Quali sono le prospettive di carriera e di lavoro per un professionista della privacy & protezione dei dati?

(NON PER LA RIPRODUZIONE - vedi http://www.quora.com/about/tos sotto "Quora's Licenses to You")

Secondo me: abbastanza buone nel lungo periodo, visto che questo campo potrebbe trasformarsi in un importante problema di corporate governance.

Non mi è chiaro quale sia la vostra giurisdizione o stato professionale o conoscenza, quindi vi risponderò dall'alto.

Il più grande elefante mondiale nella stanza è il Regolamento generale europeo sulla protezione dei dati (GDPR), nominalmente previsto per il 2016. Se date un'occhiata alla versione del maggio 2014, art 79(2a)(c), vedrete che hanno aumentato la multa massima dal 2% al 5% del fatturato mondiale, o 100 milioni di euro, se superiore, per qualsiasi entità privata o pubblica inadempiente che offre beni o servizi in o verso l'UE o che controlla i cittadini dell'UE. Questo dovrebbe interessare la maggior parte delle grandi aziende di tutto il mondo, più praticamente tutti quelli che fanno profilazione/business intelligence, più i fornitori di cloud, ecc. all'infinito. E questa versione è stata spinta attraverso il Parlamento europeo con una maggioranza del 98%: suggerendo una reale volontà politica (forse il PE sta ancora soffrendo per la debacle di Safe Harbor? Dati delle compagnie aeree? Prisma? Scegliete voi i polli che tornano al pollaio...).

Se siete (o avete intenzione di diventare) un avvocato, allora potreste dare un'occhiata alla mandria di elefanti inizialmente più piccoli che si stanno avvicinando: i nuovi illeciti che nascono ovunque, per esempio i quattro nuovi illeciti sulla privacy degli Stati Uniti stabiliti nel Second Restatement, uno dei quali si è già diffuso in altri paesi. In un certo numero di giurisdizioni non sembra essere richiesta alcuna prova di danno, eliminando quello che era il più grande ostacolo. Louis Brandeis' Il documento di Harvard sembra essere diventato maggiorenne. Alcuni dei casi più divertenti in tutto questo non sono nemmeno i casi di privacy - sono le controversie satellitari dei convenuti contro i loro assicuratori che si rifiutano di sborsare dopo le azioni di classe... Con il GDPR e alcuni altri illeciti che lavorano in tandem, aggiunti alle tecnologie di contenzioso automatizzato, questo può solo migliorare (o peggiorare, a seconda della prospettiva).

Poi, naturalmente, c'è il contenzioso accessorio legato alla privacy, ad esempio Google contro la Spagna.

Se e quando ci si stufa di litigare o ci si interessa ai processi aziendali, si può sempre diventare un Data Protection Officer le cui competenze obbligatorie sono stabilite dall'articolo 35(5) del GDPR: "...in particolare, conoscenza esperta del diritto e delle pratiche di protezione dei dati e capacità di svolgere i compiti di cui all'articolo 37". Per me le parti più interessanti dell'art. 37 sono 37(c) "controllare l'attuazione e l'applicazione del presente regolamento, in particolare per quanto riguarda i requisiti relativi alla protezione dei dati fin dalla progettazione, la protezione dei dati di default e la sicurezza dei dati ...;"; e 37(e) "controllare la documentazione, la notifica e la comunicazione delle violazioni dei dati personali ai sensi degli articoli 31 e 32;", che a sua volta si riferisce a (in effetti) l'auto-denuncia obbligatoria delle violazioni al regolatore e agli individui interessati senza indebito ritardo - che implica una sostanziale automazione.

Con il considerando 75a ("...la padronanza dei requisiti tecnici per la privacy by design, la privacy by default e la sicurezza dei dati..."), questi suggeriscono anche una considerevole abilità informatica, possibilmente imputando "esperto" all'intero passaggio dell'articolo 35(5) citato sopra (sebbene ci siano mezzi tecnologici per affinare tale "padronanza"). Un'impresa ardua, ma la competenza primaria dell'esperto rimane probabilmente la legge sulla protezione dei dati. Dato che il posto di DPO è obbligatorio per ogni azienda sostanziale, e per ogni agenzia governativa, non so davvero dove troveranno tutti questi paragoni, quindi chiunque abbia la maggior parte di quel set di competenze dovrebbe essere in grado di fare il proprio prezzo. (A parte la consulenza, non sono disponibile - siete i benvenuti).

Un ultimo punto (derivante nella sua ultima incarnazione dal considerando 75a) che sembra essere sempre stato completamente perso dall'industria e anche da alcuni studi legali, che dovrebbero sapere meglio: la privacy by design è concettualmente distinta dalla sicurezza dei dati (lo è sempre stata, ma la frase "protezione dei dati" è linguisticamente ambigua).

In sintesi, tra un paio d'anni la domanda potrebbe non essere tanto "qual è il futuro di questo campo?", ma "come posso entrare in questo campo?"

HTH

(dichiaro il mio interesse per un corso Preterlex sull'integrazione della privacy by design nell'architettura e nell'IT della corporate governance internazionale)