Il MISE ritarda l’adeguamento al GDPR. Multa di 75 mila euro dal Garante per la privacy

Il MISE sanzionato con 75.000 euro

Il pagamento di una sanzione di 75mila euro è stato ordinato al Ministero dello sviluppo economico da parte del Garante per la privacy. Causa della sanzione è la mancata nominato del DPO entro la data del 25 maggio 2018. Termine ultimo, ossia data di piena applicazione del GDPR. Infatti, la nomina e relativa comunicazione all’autorità ai sensi dell’art. 37 del Regolamento europeo, era avvenuta solo nel corso del 2019.

Inoltre, dall’istruttoria svolta dall’Autorità Garante sono stati trovati informazioni personali di oltre 5mila manager diffusi sul sito web istituzionale.

La sanzione al Mise è nata a seguito di pubblicazioni sulla carta stampata 

Nel corso di una istruttoria aperta dall’Ufficio è emersa la mancata nomina del DPO. A seguito di alcune segnalazioni è stata accertata la presenza di una pagina web con un elenco di manager nel sito del Ministero. Su tale pagina erano visibili e liberamente scaricabili i dati personali di oltre cinquemila professionisti. Come per esempio: nominativo, codice fiscale, e-mail, curriculum vitae integrale con telefono cellulare. In alcuni casi risultavano addirittura visibili le copie della carta d’identità e della tessera sanitaria.

Un elenco a cui le piccole e medie imprese avrebbero potuto rivolgersi per richiedere la consulenza in ambito di transizione tecnologica e digitale, nonché destinatarie dei voucher previsti dalla legge di bilancio 2019.

Il Garante sanziona per la prima volta un PA

È la prima volta che l’Autorità ha sanzionato una PA per mancata nomina del DPO entro il termine stabilito ed avere provveduto alla nomina. Oltre ad aver comunicato con notevole ritardo dei dati di contatto al Garante. L’Autorità ha sanzionato anche per la fattispecie il Mise, sottolineando come la gravità di tale inadempimento fosse non scusabile. Anche alla luce del fatto che il Garante stesso avesse, fin dal maggio 2017, avviato una articolata attività informativa rivolta ai Ministeri, indicando tra le priorità da tenere in considerazione la nomina del DPO.

L’errore del MISE

Il Mise aveva ritenuto erroneamente, di essere legittimato a diffondere i dati personali degli interessati sulla base del Decreto Ministeriale che disciplinava la materia. L’Autorità, tuttavia, ha ritenuto il trattamento sproporzionato alla finalità perseguita in quanto la pubblicazione dei suddetti dati ha comportato un alto rischio ai soggetti interessati. I rischi di esportazione ed utilizzo non legittimato da parte di terzi, ad esempio: phishing, furto d’identità, profilazione illecita, ecc.

Era inoltre possibile scaricare dalla pagina internet, il decreto direttoriale con il quale l’elenco era stato approvato. Anche esso contenente dati e informazioni di tutti i manager. Nel rilevare l’illiceità del trattamento, il Garante ha ritenuto che il decreto direttoriale richiamato dal Mise, contrariamente a quanto da esso sostenuto, non costituisce una adeguata base normativa per la diffusione dei dati online.

L’Autorità ha ritenuto, inoltre, che la pubblicazione integrale e senza alcun filtro del CV rappresentasse un trattamento di dati sproporzionato e non in linea con i principi del GDPR. Per consentire l’incontro tra la domanda delle società e l’offerta di consulenza da parte dei manager sarebbe stato sufficiente utilizzare strumenti meno invasivi rispetto alla pubblicazione sul web dei dati e delle informazioni di tutti i manager.

Ha sostenuto inoltre che si avrebbe potuto prevedere forme di accesso selettive e aree riservate del sito istituzionale. Accessi mediante credenziali e autenticazione come username o password.

In considerazione del carattere colposo della diffusione dei dati dei manager nonché della collaborazione che il Ministero ha prestato all’Autorità, la sanzione comminata è stata pari a 75 mila euro.

