Finalmente qualcuno sta affrontando il problema e iniziano ad arrivare richieste di informazioni su cosa occorre fare e quanto costa. Meglio tardi che mai… Purtroppo la risposta non può essere semplice ed immediata ed occorre un minimo di approfondimento e di spiegazione al cliente. Quello che segue è il contenuto di tante telefonate senza riscontro successivo, purtroppo. 

L’articolo precedente vuole essere la premessa essenziale a questo. Quindi cosa fare e quanto costa? La risposta è sempre quella odiosa e “pallosa” perché premette tutta la pappardella: “Dipende da quello che c’è da fare”.

Le prestazioni sono due, distinte:
1) analisi dell’ente o dell’azienda in ottica delle le previsioni normative del “Regolamento Generale Protezione Dati”, con relativa fornitura di procedure per la gestione (acquisizione, trattamento e conservazione) dei dati e la relativa protezione, oltre al necessario controllo e aggiornamento periodico; in questo contesto deve rientrare la formazione dei responsabili e degli incaricati;
2) se la norma lo impone, occorre essere nominati RPD o DPO (Responsabili Protezione Dati o Data Protection Officer), e si richiede, oltre che indipendenza ed autonomia nello svolgimento dell’incarico, anche una particolare preparazione (non solo giuridica) e adeguate competenze.

La quantificazione del giusto compenso delle due prestazioni non è regolamentata, come non lo è la figura del RPD. Purtroppo la quantità di persone che stanno cercando di “fare cassa” con il GDPR, unita alla scarsità di informazioni documentate su una professione completamente inedita, hanno orientato le aziende e gli enti ad un livello di retribuzione quantomai basso. Per i “nuovi arrivati” si tratta di una doccia fredda, ma chi già era al lavoro sulla Privacy ai tempi del DPS obbligatorio (ovvero pre-D. Lgs. 5/2012 del 9 febbraio 2012) o chi ha o ha avuto la “sfortuna” di puntare sulla “231” (D. Lgs. 231/2001) può solo constatare che, ancora una volta, la storia si ripete.

Esiste un secondo problema, per molti aspetti ben più grave, che riguarda l’offerta; non a livello globale, ovviamente, ma relativamente ad alcune proposte a pacchetto ovvero offerte di fornitura di servizio all-inclusive che tentano di ricondurre un incarico delicato e altamente personalizzato come quello del DPO all’interno di logiche di pricing tipiche dei servizi e delle attività di fornitura dei servizi.

Un sottobosco formato da pacchetti, convenzioni, formule flat, servizi forfettari e così via, che non fa che corroborare ulteriormente la convinzione – alla base del primo problema – che la nomina del DPO altro non sia che una fastidiosa imposizione normativa dalla quale liberarsi con il minimo sforzo possibile: un migliaio di euro all’anno e il problema è risolto… fino alla prossima seccatura.

Quanto costano il GDPR-adeguamento e il DPO?

Servono delle figure competenti con una certa preparazione legale e di sicurezza informatica, e come hai potuto capire da quanto descritto in precedenza, adeguamento al GDPR e DPO sono due consulenze distinte. Il costo dell’adeguamento al GDPR andrà comunque rapportato al lavoro che c’è da fare per l’adeguamento al regolamento.

La scelta del Data Protection Officer deve essere fatta considerando le sue competenze, in quanto deve essere d’aiuto nella guida dell’intero processo di gestione e protezione dei dati, oltre a fare da “garante interno” della corretta applicazione del GDPR.

Per valutare la coerenza del costo del DPO occorre conoscerne le mansioni, previste dall’art. 39 del GDPR che in sintesi ripropongo:
– informare e fornire consulenza al Titolare (o al Responsabile), nonché ai dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati (cfr. art. 35);
– sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
– fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’art. 35;
– cooperare con l’autorità di controllo;
– fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’art. 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Il DPO svolge prevalentemente una attività di consulenza, che si configura nell’informare l’azienda in merito agli adempimenti normativi previsti per poi sorvegliare l’osservanza degli stessi, ovvero la loro effettiva applicazione. Inutile dire che, nel caso (altamente sconsigliato) in cui si tratti di un dipendente, si tratterà di una attività consulenza di fatto ma non sostanziale.

