Il nuovo regolamento per la gestione e il trattamento dei dati personali tra le numerose novità ha introdotto anche una figura strategica: il DPO (Data Protection Officer), il responsabile della protezione dei dati.
In un articolo precedente abbiamo già indicato le principali caratteristiche, i casi in cui diventa obbligatorio nominare questa figura e soprattutto come inserire il DPO all’interno del nostro software.
Le due versioni del DPO: compiti e differenze
La realtà è ben differente dalla teoria e per quanto la speranza possa essere l’ultima a morire, quando si tratta di risparmiare la maggior parte delle aziende preferisce prestare il fianco a sanzioni ritenute improbabili e al cybercrime, considerato distante.
Non avendo chiarito con numeri e caratteristiche ben definite il confine tra obbligatorietà della nomina e nomina facoltativa, molte aziende preferiscono individuare all’interno questa figura.
Ma prima di capire la reale necessità del responsabile della protezione dei dati, occorre distinguere tra il DPO operativo e il DPO Advisor.
Il DPO operativo
Il DPO che fa è una figura caldamente suggerita anche per aziende con meno di 250 dipendenti in quanto svolge le seguenti funzioni:
- Definire il piano di audit;
- Svolgere il piano di audit;
- Monitorare lo stato di avanzamento dei piani di remediation;
- Raccogliere costantemente informazioni;
- Aggiornare il registro dei trattamenti;
- Pianificare la formazione privacy;
- Erogare la formazione privacy;
- Monitorare l’efficacia della formazione privacy;
- Aggiornare periodicamente l’analisi dei rischi;
- Vigilare su tutte le nuove dinamiche e processi.
Il DPO Advisor
Il DPO Advisor è una figura simile al DPO Operativo, con la netta differenza che l’advisor non eroga personalmente il servizio bensì delega internamente o esternamente questi compiti.
In questo caso spesso la persona incaricata è un dipendente dell’azienda che svolge altri compiti che però non devono comportare un conflitto di interesse tra i ruoli di controllato e controllore.
Pro e contro delle due opzioni
La trasversalità e la verticalità delle competenze richieste a una figura importante come il DPO difficilmente consentono di attribuire (almeno per quanto riguarda le aziende grandi e/o complesse) a una sola persona tutti questi compiti.
Spesso viene nominato un team DPO nel quale differenti soggetti collaborano e si dividono i compiti per rispettare il GDPR e svolgere le funzioni richieste.
Nominare internamente un team DPO significa prevedere l’indisponibilità “improvvisa” di dipendenti addetti ad altre funzioni ma risparmiare.
Nominare esternamente un team DPO o un DPO si traduce in una spesa maggiore che garantisce elevata qualità e minore (o nullo) uso di dipendenti occupati in altri compiti.
Quanto costa un DPO: cosa occorre valutare
In tutte le grandi aziende nelle quali la figura del DPO è obbligatoria, è consigliabile un DPO a tempo pieno coadiuvato da una risorsa legal e una risorsa in ambito security.
In questo contesto, oltre ai costi extra commissionati ad eventuali risorse esterne e i necessari costi per formazione e aggiornamento, la RAL di un DPO può oscillare tra gli 80 e i 100 mila euro a cui vanno aggiunti i costi per le figure interne di supporto.
Nelle piccole e medie imprese italiane invece, quelle in cui questa figura non risulta obbligatoria, è consigliabile prevedere un DPO part time affiancato da varie figure interne capaci di collaborare con il Data Protection Officer.
La RAL del DPO può oscillare dai 60 agli 80 mila euro: in questo caso oltre a considerare costi di formazioni e costi dei collaboratori, occorre valutare anche l’eventuale necessità di acquisizione di strumenti o collaboratori assenti in realtà poco strutturate.