Come nominare un DPO

Fermo restando quanto prescritto dal Regolamento, il Garante ha precisato come sia possibile nominare un DPO* anche nelle ipotesi in cui non si rientri nei casi imposti dal Regolamento. Vedi le FAQ del Garante qui.

Alla luce di tale chiarimento, infatti, è buona prassi motivare e documentare puntualmente le ragioni per le quali il Titolare, o il Responsabile del trattamento, assumono la decisione di individuare, o meno, la figura del DPO.

Va detto che la violazione degli obblighi previsti dai artt. 37, 38 e 39 del GDPR comporta, ai sensi dell’art. 83, comma 4, del Regolamento stesso la comminazione di una sanzione amministrativa pecuniaria fino a euro 10.000.000, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente.

Mal interpretazione oppure disattenzione?

Chiaramente non possiamo sapere quale sia stata la causa per la mancata nomina del DPO. Nemmeno perché il MISE abbia ritenuto opportuno pubblicare i dati e ritardato la nomina e comunicazione del DPO. Sappiamo invece che è costato caro. Inoltre si rifletterà negativamente sulla reputazione e intacca la fiducia dei cittadini nel confronto dei servizi offerti da parte de MISE.

Noi vogliamo fare chiarezza e rispondere a tante domande che, ancora oggi, non sono del tutto chiarite. Perciò offriamo un Webinar gratuito dedicato ai Sindaci e ai loro collaboratori. In un video corso di 90 minuti circa spiegheremo dettagliatamente tutti i requisiti minimi che un Comune / Regione deve rispettare per essere adempiente al regolamento europeo 679/2016.

L’iscrizione al Webinar online è aperta

Di seguito alcuni tra i più importanti argomenti trattati:

  1. le nomine
  2. il registro dei trattamenti
  3. le pubblicazioni e le reperibilità
  4. la formazione e i controlli

WEBINAR GRATUITO VENERDÌ 26 marzo 2021 ore 15:00

Fonte: Federprivacy.it * DPO= Data Protection Officer ossia in italiano RPD=Responsabile per la Protezione dei Dati

data protection officer

Data Protection Officer, ecco come scegliere il DPO giusto per te

Svolgere le attività in ambito privacy è molto complesso, quindi spesso conviene trovare un DPO in qualità di “pilota” della gestione, anche se non sussiste l’obbligo di nomina.

Il GDPR contiene una serie di requisiti che dovevano essere implementati dalle aziende sin dalla sua entrata in vigore, a maggio 2018. Tuttavia, un lavoro “una tantum” non è sufficiente, perché i processi devono essere continuamente adeguati e aggiornati al regolamento, sia dal punto di vista tecnico che da quello organizzativo e il Data Protection Officer (DPO) è una figura chiave prevista dal Regolamento. 

Che tutto funzioni al meglio e che sia controllato correttamente non dipende soltanto da te, come direttore generale o proprietario d’azienda, ma anche dal tuo Responsabile per la Protezione dei Dati – RPD (DPO Data Protection Officer) . Infatti, devi nominare un RPD, come definito nell’articolo 37 GDPR, se le tue attività aziendali principali consistono in trattamenti su larga scala o di categorie particolari di dati personali, di cui all’articolo 9 GDPR. A parte l’obbligo legale, puoi pur sempre scegliere di nominare un DPO affinché ti funge da “auto-pilota” da “bussola” della tua gestione dei dati personali.

Dove cerco un RPD o DPO esterno?

Fondamentalmente, hai due possibilità. Innanzitutto, devi prima decidere se incaricare un dipendente interno per questa posizione o trovare un Responsabile per la Protezione dei Dati esterno. 

A che cosa devi prestare attenzione?

Internamente, in genere, farai fatica ad individuare un dipendente già pronto con le qualifiche richieste. Dovrai quindi considerare di fargli frequentare opportuni corsi di formazione. I corsi, non solo costano soldi ma impegnano il tuo collaboratore anche molto tempo. Inoltre, considera che il neo-RPD avrà probabilmente acquisito la necessaria conoscenza di base, ma non avrà ancora sviluppato alcuna esperienza nel settore. Le abilità si sviluppano solo nel tempo!

