DPO – Mansioni, Tariffe e Calcolo dei Compensi Riflessioni sul ruolo del Data Protection Officer secondo quanto previsto dal GDPR e ipotesi di calcolo del compenso

DPO - Mansioni, Tariffe e Calcolo dei Compensi

Nelle ultime settimane sto seguendo con grandissimo interesse il gruppo LinkedIn GDPR Italia – Operatori e Consulenti, di cui ho già avuto modo di parlare in questo articolo e che domani, Venerdì 29 giugno 2018, ospiterà al Palazzo dei Ciechi di Milano la sua prima convention (dedicata, inutile dirlo, a GDPR, Privacy e Data Protection).

Il gruppo, nato ormai da diversi mesi, ospita al suo interno migliaia di Privacy Officer, DPO, professionisti e operatori in ambito Privacy operanti su tutto il territorio italiano, ed è un’utilissimo compendium di risorse e informazioni per chiunque voglia approfondire le proprie conoscenze in materia o tenersi aggiornato. E’ facile immaginare come un gruppo del genere abbia vissuto il suo più intenso periodo di crescita e attività nel corso delle settimane che hanno preceduto il fatidico 25 maggio 2018, data corrispondente all’entrata in vigore del GDPR; a partire da quella data, le domande relative ai vari ambiti di applicazione della normativa hanno gradualmente ceduto il passo a una serie di richieste e informazioni inerenti agli aspetti legati al pricing connesso alle attività consulenza in materia di privacy, con particolare riguardo al ruolo del DPO.

How much?

Arriva quindi la fatidica domanda: quanto chiedere? Che tipo di compenso attendersi per una professione sul cui mansionario esistono ancora numerosi dubbi e perplessità, non solo e non tanto per chi la normativa l’ha studiata ma anche e soprattutto da parte del management incaricato all’ingaggio?

Come era verosimile immaginare, la realtà si è abbattuta come un macigno sulle aspettative dei tanti aspiranti DPO:

Bando per assunzione incarico secondo circolo didattico di Assemini (paese vicino a Cagliari) importo incarico euro 500, sino al 31 dicembre….. si rasenta davvero il ridicolo. Altro preventivo fatto a mio cliente laboratorio di analisi cliniche, 700 euro DPO per laboratorio e 200 per poliambulatorio. Ovviamente al mio cliente ho detto di affidarsi agli altri consulenti, io non ci penso neanche da lontano a prendere l’incarico a quei prezzi.

E ancora:

Giusto per creare interesse alla discussione …. sappiate che hanno offerto ad alcuni comuni della Liguria SERVIZIO ALL-PRIVACY (Formazione + Software + Consulente + DPO) a ……. 960 euro !! l’anno !! Giochiamo a chi fa meno? siamo al ridicolo o sbaglio?

E ancora:

Offerte TROPPO economiche, uccidere una professione sul nascere. […] ero d’accordo per svolgere compliance e assumere il ruolo di DPO per un’agenzia di recupero crediti della mia città […]. Qualche giorno dopo, prima che ci incontrassimo per firmare nomina e contratto il titolare mi chiama e scusandosi mi informa che hanno deciso di affidarsi ad un servizio in convenzione con l’associazione di categoria che offre compliance e servizio di DPO esterno per soli 1000 €. Ok che muovendosi in convenzione il prezzo può essere sicuramente più basso per via della quantità, ma 1000 € è troppo basso. […] Come si spiega quindi tutto ciò?

Houston, abbiamo un problema (anzi, due)!

Da questi interventi si può comprendere bene come la quantità di persone che stanno cercando di “fare cassa” con il GDPR, unita alla scarsità di informazioni documentate su una professione completamente inedita, abbiano portato il mercato a orientarsi su una linea che appare fin da subito quantomai bassa. Per i “nuovi arrivati” si tratta di una doccia fredda, ma chi già era al lavoro sulla Privacy ai tempi del DPS obbligatorio (ovvero pre-D. Lgs. 5/2012 del 9 febbraio 2012) o chi ha o ha avuto la “sfortuna” di puntare sulla “231” (D. Lgs. 231/2001) può solo constatare che, ancora una volta, la storia si ripete.

