“Personal data is a strategic element that must be handled with care”

Antonio Palermo, Group Data Protection Officer at Angelini Industries, an Italian multi-sector group with operations in 21 countries in the healthcare, industrial technology and consumer goods sectors, shared his views on the evolution of data protection, which "are more valuable than gold." He also spoke about the strategic role of the DPO within the company, the challenges of Angelini Industries, and the working methodology, similar to that of an orchestra: each instrument is autonomous, but it is from the harmonic complex of sounds that the symphony is born behind the wise guidance of a conductor.

Posted mardi, mai 16 2023
“Personal data is a strategic element that must be handled with care”


Tell us about the path that led you to becoming Group Data Protection Officer?

I began my career as a lawyer, a freelancer, first in a boutique law firm and then in an international firm, dealing mainly with personal data protection, intellectual and industrial property protection, commercial, corporate and new technology law. I have provided legal advice and support to leading national and international business groups, in various sectors such as financial services, aerospace, defense & security, insurance, gaming, pharma, transport and mobility, consumer, digital services, high technology, telecoms and trade associations. I have occupied the role of data protection officer ever since it became a thing, first, on a freelance basis for different businesses (e.g., payment services, utilities, retail, mobility services) and, later, in-house as the DPO of Telepass and its subsidiaries. In this capacity, I enjoyed a broad view of the entire group, with the need to manage the complexities of this role, which requires combining legal and technical expertise.

"We work like an orchestra: everyone has his own instrument and has to play his own piece, and the only way to harmonize it all is if there is a conductor."

What is the make-up of the data protection team and how does it interact with other departments?

Angelini Industries is a complex organization, spanning various businesses (healthcare, industrial technology, consumer goods), and is composed of several legal entities, present in 21 countries, mainly in Europe and North American. We decided to use the identification of one entity for each entity. There are as many points of reference identified at the group level as there are companies: one for each legal entity, of which there are more than 40.

Angelini Industries’ holding company has a data protection team composed of myself and two others, whose role is to give guidance as well as align data protection policies and practices at the group level, coordinating for this purpose with the points of reference in the individual corporate entities both in Italy and abroad. We had to make sure we were organized in a way that ensured effectiveness for different territorial areas while maintaining central visibility. As in an orchestra, everyone has their own instrument and piece to play, and the only way to harmonize it all is for there to be a conductor.

What kind of activities do you outsource?

We do not like to outsource. The use of consulting is surgical; we never outsource whole activities. For our foreign network we normally identify a professional who speaks the local language. In this sense, when we do not have an in-house point of reference who is legally eligible, we turn to external parties to talk to companies. We still manage to maintain centrality, which is an essential method for us. 

Should every company have a data protection officer?

In my opinion, the DPO is necessary for all companies that process personal data. In the Italian legal system, the processing of personal data is treated as a any dangerous activity with a high inherent risk, which makes it necessary to take all appropriate measures to avoid harm: the DPO, as a key figure to ensure the protection of personal data, therefore becomes a strategic component of the business. That said, in the current market environment, data is the new frontier and is at the center of the digital transformation and pivot of the fourth industrial revolution. In this context, the DPO is no longer just the guarantor of regulatory compliance in data protection, but can also be the driver of change and business development. So I think it is important to find the trade-off between compliance and innovation.

"We need to look at data as an asset with a higher value than gold, as segments of our identity and an inexhaustible source."

What is and what do you think should be the role of the DPO within the company?

As I said earlier, from my point of view the DPO has a central role within the company today; in this regard, I could give you numerous examples where the processing and protection of personal data is extremely relevant. Such as in the case of digital service delivery: whether it is a regulated pharmaceutical, banking or other market, today the interaction with the customer most often takes place on digital channels. When we interact online we are surrendering a portion of ourselves, we are giving information that has great value. The moment we do this, there must be an initial filter made by the company. At that moment, in fact, our data-privacy experience begins, that is, a path that can guide the customer in understanding, through clear and transparent messages, who is using their data, for what purpose, whether it ends up in the hands of third parties and what those third parties might do with it.. This is an extremely critical and delicate phase in which we need to look at data as an asset with a greater value than gold, as it is a portion of our identity and, unlike gold, there is an inexhaustible source. Only in this way will we be led to always ask ourselves: who ensures that my data is being used properly and transparently?

How can corporate management benefit from so-called Privacy by Design?

