La figura del D.P.O. introdotta dal GDPR 679/2016 ha una funzione complessa a metà tra il consulente ed il controllore.

Il DPO svolge principalmente un ruolo di informazione e sorveglianza  che è sostanzialmente affine alle attività tipiche della consulenza specialistica.

Nel mondo delle istituzioni scolastiche questo tipo di figura è abbastanza poco conosciuta, forse solo l’R.SP.P. ha una qualche similitudine per chi opera nella scuola, ma a differenza di quest’ultimo il DPO ha anche un ruolo di garanzia nei confronti dell’organismo di controllo nazionale, ovvero il garante della Privacy.

La scelta del DPO da parte delle Istituzioni scolastiche diviene quindi un elemento di particolare complessità perché non è meramente legato al “prezzo”, ma bensì ad una serie di considerazioni che lo rendono particolarmente difficile da identificare  in modo semplice.

Dopo il primo anno di avvio ora è il momento della resa dei conti: il mercato è infatti impazzito e vi sono prezzi che vanno dai tremila euro a duecento euro.

Per le scuole purtroppo il DPO oggi è legato ad un mero rapporto di prezzo per via di una mancata consapevolezza di quale sia il vero ruolo di questa figura.

Spesso infatti è possibile vedere dei bandi di gara per la scelta di questa figura fatti al prezzo più basso, cosa gravissima e sicuramente contestabile.

Intanto esiste un meccanismo di conflitto di interesse per il quale il DPO non potrebbe essere fatto da chi svolge il ruolo di rspp o di amministratore di sistema, o che sia una figura interna pertanto con difficile dimostrabilità di indipendenza dal titolare del trattamento.

In ogni caso in tema di prezzo la verità è più verso i tremila euro che verso i duecento, anzi più ci si muove verso il basso e più si rischia che il Garante in fase di controllo giudichi poco congruo un prezzo che a livello di mercato non preveda nemmeno una disponibilità del DPO di 5 ore anche solo on line.

Se ci si pensa un meccanico costa mediamente 33 euro l’ora, quindi un prezzo di 200 euro porterebbe ad una disponibilità di circa 6 ore, impossibile da sostenere in quanto solo per la verifica offline dei documenti sono necessarie almeno 20 ore annue.

Se poi il DPO oltre alla responsabilità oggettiva nei confronti del garante deve anche rispondere ad eventuali quesiti, verificare i percorsi di formazione, magari erogare lui stesso dei corsi di formazione (cosa però che non ha l’obbligo di fare), visitare almeno una volta l’ente servito, allora le cose cambiano e di molto, infatti:

verifica documentazione tempo medio necessario         20 ore

supporto tecnico per quesiti                                            15 ore

verifica percorsi formativi e organizzativi                           5 ore

analisi delle misure informatiche e dei sistemi                  10 ore

eventuale erogazione della formazione                              4 ore

eventuali interventi extra su chiamata diretta                      5 ore

 

questa è la configurazione minima che l’esperienza di quest’anno dei DPO scolastici ha indicato, alla quale va aggiunta la responsabilità della sola nomina davanti al Garante.

Come è facilmente verificabile si parla almeno di 59 ore di consulenza specialistica, il cui prezzo oscilla dalle 50 euro alle 100 euro in base alla presenza in loco o meno, più ovviamente i costi di trasferta, per un totale di 4.400 euro esclusa iva e spese.

Possiamo anche considerare che le scuole non dispongono di queste cifre e pertanto il mercato ha calmierato il prezzo intorno alle 1500 euro, ma già questa cifra non è adatta al lavoro che viene richiesto.

Una soluzione è stata la configurazione in rete degli istituti scolastici che ha permesso di ottimizzare alcune delle voci indicate, portando le cifre intorno alle 800 euro, anche in questo caso però spesso le attività svolte dal DPO seppur minimali non sono garantite dalla cifra indicata.

Cosa ci dobbiamo aspettare da questo mercato?

Purtroppo riteniamo che le scuole continueranno a scegliere il DPO sulla base della tariffa più bassa e pertanto assumendosi un rischio altissimo perché la responsabilità ricade sempre e comunque in carico al Titolare del trattamento e, limitatamente al loro incarico, ai Responsabili da lui nominati; il DPO non ha responsabilità ulteriori a quelle direttamente connesse alle sue mansioni – come ad es. la comunicazione obbligatoria al garante in caso di Data Breach rilevante, anch’essa peraltro su impulso obbligatorio della scuola.

Categorie: privacy

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *