno ben oltre quelle richieste per la figura del Data Protection Officer (DPO); tuttavia non si parte da zero visto che alcune tematiche si mantengono dalla precedente normativa. Lo sostiene Elena Ferrari, Docente dell’Università degli Studi dell’Insubria e Rappresentante del Cini (Consorzio Interuniversitario Nazionale per l’Informatica) che ZeroUno ha di recente intervistato per capire se le competenze richieste siano fra le criticità per l’attuazione della normativa e come eventualmente si possano superare.
“L’importante è capire lo spirito del provvedimento”, dice Ferrari che ne riassume i principali pilastri, come ad esempio la necessità del consenso informato per tutti i trattamenti, la tutela dei dati nei sistemi informatici, attraverso strumenti come l’anonimizzazione e cifratura, l’accountability, un punto critico e nuovo rispetto alla normativa precedente, come pure la necessità di valutazione di impatto sulla privacy tutte le volte che si pone in essere un nuova tecnologia per il trattamento dati.
“Come si vede, per essere in grado di dare risposte adeguate servono competenze trasversali, mentre molte aziende hanno presenti solo le implicazioni legali, almeno per la mia percezione di docente di informatica che si confronta con il mondo delle aziende del territorio dove si trova la mia università, fatto soprattutto di PMI”, sottolinea Ferrari, che considera indispensabili, per esempio, competenze come risk assessment e risk management. Queste possono essere già presenti in azienda visto che non servono solo per la privacy ma anche per altre aree come la cybersecurity. Servono in ogni caso anche esperti di sicurezza in grado con solo di garantire la sicurezza dei dati, ma anche di comunicare in modo tempestivo eventi di data leak o data breach e per mettere in atto le azioni opportune, come il GDPR richiede. La presenza interna di queste professionalità dipende soprattutto dalle dimensioni dell’azienda. “Le aziende maggiori hanno già in casa le competenze necessarie, anche se non declinate secondo la privacy; in questo caso ne va cambiata l’ottica attraverso una formazione mirata – ricorda Ferrari – Diverso è invece l’ambito delle PMI che percepiscono, nella maggior parte dei casi, il GDPR come l’ennesima seccatura a cui ottemperare con il minimo impegno. Dal mio punto osservazione manca la comprensione della necessità di competenze non solo di tipo legale e relative al business process, ma anche di tipo informatico”, sostiene Ferrari, che vede lo skill gap più grave nel campo della gestione e sicurezza dati.
A queste carenze si potrebbe forse rimediare con un’esternalizzazione della gestione dei dati, una decisione che non può certo derivare solo dal tema privacy, ma dalle scelte più generali sulla gestione dei dati. “Nelle realtà piccole potrebbe essere la soluzione – commenta Ferrari- ma non trascurerei il fatto che l’esternalizzazione dei dati è parte di un processo più grande per il quale servono in azienda persone coscienti e capaci di interloquire in modo competente. Inoltre, tenendo conto che non sempre il mercato offre le soluzioni migliori al prezzo giusto e che anche nella consulenza si trovano diversi livelli di professionalità, un minimo di competenze interne sono in ogni caso indispensabili per potersi orientare in modo consapevole nel mercato”.
Ma c’è un problema a monte. Nelle PMI non è ben ancora chiara la portata del GDPR: si ha l’impressione che riguardi solo coloro che hanno un core business B2C e gestiscano attività di e-commerce, mentre chiunque abbia una mailing list è impattato dalla normativa anche se non ha rapporto diretto con il cliente finale.
Lo skill gap si può colmare con la collaborazione fra aziende e università
Le università, consapevoli del rischio skill gap, stanno attivando corsi e iniziative, partiti però solo di recente, in alcuni casi consorziandosi come nel caso del Cini, per promuovere la formazione che non si limita all’area della privacy ma riguarda in generale la cybersecurity.
Queste iniziative non sono però sufficienti a eliminare la carenza di competenze sia perché l’università, nonostante l’impegno, può formare un numero limitato di persone sia perché gli investimenti in formazione universitaria hanno risultati significativi nel medio-lungo termine. Inoltre molti studenti, una volta laureati, emigrano all’estero dove vengono offerte opportunità migliori non solo sul piano economico. “È giusto che le persone circolino, ma non che siano obbligate a farlo a causa della scarsa attrattività delle offerte italiane. Nella mia esperienza verifico che proprio gli studenti migliori sono attratti da paesi come Svizzera, Germania, Francia”, sottolinea Ferrari. Un vero spreco dopo che il paese ha investito nella loro formazione.
Un ruolo importante potrebbe essere svolto dalle aziende. “Il gap che comunque permane potrebbe essere colmato trovando sinergie con le aziende – è la proposta – Penso alle lauree in apprendistato che alcune regioni fra cui la Lombardia finanziano con percorsi mirati sulle necessità aziendali. La stessa formazione aziendale può colmare il gap adeguando le competenze e fornendo gli strumenti per farlo alle proprie persone, grazie ad aziende specializzate e in collaborazione con le università”.
Le aziende potrebbero dunque aiutare a porre fine all’attuale contraddizione che vede, da un lato, la carenza di risorse qualificate come freno all’attuazione di una trasformazione importante nei processi di gestione dei dati a garanzia della privacy e dall’altro la difficoltà a trattenere le competenze qualificate presenti e in via di creazione.
“Si dovrebbe cercare di valorizzare le competenze con un’offerta di opportunità attraenti sia in termini retributivi sia di possibilità di crescita. Ma per farlo serve un salto di mentalità per superare la convinzione, valida forse in passato, che sia sufficiente un diploma. Si deve invece comprendere che per affrontare i problemi complessi attuali servono risorse molto più qualificate”, suggerisce Ferrari.
Una PA a macchia di leopardo sui temi privacy
Ancora più problematica la situazione delle competenze nelle amministrazioni pubbliche che pure hanno la responsabilità di un enorme patrimonio di dati personali.
“Nella mia esperienza di corsi in collaborazione con Eupolis, ente di formazione della Regione Lombardia, non specifici su GDPR ma sulla privacy in generale, ho verificato una situazione a macchia di leopardo, affidata alla responsabilità, al livello di intraprendenza e alla voglia di mettersi in gioco dei singoli”, ricorda Ferrari, che fa riferimento alla coesistenza di realtà molto avanzate con altre che fanno fatica a comprendere il problema stesso della privacy. “Nella PA tutti lamentano la scarsa formazione e la richiedono, ma se chi partecipa alla formazione percepisce il GDPR come l’ennesimo obbligo, anche gli interventi risultano meno efficaci”, è la considerazione finale.