Quando la Compliance è un requisito obbligatorio, le aziende e gli enti cercano sempre di spendere il meno possibile, esattamente come le pubblicità dei medicianli: è-un-presidio-medico-chirurgico-che-può-avere controindicazioni-ed-effetti-collaterali. Meno tempo dura, meno soldi costa, meglio è.

Il problema, come si può evincere chiaramente leggendo gli interventi di cui sopra, non si limita alla domanda, che appare tutto sommato legittima, persino parzialmente giustificata dagli obblighi di nomina del DPO previsti dall’art. 37 del GDPR e poi corroborati dalle linee-guida del WP29 in merito alle medesime obbligatorietà (WP 243 del 13/12/2016, par. 2.1) i quali – almeno nell’Italia della crisi attuale – si applicano a un gran numero di imprese che, pur trattando qualche migliaia di dati personali distribuiti uniformemente sul territorio italiano, non hanno le dimensioni o il fatturato per permettersi un DPO.

Esiste un secondo problema, per molti aspetti ben più grave, che riguarda l’offerta; non a livello globale, ovviamente, ma relativamente ad alcune proposte a pacchetto ovvero offerte di fornitura di servizio all-inclusive che tentano di ricondurre un incarico delicato e altamente personalizzato come quello del DPO all’interno di logiche di pricing tipiche dei servizi e delle attività di fornitura dei servizi.

Un sottobosco formato da pacchetti, convenzioni, formule flat, servizi omnicomprensivi forfettari e così via, che non fa che corroborare ulteriormente la convinzione – alla base del primo problema – che la nomina del DPO altro non sia che una fastidiosa imposizione normativa dalla quale liberarsi con il minimo sforzo possibile: un migliaio di euro all’anno e il problema è risolto… fino alla prossima seccatura.

I compiti del DPO

E’ realmente possibile compiere questa operazione? O, per dirla in altri termini, è ipotizzabile pensare a un compenso del DPO in termini di un flat-rate annuo fisso, ovvero parametrizzato in qualche modo sull’impresa (dimensioni, fatturato, tipi e/o quantità di dati trattati et al.)?

Per rispondere a questa seconda domanda, che poi non è che un diverso modo di porre la prima, è opportuno fare un passo indietro e riassumere brevemente il mansionario del DPO sulla base di quanto previsto dal testo del GDPR (art. 39 et al.).

Prima di addentrarci nella normativa, è importante fare una premessa: il DPO è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai propri compiti. Si tratta quindi di una figura specializzata e di elevato livello professionale. Questo può cominciare a fornirci qualche indicazione di massima sul suo possibile compenso orario, che per figure analoghe- (avvocati, IT specialist certificati et al. – si aggira intorno a cifre che vanno dai 50 ai 200 euro/ora.

Il tutto, ovviamente, prendendo per buono l’assunto che si tratti davvero di una figura dotata di competenza, esperienza e formazione adeguate e comprovabili; in caso contrario il problema di cui avvisare Houston non riguarda il pricing inadeguato, ma la scarsa preparazione del DPO.

Vediamo adesso, in sintesi, quali sono le mansioni in carico al DPO previste dall’art. 39 del GDPR:

  1. informare e fornire consulenza al Titolare (o al Responsabile), nonché ai dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati (cfr. art. 35);
  2. sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’art. 35;
  4. cooperare con l’autorità di controllo;
  5. fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’art. 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Ho volutamente evidenziato la parola consulenza presente al punto a per sfatare il mito, sfortunatamente sostenuto da molti, che il DPO non sia da considerare un consulente. In realtà è vero l’esatto contrario: il DPO svolge prevalentemente una attività di consulenza, che si configura nell’informare l’azienda in merito agli adempimenti normativi previsti per poi sorvegliare l’osservanza degli stessi, ovvero la loro effettiva applicazione. Inutile dire che, nel caso (altamente sconsigliato) in cui si tratti di un dipendente, si tratterà di una attività consulenza di fatto ma non sostanziale.

