Forse è più facile dire quanti angeli possono danzare sulla capocchia di uno spillo che determinare quale possa essere il “giusto” prezzo per un DPO. Una risposta universalmente valida non esiste, e purtroppo occorre sempre dire: dipende. Dalle competenze richieste e dal lavoro da svolgere, ovviamente.
Vero è che consultando alcune gare e aggiudicazioni si possono riscontrare cifre offerte ed accettate che lasciano quanto meno perplessi, con incarichi annuali anche per 500 o 1.000 euro. È sufficiente un po’ di Google, e con una ricerca del nominativo spesso si riesce a vedere che questo soggetto (sia esso un professionista o una società) ha accumulato centinaia di incarichi. “Tante briciole fanno una panetteria” recita un noto proverbio. Certo, viene qualche dubbio circa la possibilità materiale di svolgere così tanti incarichi da parte di un unico soggetto.
Se si parla di persona giuridica o di team è bene ricordare che nel caso di incarico ricevuto, ciascun soggetto appartenente alla persona giuridica e operante quale DPO deve soddisfare tutti i requisiti degli artt. da 37 a 39 GDPR. Certamente, un tale livello di preparazione di così tanti consulenti fa apparire improbabile l’applicazione di costi degni di saldi stagionali.
Inoltre, giova ricordare che l’impianto sanzionatorio del GDPR non prevede alcun tipo di responsabilità in capo al DPO in quanto è l’organizzazione che designa tale funzione a dover garantire (ed essere in grado di dimostrare) di aver effettuato una selezione conforme ai requisiti della norma e di aver mantenuto l’effettività del ruolo svolto (per indipendenza, coinvolgimento, aggiornamento, etc.).
Certamente, in caso di sanzioni o azioni risarcitorie subite esiste una responsabilità civile di carattere disciplinare (nell’ipotesi di DPO interno) o professionale (nell’ipotesi di DPO esterno) per la corretta esecuzione dell’incarico così come definito dal GDPR e da eventuali precisazioni integrative convenute con il titolare o il responsabile del trattamento. Nelle ipotesi in cui sussista tale responsabilità, allora il DPO è tenuto al risarcimento del danno nei confronti dell’organizzazione solamente qualora sia possibile riscontrare un inadempimento sul fronte della diligenza “qualificata”, ovverosia richiesta in ragione della natura della prestazione da rendere e raffrontabile con gli standard professionali di riferimento. Per quanto riguarda la soluzione di problemi di particolare complessità, inoltre, sussiste una circoscrizione della responsabilità alle sole ipotesi di dolo o colpa grave. Di sicuro però non esiste alcuna possibilità di difesa o limitazione di responsabilità fondata sul “prezzo basso” convenuto per la prestazione.
Non esiste insomma esonero alcuno per un titolare o responsabile che violi il GDPR per “incauto affidamento” alle scelleratezze o all’assenteismo del proprio DPO. Semmai questi potrà rivalersi sul proprio (ex, si spera) DPO e cercare il ristoro del danno subito, ma in prima battuta sarà sempre chiamato a dover pagare sanzioni ed eventuali risarcimenti nei confronti degli interessati.
Forse, il problema del “prezzo” del DPO riguarda più la percezione del valore di tale funzione da parte delle organizzazioni.
Citando Wilde: “Oggigiorno si conosce il prezzo di tutto, ma non si conosce il valore di niente”. Possiamo però augurarci che il tempo sarà galantuomo (assieme a qualche intervento correttivo da parte del Garante), e che un domani si possa riconoscere diffusamente e con maggior certezza almeno il valore di tale funzione.
