RISERVATEZZA DEI DATI

DPO, ma quanto mi costi?

Quali sono i parametri rilevanti per calcolare il costo di un Data Protection Officer.

Oscar Wilde diceva, provocatoriamente: “Oggi la gente conosce il prezzo di tutto e il valore di nulla”. Non poteva certo riferirsi al compenso del DPO, anche perché l’incertezza a riguardo tanto del prezzo quanto del valore perdura tuttora.

Vero, ci sono operatori che hanno portato a distorsioni di mercato, fra veri e propri multiaccount e offerte presentate in netto conflitto d’interesse direttamente da parte dei fornitori di alcuni servizi per cui assumono già il ruolo di responsabili del trattamento e per mezzo di tortuose arrampicate sugli specchi tentano di negare l’evidente situazione di incompatibilità. 

Ma non ragioniam di lor, poiché il tempo e le ispezioni dell’Autorità Garante sapranno ben superare i formalismi e rilevare la violazione dell’art. 38 GDPR. Pensiamo piuttosto a come debba essere composta un’offerta da DPO, quanto meno nei suoi parametri più comuni ed essenziali, che faccia riferimento ai requisiti minimi indicati dalla norma per lo svolgimento della funzione.

Tenendo conto dei compiti del DPO descritti dall’art. 39 GDPR, è possibile formarsi un’idea di cosa dovrà andare a fare la funzione, e dunque la declinazione operativa del come, dovendo assumere alcuni parametri rilevanti per definire il compenso quali:

  • i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo” (art. 39.2 GDPR);
  • lo svolgimento della sorveglianza e il numero minimo di audit/anno;
  • il tempo massimo di risposta ai quesiti formulati;
  • il tempo massimo per il rilascio di un parere su un evento di data breach o una valutazione d’impatto. 

A questi possono ovviamente essere aggiunti anche ulteriori compiti, purché non producano un conflitto d’interesse. Operativamente parlando, ad esempio è possibile convenire una presenza fissa in sede presso l’organizzazione o da remoto con appuntamenti e riunioni (e dunque delle giornate dedicate durante l’anno) che prescinda dallo svolgimento dell’attività di auditing, così come la conduzione di interventi di formazione e sensibilizzazione.

Adattare l’incarico al contesto organizzativo attraverso la declinazione operativa dello svolgimento della funzione del DPO contribuisce alla sua funzione sostanziale ed incide sulla componente di prezzo.Qualche perplessità rimane nel leggere di alcune offerte tuttora presenti, provenienti peraltro anche da professionisti ordinistici, “al buio” con soluzioni del tipo one-size-fits-all spesso a costi irrisori e in totale spregio nei confronti di ogni dibattito sull’equo compenso (e della deontologia professionale). Ma in questi casi, come già detto, il tempo saprà essere galantuomo. Gli interventi sanzionatori, invece, saranno probabilmente accusati di minor galanteria quando andranno a spazzare via castelli di carta costruiti con compulsiva tendenza al formalismo e nati per giacere nei cassetti (fisici o virtuali) più che nei processi dell’organizzazione.

Back to top button