I miti da sfatare

Sulla base di quanto abbiamo imparato sopra, proviamo a fare un elenco dei miti da sfatare, molti dei quali ancora presenti in rete nonostante sia ormai passato più di un mese dall’entrata in vigore effettiva del GDPR:

  1. Il DPO non è un consulente: FALSO. Il DPO svolge principalmente un ruolo di informazione e sorveglianza  che è sostanzialmente affine alle attività tipiche della consulenza specialistica.
  2. Il DPO effettua le Valutazioni d’Impatto sulla Protezione dei Dati / PIA / DPIA (ex art. 35): FALSO. Il suo compito è quello di informare il Titolare della necessità di farle – o farle fare dal Privacy Officer – e poi eventualmente di controllarle, su richiesta, al fine di verificare che siano state fatte nel modo opportuno (il parere di cui al comma c di cui sopra).
  3. Il DPO compila il Registro dei Trattamenti (ex art. 30): FALSO. Vedi quanto detto sopra per le Valutazioni d’Impatto (punto 2).
  4. Il DPO è il principale punto di riferimento normativo dell’azienda in tema di Privacy. FALSO. Quel ruolo spetta in prima battuta al Privacy Officer, ovvero all’ufficio privacy e/o compliance aziendale. Il compito del DPO è semmai quello di fornire consulenza in merito ai punti non già adeguatamente coperti dalle procedure esistenti, con l’obiettivo di rendere queste ultime sempre più adeguate alle tipologie di dati trattati (e relativi oneri). Il DPO non è un tappabuchi: il suo compito è spingere l’azienda a imparare a tapparli da sola.
  5. Il DPO deve occuparsi di formazione dei dipendenti o del personale: FALSO. Vale lo stesso discorso fatto per il punto 4: al DPO non spettano le attività di formazione, il suo compito è assicurarsi che l’azienda provveda a organizzare i percorsi di formazione adeguati alle tipologie di dati trattati (e relativi oneri).
  6. Il DPO ha la responsabilità di come l’azienda opera e agisce in ambito Privacy: FALSO. La responsabilità ricade sempre e comunque in carico al Titolare del trattamento e, limitatamente al loro incarico, ai Responsabili da lui nominati; il DPO non ha responsabilità ulteriori a quelle direttamente connesse alle sue mansioni – come ad es. la comunicazione obbligatoria al garante in caso di Data Breach rilevante, anch’essa peraltro su impulso dell’azienda.

La lista potrebbe essere ancora molto lunga, ma per il momento possiamo fermarci qui. Abbiamo già raccolto tutti gli elementi necessari per poter tirare delle conclusioni in merito ai due quesiti che ci siamo posti nei paragrafi precedenti: quanto chiedere? E’ possibile ragionare in termini di flat-rate annuo, fisso o parametrizzato che sia?

Tariffa fissa? No grazie

Partiamo dalla seconda domanda: la risposta non può che essere negativa, per via del fatto che l’attività del DPO sarà sempre inevitabilmente subordinata a una serie di aspetti estremamente variabili – e in gran parte imprevedibili – presenti nella realtà aziendale di riferimento. Elementi come il fatturato, il numero di dipendenti, la tipologia e la quantità di dati trattati sono indubbiamente importanti e avranno certamente il loro peso, ma solo se messi in relazione con una serie di componenti vive e dinamiche dell’azienda quali, a titolo esemplificativo: la preparazione del Titolare e/o dei dipendenti; la capacità e la volontà di svolgere attività di formazione; la ricettività aziendale nel rispetto delle normative ovvero nell’adozione dei cambiamenti; l’elasticità e la versatilità delle procedure; la presenza o meno di un sistema di gestione al quale ancorare il sistema privacy; la presenza o meno di una certa cultura dell’audit di terze parti ovvero di misure di controllo esterne; la presenza, la formazione e la capacità del Privacy Officer ovvero dell’ufficio privacy / compliance; la presenza o meno di infrastruttura IT e la sua complessità; l’esposizione della società alle varie tipologie di Data Breach, nonché il numero dei Data Breach rischiati o subiti; e così via.

