È sempre vivace fra gli addetti ai lavori nel campo della data protection il dibattito su quali siano il ruolo e le responsabilità di un DPO. Nella possibile varietà di configurazioni, possiamo semplificare la tipizzazione a due diverse impersonificazioni della figura: il DPO “che fa”, ovvero che è investito anche dell’incombenza di attività operative (senza ovviamente sostituirsi al Titolare nelle decisioni su finalità e modalità dei trattamenti di dati personali) e il DPO “che non fa”, ovvero che svolge eminentemente un ruolo di advisor del Titolare. Naturalmente poi esistono infinite gradazioni intermedie, ma ai fini del nostro ragionamento sarà sufficiente prendere in considerazione i due casi estremi.
Nel primo caso, il DPO assume direttamente una serie di incombenze, quali (a titolo di esempio non esaustivo):
- definire un piano di audit e svolgerlo in proprio;
- monitorare lo stato di avanzamento dell’adozione dei piani di remediation emersi in seguito ai controlli effettuati;
- raccogliere periodicamente le informazioni atte ad alimentare il processo di aggiornamento del registro del trattamenti e provvedere all’aggiornamento stesso;
- pianificare ed erogare la formazione privacy per le diverse fasce della popolazione aziendale e verificarne l’efficacia;
- aggiornare periodicamente l’analisi dei rischi e verificare se le misure di sicurezza tecniche ed organizzative adottate continuano ad essere adeguate;
- vigilare che tutte le nuove iniziative, di business o di infrastruttura, siano preventivamente vagliate anche dal punto di vista della data protection, in ottica privacy by design.
Un ruolo di questa complessità dovrà necessariamente essere ricoperto da una figura a tempo pieno, almeno in aziende sopra i 250 dipendenti. Sotto tale soglia può essere anche un part-time al 50%, ma per certe attività dovrà prevedere di potersi appoggiare comunque a risorse aggiuntive.
Nel secondo caso, per le attività operative che il DPO ritiene necessarie ma non eroga personalmente (registro, DPIA, sorveglianza, e simili) devono essere ingaggiate in misura rilevante altre strutture interne o esterne.
La figura può anche non essere a tempo pieno, condividendo altre responsabilità, purché le stesse non configurino un conflitto di interesse fra i ruoli di controllato e di controllore. L’impegno dipende dalla complessità dell’organizzazione e dalla disponibilità di altre funzioni (Privacy Manager, Compliance, Internal Audit, Risk Management) sulle quali poter far conto per condividere parte delle attività delegabili.
Indice degli argomenti
La necessità di un team DPO
In entrambi i casi va considerato il fatto che nessuna persona fisica dispone di tutte le competenze specialistiche richieste (dalla competenza legale a quella in cybersecurity), per cui in ogni caso una sola persona non sarà in grado di coprire adeguatamente tutte le esigenze ma dovrà necessariamente fare ricorso ad un team DPO.
Nel caso di una soluzione interna, questa esigenza può portare ad immobilizzare risorse (anche pregiate) in vista del loro utilizzo su attività che sono solo in parte ricorsive e pianificabili, essendo necessario prevederne la disponibilità anche in caso di eventi non previsti ma prevedibili (data breach, richieste massive di esercizio di diritti da parte di interessati, visita ispettiva dell’Autorità garante, e simili).
Il ricorso al servizio di esternalizzazione del DPO offerto da un fornitore esterno consentirebbe di ottimizzare su più contratti la rotazione di queste risorse specialistiche, impegnandole alla bisogna sui diversi clienti senza immobilizzarle quando risultano superflue, né subirne la scarsità quando servono.
La dimensione del costo
La valutazione del costo complessivo che l’azienda dovrà sostenere per coprire con una soluzione interna il ruolo di DPO deve tenere conto quindi di tutte queste diverse esigenze:
- esercitare con sufficiente autorevolezza il ruolo formale nei confronti di tutti gli stakeholders interni ed esterni;
- svolgere efficacemente attività operative e documentarle compiutamente in termini di accountability;
- coprire adeguatamente tutte le competenze ed essere in grado di accedere al necessario aggiornamento costante delle competenze stesse.
Nella configurazione “ampia” richiesta da grandi organizzazioni o gruppi di aziende, potrebbero essere necessari almeno 2 FTE per costituire il team: un DPO a tempo pieno, con il supporto di una risorsa legal ed una di security, entrambe condivise con altre funzioni. Ricordiamo inoltre che la collocazione in organigramma a riporto del CdA/AD comporta che il DPO dovrebbe essere una figura con le caratteristiche e le capacità (anche se non necessariamente il “rango”) di un C-level (con costo conseguente). Non vanno poi dimenticati i costi di formazione e aggiornamento permanente, da prevedere come necessari perché il DPO possa svolgere adeguatamente la sua funzione, e per l’accesso alle fonti normative nazionali ed internazionali. Inoltre bisognerà aggiungere al computo i costi di eventuali audit commissionati a terzi o ad altre funzioni interne.
Per realtà meno complesse, come dimensioni o per la limitata portata del trattamento di dati personali nei processi aziendali, occorre prevedere comunque un minimo di 1 FTE: un DPO part-time più il supporto di varie figure interne. Teniamo tuttavia conto del fatto che realtà meno strutturate, come quelle che potrebbero pensare di dotarsi di un DPO meno “attrezzato”, potrebbero mancare della presenza di altre strutture specialistiche (es. CISO o Compliance) in grado di assorbire efficacemente alcune delle attività che il team dedicato non fosse in grado di svolgere.
A questo punto dovreste essere in grado di fare il calcolo del costo per gestire internamente la funzione del DPO. Ovviamente le retribuzioni e i costi di struttura variano da azienda a azienda in base a diversi fattori quali la dimensione o il settore industriale di appartenenza. Per le PMI, si può pensare ad una RAL di 60-80k€ per la persona del DPO (a cui aggiungere le retribuzioni delle altre figure che contribuiscono alla composizione del team). Per le aziende medio-grandi, la RAL per un ruolo al livello di quello del DPO può arrivare anche a 80-100k€ (sempre al netto delle figure di supporto all’interno del team). In entrambi i casi sarà opportuno considerare anche un 10% di costi aggiuntivi (benefit) e di struttura: anche se ormai lavoriamo tutti agilmente da remoto, la maggior parte delle aziende continua a sostenere costi per uffici, reception, segreterie, centralini, asset informatici e assistenza utenti.
Contributo editoriale sviluppato in collaborazione con P4Ihub.