Viceversa, un fornitore di servizi esterni è l’ideale per le piccole e medie imprese e consente anche di risparmiare sui costi. Questi fornitori di servizi hanno già anni di esperienza nel settore specifico. Esiste un numero indefinito di società di servizi e avvocati che si offrono come Responsabili esterni della protezione dei dati. Purtroppo, spesso di fronte a una così vasta offerta è difficile decidere per l’RPD più adatto alle proprie esigenze.

Le opzioni per trovare un RPD adatto.

Anche in questo caso hai due opzioni “ufficiali” a disposizione. Puoi, per esempio, trovare un esperto della protezione dei dati tramite il TÜV Italia. Il TÜV è conosciuto e quindi affidabile.

È inoltre possibile contattare l’associazione professionale dei Responsabili della protezione dei dati  Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V. oppure l’associazione Federprivacy. Tramite queste organizzazioni puoi ottenere gli elenchi dei membri professionisti e prendere contatto con uno di loro.

È anche utile consultare amici e conoscenti che possono raccontarti le loro esperienze, positive o negative, con determinate aziende. In fondo, è importante che tu scelga qualcuno che sia competente, che ti sia gradevole e con il quale poter costruire una buona e duratura cooperazione sulla base di reciproca fiducia. 

Quali qualifiche deve avere il DPO? 

Le qualifiche richieste al Data Protection Officer sono menzionate nell’articolo 37 (5) GDPR: “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.”

Inoltre, il considerando 97, relativo all’articolo 37, aggiunge, alla conoscenza specialistica che il ruolo richiede, conoscenze specifiche sulle operazioni di trattamento e protezione dei dati personali utilizzati. 

Quali ambiti di competenza deve coprire? 

I compiti che il Responsabile della protezione dei dati deve svolgere, nel corso della sua attività, sono descritti dettagliatamente nell’articolo 39 del GDPR. Questi includono, per esempio: 

  • Informare e fornire consulenza al titolare del trattamento e ai dipendenti.
  • Sorvegliare l’osservanza del Regolamento GDPR.
  • Fornire un parere in merito alla valutazione d’impatto.
  • Cooperare con l’autorità di controllo.
  • Fungere da punto di contatto per l’autorità di controllo.

Di conseguenza, la sua attività è piuttosto ampia e interdivisionale. È quindi un vantaggio se ha profonde conoscenze sia in questioni legali, sia organizzative che di programmazione IT. (scarica il nostro e-Book

A proposito: giacché il responsabile della protezione dei dati è pur sempre un essere umano che potrebbe commettere un errore, sarebbe bene se verificassi se ha un’assicurazione di responsabilità civile. Tale assicurazione coprirebbe, nella peggiore delle ipotesi, i danni che potrebbe causarti.

https://www.garanteprivacy.it/regolamentoue/rpd

Come scelgo il giusto RPD? 

A questo punto, non soltanto devi selezionare un Responsabile della Protezione dei Dati esterno qualificato, ma devi anche valutare altri aspetti. In particolare, da quale ambito professionale dovrebbe provenire il DPO? Dovrebbe essere un avvocato o uno specialista IT? E infine, il professionista più economico è sempre peggio di un esperto più costoso? 

Chi è meglio come DPO: un avvocato o uno specialista IT? 

Sul mercato sono disponibili diversi corsi certificati, ma non è prevista una formazione obbligatoria per i Responsabili della Protezione dei Dati (RPD). La tua scelta potrebbe quindi orientarsi verso un avvocato che sicuramente padroneggia perfettamente la parte legale della gestione dei dati. 

Oppure, potresti optare per uno specialista IT che conosca molto bene i Software, l’Hardware e i vari programmi. Ma la gestione della privacy è principalmente organizzazione piuttosto che programmazione tecnica, motivo per cui non è nemmeno possibile sfruttare appieno la conoscenza approfondita dello specialista IT. 

Attenzione: Il tuo fornitore usuale di servizi IT, che arriva quando la tua stampante smette di funzionare o i tuoi dati nel sistema sono scomparsi, non può diventare contemporaneamente il Responsabile della Protezione dei Dati perché gli mancano l’obiettività e la neutralità necessarie. Infatti, ovviamente preferirà i programmi e i processi da lui introdotti, e quindi potrebbe trascurare soluzioni alternative. 