Internal policies must be adopted and measures implemented to ensure data protection from the very design of a given activity. In this context, the DPO assumes a key role, helping the data controller understand which mode is most in line with the relevant legal and regulatory framework and what the risks are for data subjects. To make the DPO’s work in this regard effective, it is important that the DPO be involved by management early on and, more broadly, by colleagues. Teamwork and collaboration with all business entities are therefore key elements in ensuring compliance with the principle of privacy by design. When I am asked how many people make up my team, I answer about 6,000! This is an exaggeration of course, but I like to think that in order to do my job well, I have to be able to count on each of the people who work for this group.

"This is certainly a complex and in some ways hybrid figure, having to possess specialized skills of the legislation, the sector in which the owner operates and the related organization, as well as being familiar with IT and technological issues."

Since the role of DPO was set out in 2016’s GDPR, how has it evolved?

The growing attention to the subject – primarily because of the high penalties resulting from non-compliance – has led the figure of the DPO to become increasingly central to the business model of companies, which soon came to appreciate their value not only as a support to ensure compliance, but also as a facilitator of certain business processes. This has now significantly changed the way this figure is perceived in the marketplace, and the role has had to evolve in tandem.

From my point of view, the DPO is a modern Hermes, an indefatigable messenger able to act as a go-between between the drafter of the norm and the one who has to apply it on a day-to-day basis, a figure that is certainly complex and in some ways hybrid, having to possess specialized skills of the legislature, the sector in which the owner operates and the related organization, as well as being familiar with IT and technological issues.

What do you think could be the biggest data protection challenges in the future?

Europe has launched an ambitious strategy with the goal of boosting the European data market. To this end, the aim is to establish a legal framework that can facilitate the use and sharing of data (personal and non-personal), including through the establishment of data spaces in different sectors and the use of cutting-edge technological solutions. This will lead to an inevitable increase in the volume of data produced with spillovers in every industry and an exponential increase in the risks associated with the use of such data. This is the challenge of the immediate future that we must necessarily accept, and we need professionals who know how to help businesses manage and overcome it.

"I consider myself privileged because I have the opportunity to work within a company with enlightened management that cares about data protection."

What are the most important issues you face within Angelini Industries?

Angelini Industries is a group that operates in different sectors through numerous legal entities present in several countries: hence the main complexities related to the exercise of my role and related tasks. Right from the start I had to find the most effective recipe to manage these complexities, fortunately I work with an enlightened management that cares about data protection. We are always striving for continuous improvement, operating on a daily basis a widespread dissemination of the culture of privacy through solutions that are never trivial and always new, following an approach consistent with the company’s values. In this context, teamwork and operating synergistically with all business functions is essential.


“I dati personali sono un elemento strategico della realtà aziendale da “maneggiare” con cura”


Antonio Palermo, Group Data Protection Officer di Angelini Industries, gruppo multisettoriale italiano presente in 21 Paesi, che opera nei settori della salute, della tecnologia industriale e del largo consumo, ha condiviso con Leaders League la sua visione sull’evoluzione della protezione dei dati, che “hanno un valore superiore all’oro”. Ha parlato inoltre del ruolo strategico del DPO all’interno dell’azienda, delle sfide di Angelini Industries e della metodologia di lavoro, simile a quella di un’orchestra: ogni strumento è autonomo, ma è dal complesso armonico dei suoni che nasce la sinfonia dietro la sapiente guida di un direttore.


Qual è stato il percorso che l’ha portata a ricoprire la posizione di Group Data Protection Officer?

Ho iniziato la mia carriera come avvocato, libero professionista, prima in uno studio legale “boutique” e poi in uno studio internazionale, occupandomi principalmente di protezione dei dati personali, tutela della proprietà intellettuale e industriale, diritto commerciale, societario e delle nuove tecnologie. Ho prestato consulenza e supporto legale a primari gruppi d’imprese nazionali e internazionali, potendo beneficiare di una vista molto ampia e aperta su vari settori, sia industriali sia regolamentati (financial services, aerospace, defence & security, assicurativo, gaming, pharma, trasporti e mobilità, consumer, digital services, alta tecnologia, telecomunicazioni, associazioni di categoria). Ho svolto il ruolo di Responsabile dell’ufficio del Data Protection Officer sin dalla nascita di questa figura, dapprima dall’esterno per varie realtà con business anche differenti tra loro (e.g., servizi di pagamento, utilities, retail, servizi per la mobilità) e, successivamente, dall’interno della struttura, avendo assunto il ruolo di DPO di Telepass e delle società controllate. Da lì ho potuto godere di una vista ampia sull’intero gruppo, con la necessità di dover gestire le complessità di questo ruolo che richiede l’unione di competenze legali e tecniche.

