DPO as a Service: 5 motivi per scegliere la consulenza in outsourcing - Cyber Security 360

ADEMPIMENTI PRIVACY

DPO as a Service: 5 motivi per scegliere la consulenza in outsourcing

Perché adottare un consulente esterno per il ruolo di DPO preferendolo ad una figura interna? Per fare una scelta consapevole, occorre riflettere su cinque punti, che vanno dalla propensione per l’outsourcing alla disponibilità di competenze specifiche

03 Set 2021
C
Paolo Calvi

Data Protection Officer, P4I - Partners4Innovation

Per le organizzazioni che si accingono a designare un DPO, rispettando l’obbligo di nomina (art.37.1 GDPR) oppure come libera scelta se non ricadono nei criteri di obbligatorietà (art. 37.4), prima di deliberare la designazione si pone il tema della scelta fra l’incarico ad un soggetto interno oppure esterno, avvalendosi in questo caso di un servizio di DPO as a Service. Tale opportunità è espressamente prevista dal GDPR (art 37.6): “Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi”.

L’opzione è ribadita anche nelle Linee guida sui responsabili della protezione dei dati (RPD) adottate dal Working Party 29 il 13/12/2016 e successivamente avallate dall’European Data Protection Board: “La funzione di RPD può essere esercitata anche in base a un contratto di servizi stipulato con una persona fisica o giuridica esterna all’organismo o all’azienda titolare/responsabile del trattamento”.

Si tratta quindi di valutare, sulla base di diversi parametri, quale sia l’alternativa più opportuna.

Quanto costa un DPO: gli elementi per una corretta valutazione

DPO as a service e propensione all’outsourcing 

Premesso che non può esistere una risposta univoca, perché ogni organizzazione ha caratteristiche diverse e peculiari, cominciamo col dire che esistono realtà (tipicamente PMI o piccoli enti locali) per loro natura poco strutturate, magari prive di un ufficio legale interno e con una innata propensione alla terziarizzazione di tutti i servizi estranei al business aziendale (IT, HR) e per i quali sono richieste competenze specialistiche non presenti in azienda.

Queste organizzazioni sono le candidate più ovvie all’outsourcing anche della funzione di DPO. Il quesito si fa più interessante per quelle realtà dimensionalmente e strutturalmente in grado di gestire la funzione al loro interno, essendo eventualmente già dotate di uffici legali, compliance, risk management, internal audit, OdV e/o altri organismi preposti alla verifica della corretta applicazione delle normative generali o settoriali che insistono sull’organizzazione.

Evitare il conflitto di interessi con il DPO as a Service

Una questione rilevante da prendere in considerazione è quella del conflitto di interessi. Certamente un Data Protection Officer interno all’azienda potrebbe incorrere in tale rischio specialmente se collocato all’interno di una struttura investita della responsabilità di scelte in merito al trattamento dei dati personali: il DPO si troverebbe così a svolgere il ruolo di controllore ma anche di controllato.

Le Linee Guida WP243 già richiamate sopra non indicano un elenco puntuale e chiuso di incompatibilità interne, ma ne esemplificano alcuni casi, tra le posizioni del top e middle management (ad esempio Amministratore Delegato, Direttore Operativo, Direttore della gestione finanziaria, Direttore Sanitario, Direttore Marketing, Direttore delle Risorse Umane o Direttore IT) ma anche altri ruoli che comportino la determinazione di finalità e modalità di trattamento dei dati personali.

A tal proposito vale ricordare la sanzione inflitta dall’Autorità Garante Privacy belga (APD) ad una società di telecomunicazioni sulla base delle indagini condotte a seguito della notifica di un data breach. Nel corso delle verifiche è emerso che il ruolo era stato affidato al direttore della funzione Compliance, Risk Management e Audit, incarico ritenuto dall’APD incompatibile con il ruolo di DPO. Il Garante belga ha imposto una sanzione di 50.000 euro.

Resta vero che un Data Protection officer interno potrebbe conoscere meglio la realtà dell’organizzazione e le sue dinamiche, sapendo meglio di un esterno dove e come intervenire per correggere i problemi; inoltre sarebbe presente in azienda continuativamente mantenendo un aggiornamento costante sulla situazione. Tuttavia, poiché una delle più importanti caratteristiche assegnate alla figura del DPO è l’autonomia, la scelta dell’outsourcing potrebbe essere quella appropriata per la maggior parte delle aziende.

Disponibilità di adeguate competenze 

Per poter assolvere adeguatamente a tutti i compiti previsti, un Data Protection Officer dovrebbe disporre di competenze che spaziano dall’ambito legale a quello informatico, organizzativo e gestionale. Una soluzione realistica non potrà quindi basarsi su una singola persona ma dovrà ragionevolmente fare riferimento ad un team multidisciplinare. Potrà accadere di non disporre internamente di tutte queste competenze in un’unica figura o neanche in un gruppo di lavoro, che dovrebbe essere dedicato esclusivamente a questo task.

La designazione di un team DPO esterno appare in questo senso una soluzione ottimale. Da non sottovalutare poi la necessità di un costante aggiornamento delle competenze, sia dal punto di vista normativo che tecnologico; questa potrà essere meglio garantita da specialisti appartenenti a società di consulenza, normalmente sottoposti ad un costante aggiornamento formativo per poter supportare il proprio business. Le risorse interne alle organizzazioni potrebbero incontrare minori opportunità e maggiori vincoli di budget nell’affrontare il necessario aggiornamento.

DPO, requisiti e compiti operativi in azienda: il vademecum

DPO as a Service e vantaggi in termini economici

Una figura di così alto profilo e con queste caratteristiche può rappresentare un costo molto alto per l’azienda che volesse assumerlo e non tutte le aziende possono permettersi una spesa di questo tipo.

Ecco quindi che una delle considerazioni a favore della scelta di un DPO in outsourcing è anche legata ai costi. Il DPO esterno è potenzialmente più economico in quanto può distribuire il proprio impegno su diversi clienti e ridurre di conseguenza l’impatto economico di ogni singolo contratto. Si raccomanda in ogni caso un contratto di servizi su un periodo prolungato, al fine di evitare che l’esigenza dei rinnovi intacchi l’autonomia decisionale e l’imparzialità del DPO.

Clicca qui per scaricare l'infografica: DPO insourcing vs outsourcing

Il vantaggio di un’esperienza diversificata

Un ulteriore elemento da considerare è anche legato alla diversificata esperienza sul campo che un DPO esterno è in grado di acquisire operando presso diverse organizzazioni.

Nel caso si tratti di realtà appartenenti alla medesima categoria o settore merceologico, sarà evidente il vantaggio di poter individuare tempestivamente soluzioni a problematiche già affrontate e risolte presso altri clienti che hanno già incontrato situazioni analoghe.

Da non sottovalutare tuttavia anche il vantaggio competitivo derivante da un DPO esterno che, a differenza di quelli interni, ha la possibilità di confrontarsi anche con realtà e settori differenti, ampliando quindi la propria esperienza a problematiche diverse e sviluppando una maggiore capacità di approcciare situazioni nuove e diverse che dovessero presentarsi al di fuori della routine aziendale.

Contributo editoriale sviluppato in collaborazione con P4I Hub.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4