E’ possibile misurare questi aspetti in modo efficace al termine di uno o due incontri conoscitivi funzionali alla formulazione di un’offerta di servizi? Ovviamente no. Di conseguenza, un DPO consapevole delle sue funzioni non sarà mai in grado di un stabilire un forfeit annuale. Se ne evince che, se un’azienda o un singolo professionista vi propone la fornitura di una attività di Data Protection Officer basato su una tariffa fissa, o vi conosce molto bene – ad esempio è già un vostro fornitore – oppure è molto probabile che intenda offrirvi un servizio scadente, il minimo indispensabile per rendervi compliant al nuovo regolamento in termini di nomina obbligatoria…

… Il che, intendiamoci, è e sarà sempre il sogno segreto di molti Titolari. Ma non è certo l’obiettivo del nuovo regolamento, né dovrebbe essere l’atteggiamento favorito da chi intende costruirsi una reale professionalità in materia di Data Protection.

Criteri di calcolo del compenso

Prima di giungere alla conclusione di questo articolo cerchiamo di trovare il modo di rispondere alla prima e più difficile domanda, relativa a quale dovrebbe essere il compenso per un DPO. Posto che, come abbiamo visto, una tariffa fissa o parametrizzata non può funzionare, l’unico modo per calcolare un pricing accettabile è quello di ragionare in termini di ore-uomo. Per prima cosa, dunque, è opportuno realizzare una tabella-costi che sarà utilizzata per calcolare i compensi relativi alle ore effettivamente lavorate, avendo cura di distinguere le attività svolte in azienda da quelle effettuate da remoto.

Una ipotesi verosimile da cui partire potrebbe essere la seguente:

  • Attività svolte in azienda : 100 € + IVA / ora. Audit, sopralluoghi, controlli e verifiche on-site, interviste, riunioni et al.
  • Attività svolte da remoto : 50 € + IVA / ora. Revisione della documentazione, consulenza off-site, controlli delle informative, ricerche normative, comunicazioni al garante, conference-call et al.
N.B.: I numeri sono puramente indicativi, da adattare rispetto alle proprie competenze e al proprio percorso accademico e professionale. Quello che mi interessa sottolineare qui è la necessità di adottare un criterio che non sia forfettario ma che si basi sulle attività effettivamente svolte.

E’ superfluo sottolineare che il criterio di cui sopra è pensato per DPO esterni o per collaboratori assunti con partita IVA: del resto esiste un general consensus sul fatto che nominare un dipendente non sia una buona idea, stante l’oggettiva difficoltà di dimostrare i requisiti di indipendenza, autonomia e libertà previsti e richiesti dal GDPR.

Questo semplice metodo di calcolo non è ovviamente sufficiente per formulare un’offerta, ma può costituire una buona base di partenza se coadiuvato da un piano di audit adeguato e da una stima di un certo numero di attività standard, che è possibile pre-programmare e pre-calcolare: il tutto al netto di possibili attività ulteriori – rigorosamente da concordare e autorizzare nel corso dell’anno – che si renderanno eventualmente necessarie a seguito di eventi imprevedibili ovvero emergenziali, anche in conseguenza del possibile cambio delle normative o di nuovi provvedimenti attuativi emanati dal Garante: si pensi ad esempio al tanto atteso decreto di armonizzazione, previsto per agosto 2018, e alle novità che potrebbe introdurre – in positivo o in negativo – in merito agli oneri connessi alla figura del Titolare ovvero del DPO.

