dpo data privacy officer

Quanto costa un DPO?

Come valutare i costi e le competenze di un DPO?

La normativa GDPR chiede, come ormai noto, una serie di adempimenti normativi per garantire la protezione dei dati personali. Fra le misure da considerare risulta anche la scelta e nomina di un DPO (Data Protection Officer). La 1.domanda che ci viene posta, ancora prima di verificare se tale figura sia d’obbligo è: quanto costa un DPO? Sebbene non per tutte le organizzazioni la nomina sia obbligatoria, è altamente consigliabile farsi assistere da un professionista. Ebbene si, anche qui il titolare ha la scelta. Può individuare all’interno una figura competente in materia oppure può incaricare un consulente professionista esterno. Analizziamo quindi brevemente il ruolo del DPO e le competenze correlate, in modo da valutare come procedere nella determinazione del compenso secondo le tariffe di mercato e le possibili forme contrattuali.

Quali sono le competenze del DPO e come valutare quanto costa

La figura del DPO, in italiano Responsabile per la protezione dei dati, è disciplinata dal Regolamento 16/679. Tale figura professionale viene posta come consultiva per informare e consigliare il Titolare del trattamento sugli obblighi derivanti dal Regolamento europeo e dalle altre disposizioni dell’Unione in materia. Il DPO ha anche un ruolo di verifica riguardo gli aggiornamenti che l’Unione Europea emette. Inoltre è coinvolto nella formazione e sensibilizzazione del personale che elabora i dati personali. Per le attività a lui assegnate e le competenze richieste, rappresenta una figura di alto spessore professionale, continuamente aggiornato e con una considerevole esperienza. Infatti, il DPO deve avere competenze multidisciplinari che abbraccino gli ambiti:

  • legali, per quanto riguarda le normative sulla privacy
  • organizzative, per quanto riguarda i processi e procedure della corretta e proficua gestione dei dati
  • tecnico-informatico, per quanto riguarda la sicurezza dei sistemi, la protezione e la gestione, trasmissione, stoccaggio e recupero dei dati
  • manageriale, per quanto riguarda l’analisi di rischio, la pianificazione by design, la comunicazione efficace e l’orientamento agli obiettivi. 

Quali sono le tariffe per stabilire il costa del DPO

Come in ogni altro ambito professionale, anche la valutazione del costo di un DPO dipende da diversi fattori. Poiché non è pensabile che possa esistere un “tariffario” generale giusto per tutte le situazioni. Perché sarebbe molto caro per le realtà piccole e tanto economico per grandi gruppi d’aziende. Il costo quindi, dovrà essere commisurato alle diverse realtà aziendali. Inoltre, la scelta di nominare un DPO con o senza il vincolo di esclusività può incidere significamente sul costo. Viceversa, avere un DPO, interno o esterno, dedicato alla propria organizzazione implica la scelta di un profilo con competenze specifiche relative al proprio settore aziendale. È chiaro che ciò influenza anche il compenso del Data protection officer.

Tutto compreso o tutto extra?

Se il tariffario comprende anche gli audit, la verifica delle competenze dei dipendenti, e tutte le altre attività periodiche richieste al DPO, il costo potrebbe essere ancora più alto. Poiché in generale vi sono diversi fattori da considerare per una giusta valutazione. Infatti, la tariffa può non essere fissa ma correlata al tipo di intervento che il DPO deve operare nell’azienda. Quindi una quota minima fissa per la consulenza nonchè reperibilità costante alla quale si aggiungono i costi variabili a seconda:

  • del tipo, la grandezza e l’attività che svolge l’azienda
  • il numero dei dipendenti, la complessità dei trattamenti
  • la tipologia e la quantità dei dati trattati, le procedure operative aziendali
  • la presenza di un sistema di gestione certificativo
  • il tipo di infrastruttura IT abilitante e la potenziale esposizione dell’azienda a rischi di Data Breach. 

Non meno importanti sono le indicazioni dall’Autorità Nazionale Anticorruzione (ANAC). L’Autorità specifica per le PA il ricorso ad appalto di gara per l’assegnazione del servizio DPO con “la previsione di una durata del contratto che sia congrua rispetto agli obiettivi individuati e alle prestazioni richieste al contraente”. Ciò significa, come spiega il presidente ASSO DPO, Matteo Colombo, che si rende necessario “predisporre gare con più lungimiranza, ad esempio senza più prevedere un affidamento per un DPO esterno per un solo anno, ma pluriennale: in questo modo il Data Protection Officer può svolgere meglio il suo lavoro”.

