Comunicati Stampa

Roma, 19 marzo 2025 – Si è svolto oggi, presso lo Spazio Europa a Roma, il convegno “Data Protection Officer: Ruolo e Riconoscimento Normativo. Verso una Proposta di Legge Innovativa”, organizzato da CIU-Unionquadri con il patrocinio del Comitato Economico Sociale Europeo (CESE) e in collaborazione con Centro Studi sul Management ed il Lavoro (CESMAL), Centro Studi Corrado Rossitto e Centro Europeo di Studi Culturali. Nel corso dell’iniziativa, è stata presentata la ricerca “Il ruolo del Data Protection Officer in Italia” promossa da CIU-Unionquadri e condotta da CESMAL.

Un momento centrale dell’incontro è stata la presentazione di una proposta di legge volta a regolamentare in modo chiaro e dettagliato il ruolo del Data Protection Officer (DPO), prevedendo requisiti specifici per la nomina, criteri di formazione continua, parametri retributivi adeguati e l’istituzione di un albo professionale.

Dopo le prolusioni di Gabriella Ancora (Presidente CIU-Unionquadri), Francesco Riva (Consigliere CNEL e CIU-Unionquadri) e Maurizio Mensi (Consigliere CESE e CIU-Unionquadri); Antonio Votino, Presidente Cesmal, e Tania Nardi, Sociologa della Sostenibilità, hanno presentato la ricerca. A seguire, Cesare Di Rosa, esperto in Data Privacy Management; Mauro Antico, Chief Technology & Innovation Officer di Philmark Group; e Antonio Gurrieri, Segretario Generale dell’Autorità di Sistema Portuale del Mare Adriatico Orientale hanno contribuito ad arricchire il dibattito.

Infine, gli avvocati Fabio Petracci, Antonio Bubici, Alberto Tarlao e Francesco Cresti hanno illustrato la proposta di legge.

Le conclusioni sono state affidate a Maurizio Mensi, Consigliere del Comitato economico e sociale europeo. 

La ricerca

La ricerca sul ruolo del Data Protection Officer in Italia è stata effettuata su un campione di 100 aziende italiane operanti nel pubblico e nel privato che per legge (art. 37-39 DGPR) devono avvalersi di questa figura professionale. Le aziende sono state scelte in funzione di due importanti caratteristiche: il quantitativo di dati sensibili trattati al loro interno e l’ammontare totale d’investimenti effettuati nei confronti del Data Protection.

In funzione di questi due parametri, le società che hanno costituito il campione sono state in maggioranza quelle del settore Tecnologia e IT seguite, nell’ordine, da: Finanziario, Sanitario, Partecipate, Enti Locali, Consorzi di Partecipazione e Autorità Portuali. Territorialmente le diverse tipologie di imprese intervistate si dislocano in modo non del tutto omogeneo lungo la penisola, confermando la concentrazione delle aziende al centro-nord.

Il 95,7% delle aziende intervistate ha introdotto un DPO, segno di un’attenzione crescente alla privacy e alla sicurezza dei dati. Dal punto di vista di genere, il ruolo è occupato per l’80,4% da uomini e per il 19,6% da donne, riflettendo la disparità nelle posizioni di leadership.

Il 60,9% delle aziende ha reclutato il DPO esternamente, con una prevalenza di esperti legali (59,8%).

Una sfida cruciale per il settore è il bilanciamento tra l’autonomia professionale del DPO e le strategie organizzative interne, sotto questo punto di vista è fondamentale una preventiva formazione del DPO che, secondo quanto rilevato dalla ricerca, viene effettuata dal 94,6% delle aziende intervistate.

Un’altra criticità risulta essere la necessità di rafforzare la cultura della privacy all’interno dell’azienda.

Su questo punto la ricerca ha rilevato due dati positivi. Il 73,9% delle aziende intervistate percepisce il DPO non più come mero adempimento, ma come un vantaggio competitivo, in grado di aumentare la fiducia dei clienti e la reputazione dell’azienda. Allo stesso tempo, il 60,9% del campione ritiene efficace l’apporto che la figura del DPO sta dando alla privacy e al trattamento dei dati, tanto da voler nel futuro aumentare il numero del personale impiegato nella protezione dei dati.