Volendo fare un esempio pratico, utilizzando i numeri di cui sopra sarebbe possibile ipotizzare un preventivo di questo tipo:

  • Analisi documentale (8 ore off-site): 400 €
  • 4 Audit annuali (4 ore on-site ciascuno): 1600 €
  • Incontri periodici di allineamento in sede (6 ore on-site): 600 €
  • Consulenza remota (8 ore off-site): 400 €

Per un totale di 3000 € / anno, al netto di ulteriori esigenze o necessità da valutare in corso d’opera: si tratta senz’altro di un compenso adeguato all’effort sostenuto in termini di servizio reso.

In linea generale, chiunque lavori o abbia lavorato nel ramo della consulenza sa perfettamente che l’adozione di un criterio di determinazione del pricing basato sulle ore di impiego effettivo ha l’enorme vantaggio di tutelare sia il committente (l’azienda) che il professionista (il DPO): il primo eviterà il rischio di pagare costi eccessivi rispetto ai servizi ricevuti, mentre il secondo non correrà mai il rischio di dover lavorare al di sotto del margine di guadagno previsto. Non serve una risk analysis per comprendere che si tratta di una riduzione considerevole del rischio di impresa per entrambe le parti, a tutto vantaggio della valorizzazione (e quindi, si spera, della qualità) del lavoro effettivamente svolto.

Al tempo stesso, non dubitiamo che ci saranno molti Titolari (e non pochi DPO) che non potranno fare a meno di storcere il naso di fronte a queste tariffe: i primi, perché si tratta di prendere seriamente in considerazione una “seccatura” che speravano di risolvere con una cifra modesta, nonché interamente stanziabile in sede di pre-consuntivo; i secondi, perché il pricing su base oraria e calcolato sulle attività effettivamente svolte è una doccia fredda per chi sogna compensi milionari a fronte di un lavoro che, per quanto specializzato e tutt’altro che semplice, non va sopravvalutato né a livello di complessità né tantomeno a livello di assunzioni di responsabilità, come abbiamo ampiamente dimostrato.

Ricordiamoci sempre che il compito principale del DPO è quello di aumentare il livello di consapevolezza del Titolare e della sua azienda in materia di Privacy, non certo quello di porsi come un misterioso, ineffabile e strapagato azzeccagarbugli: ne va della credibilità della sua stessa professione.

Conclusioni

Siamo arrivati al termine di questa lunga riflessione sulle mansioni e sui compensi del Data Protection Officer, figura professionale che è stata già definita – non del tutto a torto – come l’amministratore di condominio del 21esimo secolo. Questa metafora – che molti troveranno umiliante, riduttiva e forse persino offensiva – appare di fatto adeguata nella misura in cui ci ricorda che il valore del DPO non è misurato dall’entità della fattura annuale pagata dalla singola azienda: il mercato prevede infatti che questo tipo di figura professionale presti i suoi servizi a un portfolio di clienti, creando i presupposti per una carriera interamente basata sulle capacità personali, con tutto ciò che ne consegue: forza contrattuale, possibilità di stipulare tariffe orarie più alte e quindi condizioni economiche più vantaggiose, et al… esattamente come qualsiasi altro professionista di settore.

In bocca al lupo, dunque… e che vinca il migliore!

Questo articolo fa parte di una serie di approfondimenti e riflessioni sul GDPR e sulle modalità di applicazione del Nuovo Regolamento Europeo della Protezione dei Dati in Italia, con focus specifico sulla compliance rispetto alla normativa previgente in materia civile e penale. Leggi gli altri articoli.

 

RELATED POSTS

About Ryan

IT Project Manager, Web Interface Architect e Lead Developer di numerosi siti e servizi web ad alto traffico in Italia e in Europa. Dal 2010 si occupa anche della progettazione di App e giochi per dispositivi Android, iOS e Mobile Phone per conto di numerose società italiane. Microsoft MVP for Development Technologies dal 2018.

View all posts by Ryan