Responsabile della protezione (RDP)
Competenze e costi della figura professionale privacy
Con l’entrata in vigore del GDPR, dal 25/5/2018, si è resa obbligatoria per alcuni tipi di azienda la figura del DPO, un consulente altamente specializzato nella normativa e pratica in materia di protezione dei dati, capace di adempiere ai propri compiti.
Ci dovremmo pertanto trovare di fronte ad una figura di elevato livello professionale, di comprovata formazione, competenza ed esperienza, operante nel settore da diversi anni, e perennemente aggiornato.
Il responsabile della protezione dei dati deve essere designato in base alle sue qualità professionali, in particolar modo della conoscenza specialistica della normativa e delle prassi per la protezione dei dati, ovvero della sua capacità di assolvere ai compiti designati dall’art. 39 del GDPR.
Le mansioni indicate dal suddetto articolo sono:
- informare e fornire consulenza al Titolare, o al Responsabile, e ai suoi dipendenti che eseguono il trattamento dei dati, in merito agli obblighi derivanti dal nuovo Regolamento e da altre disposizioni dell’Unione o degli Stati membri relativamente alla protezione dei dati (cfr. art 35)
- sorvegliare che tali norme vengano rispettate, insieme alle politiche del Titolare o del Responsabile del trattamento in materia di protezione dei dati personali, compresi formazione e attribuzione delle responsabilità del personale che esegue i trattamenti o addetti alle attività di controllo
- laddove richiesto, fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati dell’introduzione di nuove tecnologie nel processo di protezione, e controllarne lo svolgimento ai sensi dell’art. 35
- cooperare con il Garante ed ogni organo di controllo avente l’autorità
- operare da punto di contatto con l’autorità per il controllo per tutte le questioni annesse al trattamento, tra cui la consultazione preventiva ai sensi dell’art. 36, e le consultazioni inerenti a qualunque altra questione.
Come si evidenzia dalle specifiche dell’art. 39, ci troviamo di fronte ad una figura che svolge prettamente attività di consulenza, ovvero predisposta ad informare l’azienda in merito agli adempimenti normativi previsti e sorvegliarne l’osservanza degli stessi, con relativa applicazione. Anche per questo è altamente sconsigliato che il DPO sia un dipendente stesso dell’azienda, ma una figura consulenziale esterna ad essa.
Se ne deduce pertanto che, in ambito di costi, non possa essere una tariffa fissa, ma correlata sempre al tipo di interventi che il DPO deve operare nell’azienda, essendo una serie di aspetti altamente variabili sia da azienda ad azienda, sia nel tempo per la stessa azienda, laddove opera cambiamenti della sua attività, anche lievi.
Se prendiamo in considerazione
- la grandezza dell’azienda,
- il campo in cui opera,
- il numero dei dipendenti,
- la complessità dei trattamenti effettuati dal Titolare,
- il tipo e la quantità di dati trattati,
- la versatilità delle procedure,
- la presenza di un sistema di gestione
- le infrastrutture IT,
- l’esposizione del sistema alle varie tipologie di Data Breach,
ci si rende conto come non sia possibile stabilire un costo forfettario per ogni azienda,ma che deve essere correlato a tutti questi, e molti altri, aspetti aziendali, valutati attentamente dopo aver conosciuto l’azienda in modo non superficiale come possa essere in un paio di incontri.
Di conseguenza, un DPO capace, consapevole e professionale non potrà mai stabilire una tariffa senza conoscere l’azienda ed avere eseguito almeno un Audit per conoscere meglio l’azienda e la tipologia di trattamenti effettuati. Chi si presenta a voi proponendo il servizio di Data Protection Officer a tariffa fissa, vi sta offrendo un servizio spesso scadente, solo per darvi una figura di “carta” e facendovi credere di essere compliant alla normativa.
Per concludere citiamo il Professor Francesco Pizzetti, docente di diritto all’Università di Torino e precedente Presidente dell’Autorità Garante della Privacy Italiana:
“Importante verificare che il DPO sia esperto in protezione dei dati e conosca bene il core Business aziendale. Il costo dipende poi da tutto questo. Sapendo che un buon DPO è un investimento anche se costa relativamente molto. Un cattivo DPO, soprattutto se incompetente, è un rischio gravissimo anche se (e soprattutto se) si fa pagare poco. Di solito vuol dire che sa di valere poco e comunque darà poco.”