La proposta di legge

Il DPO si colloca tra innovazione tecnologica e tutela dei diritti fondamentali, ma in Italia manca ancora una normativa chiara che ne definisca ruolo e requisiti. Questo vuoto normativo genera incertezze e rischi, affidando spesso la protezione dei dati a soggetti non adeguatamente qualificati.

La proposta di legge presentata nel corso dell’incontro, mira a colmare questa lacuna, prevedendo un inquadramento giuridico del DPO sia come libero professionista sia come dipendente. L’obiettivo è garantire criteri oggettivi per la selezione e formazione di questa figura, con percorsi certificati e strutturati.

Tra i punti chiave della proposta emergono:

• Prevenzione dei conflitti di interesse, con regole chiare per evitare che il DPO controlli le proprie decisioni o quelle di reparti a cui è subordinato.
• Garanzie di indipendenza, con tutele lavorative e contrattuali per evitare pressioni esterne e assicurare trasparenza e imparzialità.

L’iniziativa punta a rafforzare la protezione dei dati personali, in linea con l’articolo 8 della Carta dei diritti fondamentali dell’UE.

Come dichiarato da Gabriella Ancora, Presidente CIU-Unionquadri: “Una regolamentazione chiara della figura del DPO è necessaria ed urgente. È indispensabile prevedere un riconoscimento giuridico di una categoria di professionisti che hanno un ruolo chiave nell’assicurare il rispetto delle regole in tema di privacy. Questo anche per evitare ogni confusione fra tale figura ed altre professionalità, come il responsabile per la transizione al digitale (RTD) o chi sarà a breve chiamato a vigilare sul rispetto delle norme in tema di intelligenza artificiale. Si tratta di profili professionali simili ma distinti, con diverse funzioni, compiti e caratteristiche. Inoltre, rileviamo con urgenza il bisogno di definire percorsi formativi rigorosi e standard di riferimento qualificanti che permetterebbero di valorizzare il ruolo del DPO, migliorandone la professionalità e offrendo vantaggi alle aziende. Il coinvolgimento di imprese, università e istituzioni è fondamentale per accrescere la consapevolezza sull’importanza di questa figura”.

Come sottolineato da Maurizio Mensi, Consigliere CESE e CIU-Unionquadri: “Il DPO è fondamentale per le aziende, in quanto garantisce il rispetto delle normative sulla privacy, migliorando la reputazione e la competitività. La sua expertise è cruciale per garantire la sicurezza dei prodotti e servizi digitali, in linea con le normative europee sulla cybersicurezza. È essenziale che il DPO mantenga la sua indipendenza nell’organizzazione aziendale. Ciò può essere ottenuto tramite un contratto che definisca il suo ruolo e autonomia, evitando conflitti di interesse, specialmente nelle aziende di piccole dimensioni o quando il DPO lavora per più aziende concorrenti”.

CIU-Unionquadri è la Confederazione Italiana di Unione delle professioni intellettuali. Da quasi 50 anni, prima come solo Unionquadri, rappresenta gli interessi dei quadri (L.190/85), dei professionisti (dipendenti e liberi), dei ricercatori e delle medio-alte professionalità; sia come persone fisiche sia come associazioni. La Confederazione si pone l’obiettivo di diffondere la cultura delle “sinergie professionali” incentivando la cooperazione e il rafforzamento della rete tra i lavoratori intellettuali.

È membro a Bruxelles del Comitato Economico e Sociale Europeo (CESE), Organo consultivo obbligatorio dell’Unione europea che fornisce consulenza qualificata alle maggiori Istituzioni dell’UE (Commissione, Consiglio dei Ministri e Parlamento europeo).

È, altresì, membro del Consiglio Nazionale dell’Economia e del Lavoro (CNEL).

Siamo lieti di annunciare che è stato recentemente siglato il nuovo CCNL “Attività dello Sport”, pensato per i dipendenti degli impianti e delle attività sportive, per la gestione degli atleti e per l’utilizzo di impianti e/o aree finalizzate alle pratiche sportive e di fitness.
A firmare il contratto collettivo sono state CIU UNIONQUADRI con la Dott.ssa Gabriella Ancora (Presidente Nazionale) VALITALIA PMI con il Dott. Roberto Plini (Presidente Nazionale) e il Dott. Andrea Pantano (Presidente Nazionale APS LIBERTAS e Responsabile Nazionale ValItalia PMI per il settore Sport).
L’obiettivo del contratto è quello di tutelare con misure attuali le esigenze delle imprese e dei dipendenti, in particolare quelli di elevata professionalità, che operano nel settore sportivo. Le OOSS firmatarie hanno condiviso i valori e le finalità del CCNL: diffusione della cultura del benessere, inclusione, valorizzazione delle professionalità, unione e rispetto.
Scopri il nuovo CCNL e come poterlo utilizzare:

Dalla data del 2 febbraio 2025, in forza di quanto previsto dal Regolamento UE n. 2024/1689 del 13 giugno 2024 (Artificial Intelligence Act), sono vietati i sistemi di intelligenza artificiale che comportano un rischio “inaccettabile”.

Elemento centrale del Regolamento sull’Intelligenza Artificiale è infatti il sistema di classificazione del rischio che mira a creare un ambiente in cui l’innovazione nell’intelligenza garantisca comunque che i rischi siano adeguatamente gestiti.

L’AI Act è entrato in vigore il 2 agosto 2024 ma prevede un’applicazione progressiva con diverse tempistiche: a far data dal 2 febbraio, trovano per il momento applicazione i capi I e II del Regolamento, rispettivamente dedicati alle disposizioni di carattere generale e alle pratiche vietate.

Nella sua regolamentazione sui sistemi di intelligenza artificiale, l’AI Act impone il divieto di alcune tecnologie che potrebbero compromettere i diritti fondamentali, la sicurezza delle persone e la protezione della riservatezza e dei dati personali. 

Tra i sistemi di intelligenza artificiale vietati rientrano:

• Tecniche manipolative e sfruttamento delle vulnerabilità – Sono vietati i sistemi che utilizzano tecniche subliminali, manipolative o ingannevoli per influenzare il comportamento umano, compromettendo il processo decisionale consapevole. È inoltre proibito lo sfruttamento delle minacce legate a età, disabilità o condizioni socio-economiche per manipolare le persone, causando danni significativi.
• Sistemi di categorizzazione biometrica e punteggio sociale (c.d. social scoring) – L’uso dell’IA per dedurre attributi quali razza, orientamento politico, appartenenza sindacale, religione o vita sessuale è vietato, salvo specifiche eccezioni per le forze dell’ordine. Inoltre, è proibita qualsiasi forma di punteggio sociale, ovvero la classificazione degli individui basata su comportamenti o caratteristiche personali che possano determinare trattamenti diversificati o discriminatori.
• Profilazione criminale e riconoscimento facciale – È vietato l’utilizzo dell’intelligenza artificiale per valutare il rischio di reati basandosi esclusivamente su profilazioni o tratti della personalità, a meno che non venga integrato con una valutazione umana basata su dati oggettivi. Non è poi consentita la creazione di database di riconoscimento facciale tramite raccolta indiscriminata di immagini da Internet o da sistemi di sorveglianza.
• Identificazione biometrica remota e analisi delle emozioni – È proibito l’utilizzo dell’intelligenza artificiale al fine di rilevare emozioni nei luoghi di lavoro o nelle scuole. L’identificazione biometrica remota in tempo reale è vietata nei luoghi pubblici, salvo casi specifici per le forze dell’ordine, come la ricerca di persone scomparse, la prevenzione di attacchi terroristici o l’identificazione di sospetti per reati gravi.

