Sarebbe più facile dire quanti angeli possono danzare sulla punta di uno spillo che capire quanto costa un DPO. E restando in tema, il mercato dei servizi di data protection è stato – eufemisticamente parlando – piuttosto ballerino. Insomma: non è un segreto che dal 2016 che abbiamo assistito ad una serie di azioni confuse e ad una mancata azione di controllo da parte del Garante Privacy.
Tutto questo ha portato ad una totale confusione dei prezzi, molto probabilmente sollecitata o stimolata da una chiara e nota volontà di rendere il settore legale appannaggio dei soliti grandi prezzolati. Ovverosia: Studi o società di consulenza con la vocazione di fare produzione seriale ed elefantiaca di documentazione avvalendosi della forza lavoro di laureati con 110L malpagati e spesso trattati come dipendenti di serie B ma con P.IVA. A questi si sono affiancati anche i migliori predoni che con delle spregiudicate offerte al ribasso (tanto dei prezzi che della qualità di servizio) hanno saputo accumulare centinaia di incarichi, per lo più nel settore pubblico che continueremo sempre a ringraziare per la lungimiranza di adottare il criterio dell’offerta economicamente più vantaggiosa. Cosa dire poi con le associazioni di categoria che han fatto mercimonio di sgangherati kit GDPR-fai-da-te per monetizzare sull’ignoranza degli associati? Ecco. Meglio tacere.
Insomma: c’è stata una tempesta perfetta. Ma se si ha idea di cosa il DPO deve fare, è facile quanto meno saper distinguere delle offerte credibili.
DPO as-a-service? Ma perfavore.
Diciamolo in premessa: un DPO as-a-service è una ca**ata colossale. Può valere solo per farsi pubblicità impiegando un termine fancy e fare i poser, ma far passare la funzione come regolabile dal titolare del trattamento è un errore fondamentale. Una forzatura pari al voler mettere il cilindro dentro il buco della stellina nel gioco a incastro per bambini. Il DPO infatti agisce e deve agire in posizione di indipendenza ed autonomia nello svolgimento della propria funzione. Lo dice in modo chiaro l’art. 38.3 GDPR, ribadito inoltre dalle linee guida del WP29/EDPB.
Come assicurare tale autonomia ed indipendenza soprattutto nello svolgimento della funzione di sorveglianza se lo si rende praticamente un’icona cliccabile al bisogno? Sarebbe confinato ad un ruolo esclusivamente reattivo e “a chiamata”. Insomma: lo si relega ad essere in pratica un NPC, un personaggio non giocante di quelli brutti e facilmente ignorabili.
Tanti auguri a tutti i geni che hanno avuto questa idea a dimostrare il rispetto della designazione in caso di approfondimenti istruttori. Mentre per le organizzazioni che si sono fatte illudere da una scintillante soluzione glitterata…spiaze tanto.
Dopodiché se con as-a-service si intende che c’è una fatturazione a consuntivo di attività svolta…che dire se non: wow, avanguardia pura?
Il preventivo: ecco quanto costa un DPO!
Parliamoci chiaro: un buon DPO non costa molto; un cattivo DPO sì. Il primo agevola l’organizzazione nel raggiungere gli obiettivi di compliance, mentre il secondo vuole imporre i propri modelli, opera in modo difensivo vietando di fare ogni cosa o gira la testa da un’altra parte in caso di illeciti. E saprà ben tutelarsi in caso di pretese risarcitorie dopo delle sanzioni, perché dopotutto potrebbe rispondere solo per dolo o colpa grave. Tanto basta dire di non essere stato adeguatamente coinvolto.
Ma quanto costa un servizio DPO? Poiché sono richieste qualità professionali, nonché la capacità di assolvere i compiti indicati dal GDPR, ecco i due parametri da prendere come indicatori e a cui applicare il tariffario del professionista.
Un buon suggerimento è definire in via contrattuale dei livelli minimi di servizio, quali ad esempio:
(i) giornate di presenza;
(ii) tempi di risposta a quesiti/consulenze;
(iii) tempo di rilascio parere in caso di data breach;
(iv) presenza in caso di richieste/istruttorie dell’Autorità Garante.
da cui dedurre già un costo indicativo. Dopodiché si aggiunge il prezzo ulteriore per le giornate extra, o anche per tutti i servizi non rientranti nel novero di compiti di cui all’art. 39 GDPR.
Et voilà. Il preventivo è servito.