Servizi minimi richiesti al DPO

La scelta di un DPO che possiede specifiche competenze tecniche e giuridiche si basa su quanto esposto nell’art. 39 GDPR. Vediamo quindi alcuni dei servizi minimi richiesti al DPO, elencati nell’articolo 39:

  • sorvegliare l’osservanza del GDPR, nonché delle ulteriori normative sul trattamento dei dati personali;
  • provvedere alla formazione del titolare/responsabile del trattamento e del personale deputato al trattamento dei dati personali;
  • fornire un parere in merito alla Valutazione d’impatto sulla protezione dei dati ex art. 35 GDPR e sorvegliarne lo svolgimento;
  • fornire un parere in merito a ulteriori questioni di volta in volta poste alla sua attenzione da parte del titolare/responsabile;
  • fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento di dati e, ove necessario, effettuare consultazioni presso l’autorità garante.

E’ evidente che la complessità di tali compiti sia strettamente dipendente dalla dimensione e dalla tipologia dei trattamenti posti in essere. Di conseguenza, come spiegato prima, influenzerà inevitabilmente anche il compenso annuale del DPO.

Un DPO unico oppure un team di esperti GDPR?

In situazioni particolarmente complesse, è opportuno valutare il coinvolgimento di un team di esperti nel GDPR, piuttosto di nominare un singolo DPO. In effetti, il titolare può anche optare di costituire una vera e propria task force di esperti. Il team, lavorando congiuntamente con il DPO possono insieme garantire la compliance al GDPR. Il titolare può scegliere quindi di:

  • Costituire un team di esperti all’interno dell’azienda, che si occupa di seguire il processo di adeguamento al GDPR nel corso del tempo e inoltre comunichino col DPO sottoponendoli alla valutazione le scelte aziendali compiute e quelli da compiere.
  • Rivolgersi ad un DPO esterno, dotato di un proprio team di esperti, specialisti in ogni singolo settore. Ad esempio una società di consulenza che fornisce i servizi inerenti al GDPR, come elencati sopra.

La seconda ipotesi di scelta, è consentita dal GDPR, che permette al titolare e al responsabile di rivolgersi a società strutturate per ottenere i servizi richiesti dalla normativa europea.

I costi della compliance al GDPR

A questo punto dobbiamo fare luce sui costi della compliance al GDPR. È doveroso evidenziare che i costi connessi alla figura del DPO, ovviamente dotato di tutte le competenze specifiche in materia, nonché dei soggetti interni impegnati a garantire il rispetto della normativa, non siano da considerarsi “superflui”. Dobbiamo anche ricordare il fatto che gli stessi apportano al titolare e quindi all’azienda un valore aggiunto, nella maggior parte dei casi decisamente superiore al proprio costo. Le ragioni di questa affermazione?

  1. Un’impresa compliant alla normativa europea 679/16 è molto più competitiva sul mercato. Inoltre ingenera nel esistente e potenziale cliente maggiore fiducia rispetto alla concorrenza che, invece, non saranno in grado di fare altrettanto.
  2. La compliance al GDPR eviterà al titolare di incorrere in pesanti sanzioni previste dal Regolamento (di sicuro maggiori rispetto ai costi di adeguamento).
  3. Dati acquisiti e gestiti in modo compliant alla normativa europea rendono le azioni di marketing, acquisizione clienti, customer saddifacion decisamente più redditizi.
  4. Un’azienda compliant rafforza maggiormente la reputazione positiva che, nel caso di data breach, causato da una malagestione, potrebbe essere distrutta in un batti d’occhio.

Conclusioni

In questo articolo ti abbiamo fornito una carrellata di informazioni su come valutare le competenze e il costo del DPO. In più abbiamo evidenziato i vantaggi derivanti da un’oculata verifica e scelta del DPO e del team. È chiaro che una buona consulenza si basa anche, o sopratutto, su un’ottima comunicazione e intesa tra le parti. La fiducia nel confronto del DPO è fondamentale e rende la collaborazione efficace e proficua. L’obbiettivo di ogni impresa dovrebbe essere l’efficace e sano rapporto con il DPO e il team, la protezione dei dati di dipendenti e clienti, in virtù di salvaguardare la reputazione aziendale e di massimizzare la fiducia dei clienti. 

Ora tocca a te! Prova a valutare la tua situazione aziendale e metti in pratica uno o tutti di questi suggerimenti che ti abbiamo fornito in questo articolo al fine di migliorare la compliance della tua attività.

Siamo curiosi dei tuoi risultati… e a disposizione per chiarire i tuoi dubbi.