L’avvocato sembrerebbe quindi la scelta migliore in quanto i rapporti con le autorità di controllo si svolgono molto sul piano legale. Ricorda che sono richieste una conoscenza e esperienza specificache non si possono apprendere attraverso un semplice corso di formazione. Per contro, un avvocato purtroppo non ne sa abbastanza di problemi informatici o di misure organizzative di protezione. Pertanto, un fornitore di servizi che copre tutte le discipline e ti offre un team qualificato di avvocati e specialisti IT è la scelta migliore per te. Grazie a questo backround, il fornitore di servizi può fornire la riposta o la soluzione legale o tecnica giusta in ogni situazione. 

Meglio un DPO economico o uno costoso?

Questa domanda è molto popolare, ma qual è il tuo limite personale tra economico e costoso? Ci sono buoni Data Protection Officer economici e cattivi professionisti costosi, quindi per te dovrebbe essere logico scegliere l’intero pacchetto. Ma devi tener conto del fatto che l’istruzione e la formazione continua dei bravi Data Protection Officer non è economica! Un esperto che investe costantemente nella propria istruzione non può offrirti prezzi ridicoli. Semplicemente, non sarebbe conveniente per lui. Prezzi troppo bassi dovrebbero indurti a riflettere. 

Pensa ad un buon avvocato che dovrebbe salvarti dalla prigione. Certamente di fronte a tale possibile punizione (che, in senso figurato, nel GDPR è rappresentata da una enorme multa), ricercheresti il migliore difensore e, se necessario, senza badare a spese! È sempre pericoloso scegliere un partner solo per risparmiare, perché ciò alla fine ti può costare caro. 

In ogni caso dovresti prestare attenzione a:

  • Che cosa ti viene offerto per i tuoi soldi? 
  • Il fornitore di servizi è sufficientemente qualificato e ha molti anni di esperienza pratica e approfondite conoscenze specialistiche? 
  • È sempre reperibile per te? 
  • Ti consiglia in modo esaustivo e comprensibile e ti offre un buon servizio personale oltre ad un supporto telefonico e via e-mail? 

L’agonia della scelta – possiamo convincerti?

Se non sei sicuro su quale sia il fornitore di servizi esterno più adatto a te, allora lasciati semplicemente consigliare da noi

Noi ti possiamo aiutare in ogni caso, indipendentemente dalla tua decisione. Nel nostro team abbiamo membri esperti e con conoscenze sia giuridiche sia tecniche professionali. Quindi potrai beneficiare in ogni caso della collaborazione di entrambi! Inoltre possiamo fornirti il tuo Responsabile per la Protezione dei Dati (RPD) oppure formare i tuoi collaboratori, se desideri sceglierne uno tra i tuoi dipendenti adatto per questo ruolo.

Per individuare le aree di copertura dell’adeguamento al GDPR da parte del titolare, puoi chiedere il nostro SCHEMA DI VERIFICA. clicca qui

Una cooperazione di fiducia e a lungo termineuna reperibilità costante e un buon servizio sono per noi di dovere. Il nostro team, composto da molteplici esperti, offre numerosi servizi e diversi corsi di formazione inerenti al GDPR, tutti fruibili con la formula “chiavi in mano”. Siamo felici di spiegarti, in un colloquio personale, i nostri servizi e soluzioni su misura per le tue esigenze!

gestione privacy

La corretta gestione della privacy in azienda: come farla bene e guadagnarci anche

Adeguare la propria attività al GDPR può essere una vera e propria benedizione oppure essere soltanto un fastidioso obbligo.

Le novità del GDPR per la corretta gestione della privacy sono state recepite dalle aziende come complicate e la loro implementazione è stata lunga e fastidiosa. Ma dal momento che si tratta di una legge che prevede sanzioni elevate in caso di inosservanza, i proprietari delle aziende non hanno avuto altra scelta che prendersene cura. Inoltre, hanno dovuto anche assolvere il compito di monitorare regolarmente i processi di protezione dei dati, adattarli continuamente e aggiornarli mediante adeguate misure di sicurezza tecniche e organizzative.

