Roma, 6 maggio 2019 – Il GDPR 679/2016 ha introdotto la figura del D.P.O., ovvero una funzione complessa a metà tra il consulente ed il controllore, che svolge principalmente un ruolo di informazione e sorveglianza, affine alle attività tipiche della consulenza specialistica.
Nel mondo delle istituzioni scolastiche questo tipo di figura è abbastanza poco conosciuta, forse solo l’RSPP ha una qualche similitudine per chi opera nella scuola, ma a differenza di quest’ultimo il DPO ha anche un ruolo di garanzia nei confronti dell’organismo di controllo nazionale, ovvero il Garante della Privacy.
La scelta del DPO da parte delle Istituzioni scolastiche diviene quindi un elemento di particolare complessità perché non è meramente legato al “prezzo”, ma bensì ad una serie di considerazioni che lo rendono particolarmente difficile da identificare in modo semplice.
Dopo il primo anno di avvio ora è il momento della resa dei conti: il mercato è infatti impazzito e vi sono prezzi che vanno dai duecento ai tremila euro.
Per le scuole purtroppo il DPO oggi è legato ad un mero rapporto di prezzo per via di una mancata consapevolezza di quale sia il vero ruolo di questa figura.
Spesso infatti è possibile vedere dei bandi di gara per la scelta di questa figura fatti al prezzo più basso, una cosa gravissima e sicuramente contestabile vista l’importanza del ruolo.
Intanto esiste un meccanismo di conflitto di interesse per il quale il DPO non potrebbe essere fatto da chi svolge il ruolo di RSPP o di amministratore di sistema, o che sia una figura interna pertanto con difficile dimostrabilità di indipendenza dal titolare del trattamento.
In ogni caso in tema di prezzo la verità è più verso i tremila euro che verso i duecento, anzi più ci si muove verso il basso e più si rischia che il Garante in fase di controllo giudichi poco congruo un prezzo che a livello di mercato non preveda nemmeno una disponibilità del DPO di 5 ore anche solo on line.
Se ci si pensa un meccanico costa mediamente 33 euro l’ora, quindi un prezzo di 200 euro porterebbe ad una disponibilità di circa 6 ore, impossibile da sostenere in quanto solo per la verifica offline dei documenti sono necessarie almeno 20 ore annue.
Se poi il DPO oltre alla responsabilità oggettiva nei confronti del Garante deve anche rispondere ad eventuali quesiti, verificare i percorsi di formazione, magari erogare lui stesso dei corsi di formazione (cosa però che non ha l’obbligo di fare), visitare almeno una volta l’ente servito, allora le cose cambiano, e di molto.
Infatti la configurazione minima per il DPO dovrebbe prevedere una verifica documentazione tempo medio necessario (20 ore), supporto tecnico per quesiti (15 ore), verifica percorsi formativi e organizzativi (5 ore), analisi delle misure informatiche e dei sistemi (10 ore), eventuale erogazione della formazione (4 ore) e eventuali interventi extra su chiamata diretta (5 ore).
Questa la configurazione minima che l’esperienza di quest’anno dei DPO scolastici ha indicato, alla quale va aggiunta la responsabilità della sola nomina davanti al Garante.
Come è facilmente verificabile si parla di almeno 59 ore di consulenza specialistica, il cui prezzo oscilla dalle 50 euro alle 100 euro in base alla presenza in loco o meno, più ovviamente i costi di trasferta, per un totale di 4.400 euro esclusa iva e spese.
Possiamo anche considerare che quasi sempre le scuole non dispongono di queste cifre e pertanto il mercato ha calmierato il prezzo intorno alle 1500 euro, ma già questa cifra non è adatta al lavoro che viene richiesto.
Una soluzione è stata la configurazione in rete degli istituti scolastici che ha permesso di ottimizzare alcune delle voci indicate, portando le cifre addirittura intorno alle 800 euro, e naturalmente anche in questo caso le attività svolte dal DPO seppur minimali non sono garantite dalla cifra indicata.
Cosa ci dobbiamo aspettare dunque da questo mercato?
Purtroppo le scuole continueranno a scegliere il DPO sulla base della tariffa più bassa e pertanto assumendosi un rischio altissimo per la scuola stessa perché la responsabilità ricade sempre e comunque in carico al Titolare del trattamento e, limitatamente al loro incarico, ai Responsabili da lui nominati.
Il DPO infatti non ha responsabilità ulteriori a quelle direttamente connesse alle sue mansioni – come ad es. la comunicazione obbligatoria al garante in caso di Data Breach rilevante, anch’essa peraltro su impulso obbligatorio della scuola.
Ecco perché alle scuole non conviene giocare al ribasso e dovrebbero scegliere un DPO che si dimostri affidabile invece che scegliere quello più economico.
Devi effettuare l'accesso per postare un commento.