Axpo Italia ha completato il progetto di adeguamento alla nuova normativa sulla privacy, il General data protection regulation (Gdpr), il cui adeguamento è divenuto obbligatorio lo scorso 25 maggio. Oltre che un passaggio obbligato, il progetto - come spiegato a TopLegal da Stefano Brogelli, legal & compliance director del gruppo - ha offerto un’occasione per rivedere criticamente i processi e le procedure aziendali, specialmente sotto il profilo della data security, alla luce dello sfidante progetto di digitalizzazione intrapreso dalla società. La gap analysis è iniziata prima dell'estate 2017, anche se il processo è entrato nel vivo a gennaio 2018.
La funzione compliance della società, guidata da Stefano Brogelli, con un team composto da Giovanni Perata e Viviana Costa, ha coordinato il progetto insieme all’Information Security Officer, Francesco Laficara. La società è stata supportata dallo studio legale Ict Legal Consulting, risultato vincitore di un beauty contest, che ha lavorato con un team di professionisti in ambito legal e cyber-security guidati dai founding partners Paolo Balboni e Luca Bolognini.
Il lavoro sinergico tra società e advisor esterno, ha portato Ict Legal Consulting a essere nominato data protection officer esternalizzato di Axpo Italia. Il data protection officer (Dpo) è una nuova figura introdotta dal Gdpr. Si tratta di un professionista con competenze giuridiche, informatiche ma anche di gestione del rischio, che ha il compito di mettere in atto politiche di gestione del trattamento dei dati personali conformi alla normativa di riferimento. Si tratta di un ruolo non completamente nuovo in quanto già ufficializzato da diversi Stati dell'Unione (ma non l’Italia) in recepimento della direttiva 95/46/CE.
Le ragioni dietro la scelta dell'esternalizzazione della funzione sono spiegate dallo stesso Brogelli: «Tenendo presente la struttura organizzativa snella di Axpo e i requisiti professionali richiesti dalla normativa, l'esternalizzazione della funzione è stata la scelta più appropriata per rispettare i parametri della normativa, che richiede per il profilo del Dpo sia conoscenze tecniche che legali e regolatorie. Abbiamo, quindi, scelto un operatore altamente qualificato, con cui abbiamo lavorato sinergicamente per mesi mentre veniva rivista tutta l'architettura informatica del gruppo. Tuttavia - precisa - non è escluso che col tempo certe competenze si possano internalizzare».