ARGOMENTO:

Non mi è chiaro come dovrebbe essere fatto un contratto per assumere il ruolo di DPO esterno per fissare un congruo compenso ma anche sopratttutto per non rischiare di lavorare molte più giornate di quante siano state preventivate nel budget. Se accadessero una serie di data breach oppure vi fossero più ispezioni del garante, o anche se il titolare chiedesse il coinvolgimento del DPO come previsto dal GDPR per ricevere numerosi pareri su valutazioni d'impatto per nuovi trattamenti, il DPO si troverebbe affogato di lavoro da cui non si può tirare indietro per assolvere i suoi compiti, ma andrebbero ad aggiungersi giornate di lavoro non preventivate. Non rischia di lavorare a rimessa?

Grazie mille per i preziosi consigli.

Quando si deve fare un contratto di servizi per DPO esterno, si deve stare anche attenti a includere solo attività che siano di pertinenza di questo ruolo e che non diano adito a conflitti d'interesse. A mio avviso, eviterei ad esempio la redazione dalla documentazione privacy per la compliance al GDPR, perchè se il DPO ha il compito di controllarla per sorvegliare l'osservanza del Regloamento UE, sarebbe controllore di se stesso.

Enzo

Grazie mille per la celere ed esaustiva risposta.

Anche se vi è da tempo un tedioso dibattito intorno ai compensi del DPO, la metodologia di partenza per determinarne la quantificazione quando si deve assumere l'incarico come libero professionista esterno può essere del tutto banale: sulla base dei compiti assegnati dall'art.39 del GDPR (anche se lo stesso articolo precisa che essi non sono esaustivi, e quindi un contratto di servizi potrebbe prevedere anche mansioni ulteriori che non diano adito a conflitto d'interesse), le suggerisco di preventivare quante giornate all'anno siano necessarie per adempiere alle prestazioni dovute nei confronti del titolare del trattamento, moltiplicando tale numero per il suo consueto compenso giornaliero anche in riferimento ai prezzi di riferimento del mercato o del suo ordine di appartenenza. A mero titolo di esempio, se analizzata la "lista della spesa" che avrà stilato, reputerà che per svolgere un certo incarico di DPO occorrano 24 giornate all'anno (mediamente 2 al mese), e il suo normale compenso giornaliero è 500 euro lordi, un congruo compenso annuo potrà essere 24x500=12.000 euro lordi annui, a cui aggiungere eventualemente rimborsi per spese di viaggio, oneri di legge, costi per coperture assicurative, indennità di chiamate per emergenze tipo data breach o ispezioni del Garante Privacy, etc. Le suggerisco inoltre di prestare attenzione alla formulazione del contratto per individuare correttamente il perimetro delle prestazioni incluse, e di conseguenza di quelle che rimangono escluse. Con questa logica, può quantificare i compensi per fare il DPO sia in grandi che in piccole realtà. Nello stesso contratto, le consiglio di fare attenzione a non includere attività che non dovrebbero essere di competenza del DPO che altrimenti potrebbero evidenziare un conflitto d'interesse. Saluti, Nicola Bernardi

Buongiorno a tutti,
mi è stato richiesto un preventivo per un incarico da DPO per una realtà aziendale medio/grande e da piccole realtà (es. studio medico) la redazione dalla documentazione privacy che li renda compliance al GDPR.
Tuttavia, approcciandomi per la prima volta alla pratica della materia, non conosco parametri oggettivi a cui fare riferimento per quantificare correttamente il compenso.
In altre parole, da una parte non vorrei spararla grossa (e non lo ritengo neanche giusto), dall'altra però non vorrei sminuire un ruolo che ha molteplici responsabilità e che comporta una mole di lavoro considerevole.
Vi ringrazio in anticipo per la risposta.

Francesco