Quanto costa un DPO? Come valutare costi e competenze
10 Agosto 2020 in DPO as a Service
La normativa GDPR in materia di privacy ha richiesto una serie di adempimenti normativi per garantire la protezione dei dati personali. Fra le misure da prendere in considerazione è compresa la scelta e nomina di un Data Protection Officer. Ma quanto costa un DPO? Sebbene non per tutte le organizzazioni la nomina di questa figura sia obbligatoria, è altamente consigliabile farsi assistere da un professionista esterno oppure individuare una figura in azienda competente in materia. Analizziamo quindi brevemente il suo ruolo e le competenze correlate per poi valutare come procedere nella determinazione del compenso secondo le tariffe di mercato e le possibili contrattualizzazioni.
Le competenze del DPO per valutare quanto costa
La figura del DPO è disciplinata dal GDPR che pone questa figura come consultiva per informare e consigliare il Titolare (o il Responsabile) del trattamento sugli obblighi derivanti dal Regolamento europeo e dalle altre disposizioni dell’Unione in materia di protezione dei dati. Il DPO ha anche un ruolo di verifica per gli aggiornamenti che la UE emette in materia di Data Protection ed è coinvolto per i piani di formazione e sensibilizzazione del personale che lavora su trattamenti di dati personali per renderli consapevoli dei rischi. Per le attività a lui assegnate rappresenta una figura di alto spessore professionale, continuamente aggiornato e con una considerevole esperienza. Infatti, deve avere competenze multidisciplinari che abbraccino gli ambiti legali, le normative sulla privacy, le normative dello specifico dominio e ambito di mercato dell’organizzazione, competenze tecniche di sicurezza informatica e Data protection, capacità di analisi di rischio e di processo, organizzazione, comunicazione efficace, orientamento agli obiettivi.
Le tariffe per stabilire quanto costa un DPO
La valutazione di quanto costa un DPO dipende da diversi fattori. Non è pensabile che possa esistere un “tariffario” generale, buono per tutte le situazioni. Il costo dovrà invece essere commisurato alle diverse realtà aziendali. Ad esempio, la scelta di nominare un DPO senza fissare un criterio di esclusività rispetto ad altre realtà (praticata nella maggior parte dei casi da chi opta per un DPO esterno) garantisce vantaggi in termini di costo. Viceversa, avere un DPO dedicato alla propria organizzazione implica anche la selezione di un profilo con competenze specifiche relative al settore aziendale e ciò influenza anche il compenso per il DPO. Se si comprendono anche gli audit, la verifica delle competenze dei dipendenti, e le altre attività che periodicamente richiedono al DPO di dedicarsi ad una specifica azienda, il costo potrebbe essere più alto. In generale vi sono diversi fattori da considerare per una giusta valutazione. Infatti, la tariffa può non essere fissa e rigida ma dipendente e correlata sempre al tipo di interventi che il DPO deve operare nell’azienda secondo aspetti altamente variabili che riguardano il tipo e grandezza dell’azienda, l’attività in cui opera, il numero dei dipendenti, la complessità dei trattamenti effettuati dal Titolare, il tipo e la quantità di dati trattati, le procedure operative aziendali, la presenza di un sistema di gestione certificativo, il tipo di infrastruttura IT abilitante e l’esposizione dell’azienda a rischi di data breach.
Molto importanti anche le indicazioni dall’Autorità Nazionale Anticorruzione (ANAC) che, per le PA, specifica il ricorso ad appalto di gara per l’affidamento del servizio DPO con “la previsione di una durata del contratto che sia congrua rispetto agli obiettivi individuati e alle prestazioni richieste al contraente” ovvero, come spiega Matteo Colombo, presidente ASSO DPO, si rende necessario “predisporre gare con più lungimiranza, ad esempio senza più prevedere un affidamento per un DPO esterno per un solo anno, ma pluriennale: in questo modo il Data Protection Officer può svolgere meglio il suo lavoro”.
I servizi forniti dal DPO
La scelta di un DPO che possieda specifiche competenze tecnico-giuridiche si basa sul disposto normativo di cui all’art. 39 GDPR, che elenca alcuni dei servizi minimi che sono richiesti al DPO, ossia:
• Sorvegliare l’osservanza del GDPR, nonché delle ulteriori normative sul trattamento dei dati personali;
• Provvedere alla formazione del titolare/responsabile del trattamento e del personale deputato al trattamento dei dati personali;
• Fornire un parere in merito alla Valutazione d’impatto sulla protezione dei dati ex art. 35 GDPR e sorvegliarne lo svolgimento;
• Fornire un parere in merito a ulteriori questioni di volta in volta poste alla sua attenzione da parte del titolare/responsabile;
• Fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento di dati e, ove necessario, effettuare consultazioni presso l’autorità garante;
La portata concreta di tali compiti, essendo strettamente dipendente dalla dimensione e dalla tipologia di trattamenti posti in essere dall’azienda, influenzerà inevitabilmente, come sopra anticipato, anche il compenso annuale del DPO.
Il DPO come un team di esperti GDPR
In situazioni particolarmente complesse, potrebbe essere opportuno per il titolare o il responsabile sul quale, alternativamente, grava l’obbligo o si ritiene necessaria la nomina di un DPO, costituire una vera e propria task force di esperti GDPR, che, lavorando congiuntamente, possano garantire la compliance al GDPR.
Il titolare/responsabile potrebbe scegliere di:
• Costituire un team di esperti interni, dipendenti dell’azienda, che si occupino di seguire il processo di adeguamento al GDPR nel corso del tempo e comunichino col DPO per sottoporre alla valutazione di questo tutte le scelte aziendali compiute in materia di dati personali;
• Rivolgersi ad un DPO dotato di un proprio team di esperti (come, ad esempio, una società di consulenza che fornisce i servizi elencati all’art. 39 GDPR).
Tale ultima ipotesi, in particolare, è permessa dal GDPR, che ben consente al titolare e al responsabile di rivolgersi a società strutturate per ottenere i servizi richiesti dalla normativa europea.
I costi della compliance al GDPR
In chiusura, occorre evidenziare come i costi propri connessi alla nomina di un DPO dotato delle necessarie competenze specialistiche in materia di trattamento dei dati personali, nonché di ulteriori soggetti interni che si occupino di garantire il rispetto della normativa privacy non siano da considerarsi quali “superflui”, in ragione del fatto che gli stessi apportano ai titolari ed ai responsabili un valore aggiunto spesso superiore al proprio costo.
Ciò per le seguenti ragioni:
• Una società compliant alla normativa privacy sarà molto più competitiva sul mercato e ingenererà nel potenziale cliente maggiore fiducia rispetto alle concorrenti che, invece, non saranno in grado di fare altrettanto;
• La compliance alla normativa privacy eviterà al titolare di incorrere nelle pesanti sanzioni previste dal GDPR (certo maggiori rispetto ai costi di adeguamento), nel caso in cui l’Autorità Garante, a seguito di un’ispezione da parte del Nucleo specializzato della Guardia di Finanza, accerti gravi difformità rispetto alle prescrizioni normative.
P4I – Partners4Innovation