Ma la Privacy non è una nuova invenzione e rappresenta, soprattutto per gli utenti e i clienti, più che altro è una benedizione perché la loro privacy è ora molto più protetta. Tuttavia, è proprio vero che per le aziende la protezione dei dati è soltanto un fastidioso obbligo o porta forse anche dei benefici? E se sì, quali sono?

La privacy è davvero un peso per te?

È comprensibile che per un titolare d’azienda la corretta gestione della privacy e i nuovi obblighi e requisiti del regolamento, implementati con elevati costi e impegno lavorativo possono essere considerati come svantaggi. Dopo tutto, devono essere osservati una serie di obblighi e, soprattutto per il marketing e la pubblicità, ne derivano grosse limitazioni. Infatti, poiché il cliente deve acconsentire ogni singola azione, la raccolta dei dati e la pubblicità non possono più essere eseguite cosi facilmente. 

La situazione sarà ulteriormente aggravata dall’introduzione del previsto regolamento europeo e-Privacy che sostituirà la direttiva 2002/58/CE (o legge sui cookie) applicata ancora oggi e “complementare” al GDPR, specificando e regolamentando ulteriormente le comunicazioni elettroniche. La situazione quindi è disperata? No, assolutamente! Se pianificato e gestito correttamente, l’e-privacy determina anche dei vantaggi per le aziende.

Quali benefici può trarre la mia azienda da una buona protezione dei dati?

Ridurre i costi e aumentare l’efficienza

Poiché hai già sviluppato un buon concetto di protezione dei dati per implementare il GDPR nella tua azienda, puoi ottimizzare i processi di lavoro che, con l’aiuto dell’RPD (Responsabile della protezione dei dati) che hai dovuto nominare, sono costantemente monitorati e ottimizzati. Di conseguenza, i tuoi processi possono essere ben modernizzati e costantemente migliorati.

Grazie a processi più snelli ed efficaci possono persino essere ridotti i costi.  Non solo attraverso un lavoro più efficiente, ma anche perché ex dipendenti, concorrenti o clienti non avranno motivi per segnalarti alle autorità di controllo ed esporti al rischio di multe salate.

Proteggi i segreti commerciali e migliora il marketing

Se i tuoi dipendenti sono sensibilizzati all’argomento attraverso una formazione specifica, potrai evitare molti errori sin dall’inizio.

Si aggiunge il fatto che puoi controllare al meglio i  “flussi d’informazioni non autorizzati” e cercare di contenerli al massimo. Conosci anche tu il comportamento dei noti “Whistleblowern” (informatori) che proclamano informazioni politicamente esplosive tramite i media? Simili personaggi possono essere tenuti alla larga, dalla propria organizzazione, con una politica sulla privacy ben funzionante. Solo così le aziende potranno anche proteggere i propri prodotti e le informazioni sui clienti e sui dipendenti dalla concorrenza astuta e talvolta sleale.

Soprattutto, se nel tempo ti sei anche costruito un buon management dei dati, avrai sviluppato una elevata protezione dallo spionaggio industriale. In altre parole sei in grado di proteggere i tuoi affari e segreti commerciali.

La gestione del tuo marketing è più complicata? Beh, fino ad ora hai semplicemente raccolto dati generici, ma ora lavori con dati attuali, aggiornati e, soprattutto, realmente utilizzabili. E gli interessati che ti permettono di usare i loro dati sono quelli sui quali puoi concentrare e indirizzare la tua pubblicità con lo scopo di convertirli in clienti.

Costruisci fiducia e una buona reputazione

La corretta gestione e il trattamento conforme dei dati dei tuoi clienti contribuiscono a creare un’immagine positiva della tua azienda. Quindi, non è proprio un vero svantaggio per te, giusto?

Tutti questi punti alla fine, ti permettono di assumere una posizione di fiducia sia all’interno sia all’esterno della tua azienda. Ciò ti garantisce la cooperazione e la fiducia a lungo termine di dipendenti e clienti, come pure di fornitori e partner commerciali.