Abbiamo già messo insieme elementi sufficienti per poter tirare rispondere al quesito: quanto costa? E’ possibile ragionare in termini di flat-rate annuo, fisso o parametrizzato che sia? Ovviamente no! E chi lo fa rientra in quella categoria di aziende che rincorrono il cliente e non pensano alla qualità del servizio/consulenza da fornire. Un DPO consapevole delle sue funzioni non sarà mai in grado di un stabilire un forfeit annuale.

L’unico modo per calcolare un compenso accettabile è quello di ragionare in termini di ore lavorate.
Ho realizzato una tabella-costi che utilizzo per calcolare i compensi relativi alle ore effettivamente lavorate, avendo cura di distinguere le attività svolte in azienda da quelle effettuate da remoto.

Un esempio da cui partire potrebbe essere il seguente:
– Attività svolte in azienda : 100 € + IVA / ora. Audit, sopralluoghi, controlli e verifiche on-site, interviste, riunioni etc.
– Attività svolte da remoto : 50 € + IVA / ora. Revisione della documentazione, consulenza off-site, controlli delle informative, ricerche normative, comunicazioni al garante, conference-call etc.

Ovviamente la valutazione è personale, da adattare rispetto alle proprie competenze e al proprio percorso accademico e professionale. Quello che mi interessa sottolineare qui è la necessità di adottare un criterio che non sia forfettario ma che si basi sulle attività effettivamente svolte.

Questo semplice metodo di calcolo non è ovviamente sufficiente per formulare un’offerta, ma può costituire una buona base di partenza se coadiuvato da un piano di audit adeguato e da una stima di un certo numero di attività standard, che è possibile pre-programmare e pre-calcolare: il tutto al netto di possibili attività ulteriori – rigorosamente da concordare e autorizzare nel corso dell’anno – che si renderanno eventualmente necessarie a seguito di eventi imprevedibili ovvero emergenziali, anche in conseguenza del possibile cambio delle normative o di nuovi provvedimenti attuativi emanati dal Garante: si pensi ad esempio al tanto atteso decreto di armonizzazione, previsto per agosto 2018, e alle novità che potrebbe introdurre – in positivo o in negativo – in merito agli oneri connessi alla figura del Titolare ovvero del DPO.

Volendo fare un esempio pratico, utilizzando i numeri di cui sopra sarebbe possibile ipotizzare un preventivo annuale per DPO di questo tipo:
– Analisi documentale (8 ore on-site): 800 €
– 4 Audit annuali (4 ore on-site ciascuno): 1600 €
– Incontri periodici di allineamento in sede (6 ore on-site): 600 €
– Consulenza remota (16 ore off-site): 800 €
per un totale di 4200 € / anno, al netto di ulteriori esigenze o necessità da valutare in corso d’opera: si tratta senz’altro di un compenso adeguato all’impegno sostenuto in termini di servizio reso.

In linea generale, chiunque lavori o abbia lavorato nel ramo della consulenza sa perfettamente che l’adozione di un criterio di determinazione del pricing basato sulle ore di impiego effettivo ha l’enorme vantaggio di tutelare sia il committente (l’azienda) che il professionista (il DPO): il primo eviterà il rischio di pagare costi eccessivi rispetto ai servizi ricevuti, mentre il secondo non correrà mai il rischio di dover lavorare al di sotto del margine di guadagno previsto. Non serve una risk analysis per comprendere che si tratta di una riduzione considerevole del rischio di impresa per entrambe le parti, a tutto vantaggio della valorizzazione (e quindi, si spera, della qualità) del lavoro effettivamente svolto.

Al tempo stesso, non dubitiamo che ci saranno molti Titolari (e non pochi DPO) che non potranno fare a meno di storcere il naso di fronte a queste tariffe: i primi, perché si tratta di prendere seriamente in considerazione una “seccatura” che speravano di risolvere con una cifra modesta, nonché interamente stanziabile in sede di pre-consuntivo; i secondi, perché il pricing su base oraria e calcolato sulle attività effettivamente svolte è una doccia fredda per chi sogna compensi milionari a fronte di un lavoro che, per quanto specializzato e tutt’altro che semplice, non va sopravvalutato né a livello di complessità né tantomeno a livello di assunzioni di responsabilità, come abbiamo ampiamente dimostrato.

Ricordiamoci sempre che il compito principale del DPO è quello di aumentare il livello di consapevolezza del Titolare e della sua azienda in materia di Privacy, non certo quello di porsi come un misterioso, ineffabile e strapagato azzeccagarbugli: ne va della credibilità della sua stessa professione.