Lavoriamo come un’orchestra: ognuno ha il suo strumento e deve suonare il suo pezzo, e l’unico modo per armonizzare il tutto è che ci sia un direttore.”

Qual è la struttura del team di Data Protection e come vi coordinate con le altre funzioni?

Angelini Industries è una realtà complessa, spazia fra vari business (salute, tecnologia industriale, largo consumo), ed è composta da diverse legal entities, con presenza in 21 paesi, principalmente nella zona europea e nord americana. Abbiamo deciso di ricorrere alla individuazione di un soggetto per ogni entità. I punti di riferimento individuati a livello di gruppo sono tanti quante le società: uno per ogni ogni legal entity, che sono oltre 40.

Nella holding di Angelini Industries è poi presente il team composto da me e altre due risorse con diversa seniority, il cui ruolo è quello di dare un indirizzo e lavorare in direzione di un allineamento e armonizzazione delle politiche e prassi in materia di protezione dei dati personali a livello di gruppo, coordinandosi a questo scopo con i referenti nelle singole realtà aziendali sia in Italia sia all’estero. Ci siamo dovuti strutturare per garantire una efficacia per i diversi ambiti territoriali, mantenendo una visibilità centrale. Come in un’orchestra, ognuno ha il suo strumento e deve suonare il suo pezzo, e l’unico modo per armonizzare il tutto è che ci sia un direttore.

Che tipo di attività esternalizzate?

Noi non amiamo esternalizzare. Il ricorso alla consulenza è di tipo chirurgico, non esternalizziamo mai delle attività intere. Per il nostro network estero normalmente individuiamo un professionista che parli la lingua locale. In questo senso, quando non abbiamo un punto di riferimento interno alla società che abbia i requisiti richiesti dalla legge, per dialogare con le società ci rivolgiamo ai soggetti esterni. Riusciamo comunque a mantenere la centralità, metodo per noi essenziale.  

Cosa pensa della nomina volontaria del DPO e, a suo avviso, in quali casi è opportuno individuare una figura apposita?

A mio avviso il DPO è necessario per tutte quelle realtà che trattano dati personali. Nell’ordinamento italiano il trattamento dei dati personali è considerato alla medesima stregua di un’attività pericolosa con un elevato rischio intrinseco, che rende necessaria l’adozione di tutte le misure idonee a evitare il danno: il DPO, quale figura chiave per garantire la protezione dei dati personali, diviene quindi elemento strategico della realtà aziendale. Ciò premesso, nell’attuale contesto di mercato i dati rappresentano la nuova frontiera e sono al centro della trasformazione digitale e perno della quarta rivoluzione industriale. In tale contesto, il DPO non è più solo il garante della compliance normativa in ambito data protection, ma può anche essere il motore di cambiamenti e di sviluppo del business. Penso sia importante quindi trovare il trade off fra compliance e innovazione.

Bisogna guardare ai dati come a un bene con un valore superiore all’oro, in quanto segmenti della nostra identità e fonte inesauribile.”

Qual è e quale dovrebbe essere secondo lei il ruolo del DPO all’interno dell’azienda?

Come dicevo in precedenza, dal mio punto di vista il DPO ha oggi un ruolo centrale all’interno dell’azienda; al riguardo, le potrei fare numerosi esempi in cui il trattamento e la protezione dei dati personali sono estremamente rilevanti. Come nel caso dell’erogazione di servizi digitali: che si tratti di un mercato regolamentato farmaceutico, bancario o altri, oggi l’interfaccia con il customer il più delle volte avviene su canali digitali. Quando noi ci interfacciamo online stiamo cedendo una porzione di noi stessi, stiamo dando delle informazioni che hanno un grande valore. Nel momento in cui lo facciamo, ci deve essere un primo filtro (rectius, controllo) da parte dell’azienda. In quel momento inizia, infatti, la nostra privacy experience, cioè un percorso in grado di guidare il customer nella comprensione, attraverso messaggi chiari e trasparenti, di chi utilizza i suoi dati, a quale fine, se finiscono nelle mani di soggetti terzi e per quali scopi. Si tratta di una fase estremamente critica e delicata in cui occorre guardare ai dati come un bene con un valore superiore all’oro, in quanto segmenti della nostra identità e fonte inesauribile. Solo in questo modo, saremo portati a domandarci sempre: chi mi assicura che i miei dati siano usati in modo corretto e trasparente?