Tuttavia, il raggiungimento di questo obiettivo richiede una buona pianificazione strategica, un monitoraggio continuo e opportune ottimizzazioni. Per questo compito complesso spesso l’RPD e il titolare si avvalgono del supporto esterno di fornitori di servizi competenti che possiedono già familiarità ed esperienza sull’argomento.

Come puoi portare, nella tua azienda, la Privacy su una buona strada?

Come dimostrano i vantaggi sopra elencati, la corretta gestione della privacy non è solo un peso, ma un’eccellente opportunità per mettere te e la tua azienda in buona luce, sia internamente che esternamente. E la migliorata protezione dei segreti aziendali è comunque molto importante per i tuoi interessi. Certamente non vuoi perdere né prodotti né clienti a favore della tua concorrenza. Ma come puoi proteggerti al meglio?

Dovresti concentrarti su 4 punti

1. Prima di tutto, dovresti esaminare attentamente tutti i flussi di lavoro interni. C’è sempre qualcosa che si può migliorare, sia per la protezione dei dati e del loro trattamento, sia per velocizzare i processi e di conseguenza per risparmiare sui costi. In questo ti possono aiutare i tuoi dipendenti, comunicandoti informazioni su ciò che riscontrano quotidianamente e suggerendoti gli eventuali cambiamenti da implementare. Ovviamente i processi non devono essere migliorati limitatamente ai singoli reparti bensì essere funzionali per tutta la tua azienda.

2. Dovresti quindi aggiornare i tuoi dipendenti in modo che i processi che vorrai cambiare siano interamente compresi e applicati da tutti i collaboratori. Per tale formazione puoi rivolgerti ad esperti che istruiscono il tuo staff direttamente presso la tua azienda e su misura per le tue esigenze. 

3. Affinché la privacy influenzi positivamente la tua immagine aziendale, devi rendere pubblico il tuo modello di gestione. Menzionalo sul tuo sito internet, nelle interviste, nei volantini o nelle newsletter.

4. Da ultimo, ma non meno importante, dovresti considerare se adoperi già un buon sistema di gestione dei dati oppure installarne uno migliore. Poiché tanti processi importanti per il tuo sistema di DSMS lo sono anche per il GDPR e l’atteso regolamento e-privacy, risulterà molto pratico risolvere e implementare, in futuro, tutti i punti contemporaneamente.

Come possiamo aiutarti ?

Sappiamo quanto, adeguarsi a tutti gli obblighi del GDPR, possa essere complicato e richiedere molto tempo, e per questo, noi di WB Trade-it saremo lieti di assisterti con la nostra esperienza e competenza nel settore. 

Il nostro personale competente ti aiuta costantemente con consultazioni e analisi, così come con l’introduzione dei nuovi processi, perfettamente adatti alla tua situazione. Inoltre, i nostri collaboratori sono abili ed esperti formatori e potranno istruire il tuo personale in vari settori. Siamo anche il tuo partner giusto per migliorare l’immagine aziendale e, insieme a te, possiamo sviluppare progetti concreti per consentirti di effettuare piani pubblicitari efficaci.

Se risconti che anche soltanto un tassello manca ancora e desideri risolvere tutte le eventuali criticità, clicca qui sotto e prenota la tua consulenza.

dpo data privacy officer

Quanto costa un DPO?

Come valutare i costi e le competenze di un DPO?

La normativa GDPR chiede, come ormai noto, una serie di adempimenti normativi per garantire la protezione dei dati personali. Fra le misure da considerare risulta anche la scelta e nomina di un DPO (Data Protection Officer). La 1.domanda che ci viene posta, ancora prima di verificare se tale figura sia d’obbligo è: quanto costa un DPO? Sebbene non per tutte le organizzazioni la nomina sia obbligatoria, è altamente consigliabile farsi assistere da un professionista. Ebbene si, anche qui il titolare ha la scelta. Può individuare all’interno una figura competente in materia oppure può incaricare un consulente professionista esterno. Analizziamo quindi brevemente il ruolo del DPO e le competenze correlate, in modo da valutare come procedere nella determinazione del compenso secondo le tariffe di mercato e le possibili forme contrattuali.

