Quanto costa un DPO per una struttura scolastica? Spesso troppo poco, portando alla luce una sproporzione tra gli incarichi assegnati e il compenso.
Lampante la vicenda di una determina di affidamento diretto dell’Istituto Comprensivo “Leopoldo Perco” di Gorizia-Lucinico che ha saputo sorprendere non poco alcuni operatori e consulenti della data protection con la cifra di 549 euro all’anno. Approfondiamo l’argomento alla luce di questo caso.
Indice degli argomenti
La determina dell’istituto Leopoldo Perco
Già all’interno della determina a contrarre due elementi saltano all’occhio. La data di avvio della procedura di selezione per un esperto deputato alla “gestione adempimenti” per la materia della protezione dei dati personali: il 24 ottobre 2019 è piuttosto distante dall’applicazione del GDPR (25 maggio 2018) e del d.lgs. 101/2018 (19 settembre 2018).
È da notare però che in caso di esigenze maggiormente urgenti ed importanti per impegnare il budget dell’istituto scolastico, giova il considerando n. 4 GDPR secondo cui: “Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”.
Secondo ma non meno importante è però lo stanziamento di un compenso massimo di 550 euro con offerte al ribasso per l’affidamento dell’incarico annuale. All’interno dell’avviso di selezione, viene poi presentato un contesto dimensionale non proprio modesto e contenuto (736 alunni, 93 docenti e 20 ATA distribuiti su 10 sedi) in relazione al quale deve essere svolta un’ampia serie di attività così dettagliata:
- Assunzione ruolo e responsabilità di Responsabile della Protezione dei Dati;
- Mantenimento, aggiornamento e gestione degli adempimenti con assessment, predisposizione/aggiornamento dei Registri delle attività di trattamento, svolgimento della valutazione di impatto sulla protezione dei dati, analisi dei rischi, individuazione delle misure di sicurezza e stesura del relativo piano attuativo, revisione di processi e modulistica, predisposizione informative, lettere di nomina, procedure operative e regolamenti;
- Monitoraggio continuo del livello di sicurezza mediante modelli MMS e KPI;
- Dodici scansioni di vulnerabilità su sito web e su registro elettronico;
- Corsi di formazione specialistica con due sessioni centralizzate (della durata media di circa due ore), due interattive a distanza (della durata di almeno un’ora e mezza), 20 ticket “per porre quesiti di qualsiasi tipo” con risposta garantita entro tre giorni.
La sproporzione
Sussiste anche il timore che alcune attività elencate possano generare un rischio di conflitto di interessi (ad esempio: la stesura del piano attuativo delle misure di sicurezza. Per un approfondimento sul punto, si rinvia all’art. 38.5 GDPR e alle Linee Guida sui responsabili della protezione dei dati WP243) o criticità per un’efficace sorveglianza (come lo svolgimento della DPIA). Ma oltrepassando ciò, è di chiara e lampante evidenza la sproporzione fra compenso (massimo) e complessità dell’incarico.
Questo però non è un caso isolato, e viene da chiedersi se il problema non sia una diffusa carenza di consapevolezza circa il valore della data protection. Forse bisogna iniziare a chiedere alle scuole “Quanto vale la privacy di mio figlio?”, consultare la sezione amministrazione trasparente e pretendere tutele adeguate.