Come può il management aziendale beneficiare della cosiddetta Privacy by Design?

Occorre adottare politiche interne e attuare misure in grado di garantire la protezione dei dati fin dalla progettazione di una determinata attività. In questo contesto, il DPO assume un ruolo chiave, aiutando il Titolare a capire qual è la modalità più in linea con il framework normativo e regolamentare di riferimento e quali sono i rischi per gli interessati. Per rendere efficace il lavoro del DPO in tal senso, è importante che quest’ultimo sia tempestivamente coinvolto dal management e, più in generale, dai colleghi. Il lavoro di squadra e la collaborazione con tutte la realtà aziendali sono quindi elementi fondamentali per garantire il rispetto del principio di privacy by design. Quando mi domandano da quante persone è composto il mio team, rispondo circa 6000! Si tratta di una boutade ovviamente, ma mi piace pensare che per poter far bene il mio lavoro devo poter contare su ognuna delle persone facenti parte di questo gruppo.

Si tratta di una figura certamente complessa e per certi versi ibrida, dovendo possedere competenze specialistiche della normativa, del settore in cui opera il titolare e della relativa organizzazione, oltre ad avere familiarità con tematiche di carattere informatico e tecnologico.”

A partire dall’istituzione della figura di DPO nel GDPR del 2016, come si è evoluta questa figura?

La crescente attenzione alla materia – in primis  per le elevate sanzioni derivanti dal mancato rispetto della normativa – ha portato la figura del DPO a essere sempre più centrale nel modello di business delle aziende, che ben presto ne hanno potuto apprezzare il valore non solamente come supporto per garantire compliance, ma anche come “facilitatore” di alcuni processi di business. Ciò ha oggi notevolmente cambiato il modo in cui tale figura è percepita sul mercato e il ruolo si è dovuto evolvere di pari passo.

Dal mio punto di vista, il DPO è un moderno Hermês, messaggero infaticabile in grado di fare da tramite tra l’estensore della norma e colui il quale dovrà applicarla nel quotidiano, una figura certamente complessa e per certi versi ibrida, dovendo possedere competenze specialistiche della normativa, del settore in cui opera il titolare e della relativa organizzazione, oltre ad avere familiarità con tematiche di carattere informatico e tecnologico.

Quale ritiene possano essere le maggiori sfide della protezione dati nel futuro?

L’Europa ha avviato una strategia ambiziosa con l’obiettivo di dare impulso al mercato europeo dei dati. A tal fine, si punta a definire un quadro giuridico che possa agevolare l’utilizzo e la condivisione di dati (personali e non), anche attraverso l’istituzione di data spaces in diversi settori e l’utilizzo di soluzioni tecnologiche d’avanguardia. Ciò porterà a un inevitabile aumento del volume dei dati prodotti con ricadute in ogni comparto industriale e con un aumento esponenziale dei rischi connessi all’utilizzo di tali dati.

Questa è la sfida dell’immediato futuro che dobbiamo necessariamente accettare, e servono professionisti che sappiano aiutare le imprese a gestirla e vincerla.

Mi ritengo un privilegiato, perché ho la possibilità di lavorare all’interno di una realtà con un management illuminato che ha a cuore il tema della protezione dei dati.”

Quali sono le tematiche più importanti che si trova ad affrontare all’interno di Angelini Industries?

Angelini Industries è un gruppo che opera in diversi settori attraverso numerose legal entities presenti in più Paesi: da qui discendono le principali complessità connesse all’esercizio del mio ruolo e dei relativi compiti. Ho dovuto sin da subito trovare la ricetta più efficace per gestire queste complessità, potendomi confrontare con un management illuminato che ha a cuore il tema della protezione dei dati. Siamo sempre alla ricerca di un continuo miglioramento, operando nel quotidiano una diffusione capillare della cultura della privacy attraverso soluzioni mai banali e sempre nuove, seguendo un approccio coerente con i valori aziendali. In tale contesto, è fondamentale il lavoro di squadra e operare in modo sinergico con tutte le funzioni aziendali