Quali sono le competenze del DPO e come valutare quanto costa

La figura del DPO, in italiano Responsabile per la protezione dei dati, è disciplinata dal Regolamento 16/679. Tale figura professionale viene posta come consultiva per informare e consigliare il Titolare del trattamento sugli obblighi derivanti dal Regolamento europeo e dalle altre disposizioni dell’Unione in materia. Il DPO ha anche un ruolo di verifica riguardo gli aggiornamenti che l’Unione Europea emette. Inoltre è coinvolto nella formazione e sensibilizzazione del personale che elabora i dati personali. Per le attività a lui assegnate e le competenze richieste, rappresenta una figura di alto spessore professionale, continuamente aggiornato e con una considerevole esperienza. Infatti, il DPO deve avere competenze multidisciplinari che abbraccino gli ambiti:

  • legali, per quanto riguarda le normative sulla privacy
  • organizzative, per quanto riguarda i processi e procedure della corretta e proficua gestione dei dati
  • tecnico-informatico, per quanto riguarda la sicurezza dei sistemi, la protezione e la gestione, trasmissione, stoccaggio e recupero dei dati
  • manageriale, per quanto riguarda l’analisi di rischio, la pianificazione by design, la comunicazione efficace e l’orientamento agli obiettivi. 

Quali sono le tariffe per stabilire il costa del DPO

Come in ogni altro ambito professionale, anche la valutazione del costo di un DPO dipende da diversi fattori. Poiché non è pensabile che possa esistere un “tariffario” generale giusto per tutte le situazioni. Perché sarebbe molto caro per le realtà piccole e tanto economico per grandi gruppi d’aziende. Il costo quindi, dovrà essere commisurato alle diverse realtà aziendali. Inoltre, la scelta di nominare un DPO con o senza il vincolo di esclusività può incidere significamente sul costo. Viceversa, avere un DPO, interno o esterno, dedicato alla propria organizzazione implica la scelta di un profilo con competenze specifiche relative al proprio settore aziendale. È chiaro che ciò influenza anche il compenso del Data protection officer.

Tutto compreso o tutto extra?

Se il tariffario comprende anche gli audit, la verifica delle competenze dei dipendenti, e tutte le altre attività periodiche richieste al DPO, il costo potrebbe essere ancora più alto. Poiché in generale vi sono diversi fattori da considerare per una giusta valutazione. Infatti, la tariffa può non essere fissa ma correlata al tipo di intervento che il DPO deve operare nell’azienda. Quindi una quota minima fissa per la consulenza nonchè reperibilità costante alla quale si aggiungono i costi variabili a seconda:

  • del tipo, la grandezza e l’attività che svolge l’azienda
  • il numero dei dipendenti, la complessità dei trattamenti
  • la tipologia e la quantità dei dati trattati, le procedure operative aziendali
  • la presenza di un sistema di gestione certificativo
  • il tipo di infrastruttura IT abilitante e la potenziale esposizione dell’azienda a rischi di Data Breach. 

Non meno importanti sono le indicazioni dall’Autorità Nazionale Anticorruzione (ANAC). L’Autorità specifica per le PA il ricorso ad appalto di gara per l’assegnazione del servizio DPO con “la previsione di una durata del contratto che sia congrua rispetto agli obiettivi individuati e alle prestazioni richieste al contraente”. Ciò significa, come spiega il presidente ASSO DPO, Matteo Colombo, che si rende necessario “predisporre gare con più lungimiranza, ad esempio senza più prevedere un affidamento per un DPO esterno per un solo anno, ma pluriennale: in questo modo il Data Protection Officer può svolgere meglio il suo lavoro”.

Servizi minimi richiesti al DPO

La scelta di un DPO che possiede specifiche competenze tecniche e giuridiche si basa su quanto esposto nell’art. 39 GDPR. Vediamo quindi alcuni dei servizi minimi richiesti al DPO, elencati nell’articolo 39:

  • sorvegliare l’osservanza del GDPR, nonché delle ulteriori normative sul trattamento dei dati personali;
  • provvedere alla formazione del titolare/responsabile del trattamento e del personale deputato al trattamento dei dati personali;
  • fornire un parere in merito alla Valutazione d’impatto sulla protezione dei dati ex art. 35 GDPR e sorvegliarne lo svolgimento;
  • fornire un parere in merito a ulteriori questioni di volta in volta poste alla sua attenzione da parte del titolare/responsabile;
  • fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento di dati e, ove necessario, effettuare consultazioni presso l’autorità garante.

