Valutare il compenso idoneo per retribuire un DPO esterno può rivelarsi complesso per le aziende. Non esistono tabelle o indicazioni ufficiali che standardizzino il costo in relazione alle diverse prestazioni svolte. Ogni professionista (o società di consulenza) ha la possibilità di proporre la cifra che ritiene più corretta per il proprio tempo e le mansioni richieste, una situazione che può condurre le imprese a scegliere in base al prezzo più basso trascurando qualità e competenze. Per evitare confusione, è utile approfondire il tema fornendo possibili parametri oggettivi di valutazione.
Come scegliere se affidarsi a un DPO interno o esterno? Clicca qui per scoprirlo!
Indice degli argomenti
Perché è difficile capire quanto pagare il DPO
Innanzitutto è bene ricordare che la figura del DPO può essere interna o esterna all’azienda. I problemi relativi all’equo compenso emergono principalmente in relazione al secondo caso, perché il DPO interno solitamente già viene retribuito dall’impresa di cui fa parte ed è inusuale che allo stipendio vengano aggiunti contributi extra per le attività legate a questo ruolo. A proposito delle cifre, ci sono una serie di indicazioni discordanti sul mercato. Nel mondo pubblico molte procedure di assegnazione dell’incarico sono state aspramente discusse, per incarichi caduti a pioggia con compensi bassissimi. Nel privato, il budget è ovviamente da valutare in base a quanto le aziende ritengono di investire, ma soprattutto in base al tempo a disposizione e all’impegno del professionista scelto.
È quindi difficile definire quale sia l’importo giusto: non è possibile creare standard al riguardo per la particolarità della mansione e le specificità richieste caso per caso. Di conseguenza, non mancano i rischi connessi a una valutazione errata. Per esempio, si può procedere ad ingaggiare il professionista che costa meno, ricevendo però prestazioni qualitativamente inferiori a quelle garantite da strutture più organizzate. Oppure, si può ritenere eccessivo il compenso richiesto da un DPO perché si sottovalutano le sue mansioni. In ogni caso, commettere un errore di valutazione può avere ripercussioni negative sulla gestione della privacy aziendale.
Le mansioni e le competenze
Per capire l’impegno del DPO esterno e valutare un adeguato compenso, bisogna tenere a mente i compiti assegnati a questa figura dal regolamento europeo GDPR. La mansione principale indicata è quella di controllo: è necessario quindi che il DPO esterno sia sempre informato prontamente su ogni cambiamento o attività dell’azienda, per valutarne gli aspetti relativi alla data protection. Un impegno costante quindi, che richiede una partecipazione frequente alla vita aziendale e quindi un grande impiego di tempo dedicato alla realtà imprenditoriale che si segue.
Inoltre, per svolgere al meglio questo compito, a volte non è sufficiente un solo esperto ma è opportuno rivolgersi ad un team. Questo perché il DPO è una figura multidisciplinare. Tipicamente è importante che abbia competenze giuridiche, ma sono necessarie anche conoscenze in ambito informatico e una consapevolezza delle tematiche relative alla cyber security nonché in materia di organizzazione aziendale. È quasi impossibile che tutto questo bagaglio esperienziale sia nelle disponibilità di una sola persona. Per questo è utile rivolgersi a strutture organizzate che offrono team di esperti pronti ad assumere il ruolo di DPO e portare contributi legati alle proprie competenze.
La natura poliedrica di questa figura è dettata anche dall’assenza di un percorso univoco di studi. Molti DPO vengono dalla Giurisprudenza, forse l’aspetto più importante da considerare nello svolgere il ruolo. Tuttavia, esistono numerosi percorsi di formazione nonché certificazioni, che però non sono da ritenere obbligatorie (infatti non sono previste dal GDPR come requisito). Anche in questo caso quindi manca uno standard di riferimento; il costo delle prestazioni non è certamente legato al titolo di studio o a eventuali riconoscimenti. È ovvio però che, come in qualsiasi ambito professionale, un esperto è possibile venga maggiormente considerato affidabile e preparato in base ai riconoscimenti accademici e lavorativi raccolti durante la sua carriera e quindi potrà approcciare il mercato chiedendo valutazioni maggiori del proprio impegno.
Compenso DPO esterno, i consigli per valutare
Per definire il giusto compenso per il DPO esterno, le aziende possono tenere conto di tre aspetti:
- L’impegno complessivo richiesto al professionista (o al team di esperti), considerando le ore di lavoro necessarie, calcolate anche in base alla dimensione e complessità organizzativa dell’azienda (numero di legal entities italiane ed estere, eterogeneità del business) e delle tipologie di trattamento di dati personali (es. esposizione B2B, categorie particolari di dati);
- Il livello di professionalità necessario alle proprie esigenze aziendali. È indiscutibile che sul mercato non tutti sono preparati allo stesso modo, è vantaggioso per le imprese scegliere un team o un singolo professionista le cui competenze e prestazioni siano adeguate alle proprie necessità. Bisogna infatti valutare oggettivamente il livello di complessità in tema data protection della propria realtà e scegliere. Questo consente di ottimizzare i costi.
- In quest’ottica, non bisogna certo sottostimare le esigenze aziendali ma nemmeno esagerare, vedendo problemi dove non ci sono. Ci vuole un approccio equilibrato.
Questi aspetti possono condurre alla scelta del professionista più adeguato alle proprie esigenze. Il quale, proponendosi al mercato, dovrà stare attento a non commettere l’errore di “svendere” le proprie prestazioni, offrendosi di ricoprire l’incarico a un prezzo troppo basso rispetto all’impegno richiesto. Le conseguenze di tale imprudenza infatti possono ripercuotersi sulla qualità del lavoro svolto.