Il 4 febbraio 2025 la Commissione europea ha pubblicato un primo set di linee guida volte a meglio chiarire alcune disposizioni dell’AI Act e, in particolare, le pratiche di intelligenza artificiale proibite.

avv. Alberto Tarlao

CIU Unionquadri

In un mondo ove l’importanza dei dati personali diventa sempre più importante, si consolida la necessità della loro protezione a tutela della vita personale e sociale di ogni cittadino.
Il DPO (Data Protection Officer) è il soggetto incaricato di verificare e garantire il rispetto della normativa in materia di protezione dei dati per-sonali, con riferimento al Regolamento UE 2016/679 (GDPR) e alle disposizioni nazionali vigenti.
La sua funzione può essere svolta in due modalità: come DPO interno o come DPO esterno.
Il DPO interno è un dipendente dell’organizzazione (pubblica o privata) che, per poter espletare adeguatamente le proprie mansioni, deve disporre di una solida formazione in ambito giuridico e tecnico-informatico, così da padroneggiare i principi del GDPR, le norme nazionali, gli aspetti di sicurezza dei sistemi e la gestione del rischio.
Questo professionista, pur operando all’interno della struttura gerarchica, deve godere di autonomia e indipendenza, potendo accedere alle informazioni e ai mezzi necessari senza subire ingerenze che ne condizionino l’attività. Il DPO interno risponde della supervisione dell’osservanza delle norme sulla privacy, fornendo consulenza in materia di valutazioni d’impatto (DPIA), redigendo report e fungendo da punto di contatto con l’Autorità Garante; potrebbe incorrere in responsabilità sia disciplinari sia, in casi estremi, pecuniarie o penali qualora dovessero ravvisarsi colpa grave o dolo.

Sul piano contrattuale, il DPO interno può essere inquadrato come dirigente o quadro, a seconda della complessità delle sue funzioni, e l’autonomia del ruolo dovrebbe essere protetta da clausole specifiche.
Il DPO esterno, invece, svolge le stesse funzioni del DPO interno ma opera come consulente esterno, singolo professionista o società specializzata, incaricato tramite un contratto di servizio. Anch’egli deve possedere competenze specialistiche e mantenere una posizione di indipendenza, godendo di un adeguato accesso alle informazioni utili per valutare i trattamenti e rilevare eventuali violazioni. Il DPO esterno risponde contrattualmente dell’operato svolto, fermo restando che l’obbligo di conformità resta in capo al titolare o al responsabile del trattamento.
Fatte tali premesse, considerata l’importanza del ruolo rivestito da queste figure, non si può non rilevare come nel nostro ordinamento, oggi, man-chino tutele specifiche di inquadramento giuridico, giuslavoristico, economico nei confronti dei soggetti addetti alla protezione dei dati.
Quanto al DPO interno, oltre a doversi prevedere un inquadramento giuridico quale dipendente che svolge specifiche mansioni, anche lo stipendio dovrebbe essere commisurato al livello di rischio e alle competenze richieste, riconoscendone il ruolo cruciale in azienda e prevedendo forme di aggiornamento continuo che ne accrescano la professionalità.
Allo stesso modo manca un inquadramento del D.P.O. esterno quale libero professionista: le tariffe di questo soggetto potrebbero essere stabilite sulla base di parametri quali la complessità dell’incarico, il volume di dati trattati, il numero dei dipendenti dell’azienda e il settore operativo; sarebbe auspicabile individuare range tariffari di riferimento per garantire trasparenza e concorrenza leale.
Una proposta di legge che disciplini la figura del DPO, sia interno sia esterno, dovrebbe prevedere requisiti minimi di nomina, obblighi di formazione continua, definizione chiara delle responsabilità e un adeguato quadro sanzionatorio, nonché la possibilità di istituire un albo, o un registro, al quale accedere in base a requisiti di esperienza e certificazioni specifiche, favorendo così il riconoscimento professionale e la trasparenza del mercato. L’obiettivo di tale normativa sarebbe quello di creare regole unitarie in grado di valorizzare il ruolo del DPO, di assicurare la sua indi-pendenza e di orientare correttamente le organizzazioni verso la piena compliance in materia di privacy e protezione dei dati.
In tal senso, la legge potrebbe anche prevedere specifiche forme di tutela volte a evitare conflitti di interesse.