E’ evidente che la complessità di tali compiti sia strettamente dipendente dalla dimensione e dalla tipologia dei trattamenti posti in essere. Di conseguenza, come spiegato prima, influenzerà inevitabilmente anche il compenso annuale del DPO.

Un DPO unico oppure un team di esperti GDPR?

In situazioni particolarmente complesse, è opportuno valutare il coinvolgimento di un team di esperti nel GDPR, piuttosto di nominare un singolo DPO. In effetti, il titolare può anche optare di costituire una vera e propria task force di esperti. Il team, lavorando congiuntamente con il DPO possono insieme garantire la compliance al GDPR. Il titolare può scegliere quindi di:

  • Costituire un team di esperti all’interno dell’azienda, che si occupa di seguire il processo di adeguamento al GDPR nel corso del tempo e inoltre comunichino col DPO sottoponendoli alla valutazione le scelte aziendali compiute e quelli da compiere.
  • Rivolgersi ad un DPO esterno, dotato di un proprio team di esperti, specialisti in ogni singolo settore. Ad esempio una società di consulenza che fornisce i servizi inerenti al GDPR, come elencati sopra.

La seconda ipotesi di scelta, è consentita dal GDPR, che permette al titolare e al responsabile di rivolgersi a società strutturate per ottenere i servizi richiesti dalla normativa europea.

I costi della compliance al GDPR

A questo punto dobbiamo fare luce sui costi della compliance al GDPR. È doveroso evidenziare che i costi connessi alla figura del DPO, ovviamente dotato di tutte le competenze specifiche in materia, nonché dei soggetti interni impegnati a garantire il rispetto della normativa, non siano da considerarsi “superflui”. Dobbiamo anche ricordare il fatto che gli stessi apportano al titolare e quindi all’azienda un valore aggiunto, nella maggior parte dei casi decisamente superiore al proprio costo. Le ragioni di questa affermazione?

  1. Un’impresa compliant alla normativa europea 679/16 è molto più competitiva sul mercato. Inoltre ingenera nel esistente e potenziale cliente maggiore fiducia rispetto alla concorrenza che, invece, non saranno in grado di fare altrettanto.
  2. La compliance al GDPR eviterà al titolare di incorrere in pesanti sanzioni previste dal Regolamento (di sicuro maggiori rispetto ai costi di adeguamento).
  3. Dati acquisiti e gestiti in modo compliant alla normativa europea rendono le azioni di marketing, acquisizione clienti, customer saddifacion decisamente più redditizi.
  4. Un’azienda compliant rafforza maggiormente la reputazione positiva che, nel caso di data breach, causato da una malagestione, potrebbe essere distrutta in un batti d’occhio.

Conclusioni

In questo articolo ti abbiamo fornito una carrellata di informazioni su come valutare le competenze e il costo del DPO. In più abbiamo evidenziato i vantaggi derivanti da un’oculata verifica e scelta del DPO e del team. È chiaro che una buona consulenza si basa anche, o sopratutto, su un’ottima comunicazione e intesa tra le parti. La fiducia nel confronto del DPO è fondamentale e rende la collaborazione efficace e proficua. L’obbiettivo di ogni impresa dovrebbe essere l’efficace e sano rapporto con il DPO e il team, la protezione dei dati di dipendenti e clienti, in virtù di salvaguardare la reputazione aziendale e di massimizzare la fiducia dei clienti. 

Ora tocca a te! Prova a valutare la tua situazione aziendale e metti in pratica uno o tutti di questi suggerimenti che ti abbiamo fornito in questo articolo al fine di migliorare la compliance della tua attività.

Siamo curiosi dei tuoi risultati… e a disposizione per chiarire i tuoi dubbi.