• Quanto costa il DPO - Responsabile della protezione dei dati?

    Spesso molte aziende mi chiedono qual è il costo del Responsabile della protezione dei dati.
    Sempre rispondo prima di tutto quali sono le caratteristiche che deve avere un DPO e cosa deve fare.
    Se questo viene capito dall'Azienda e se è necessario nominare un DPO, allora iniziamo a parlare cosa posso fare per loro e quindi di costi.
    Il responsabile della protezione dei dati è un professionista, non un software!
    Cominciamo a  dire chi è il DPO, o meglio, il RDP in italiano:
    PROFILO DEL RESPONSABILE DELLA PROTEZIONE DEI DATI- RDP.
    Il  RDP è un professionista, quindi non è un'azienda,  i cui compiti sono definiti all'articolo 39-Compiti del responsabile della protezione dei dati del Regolamento (UE) n. 679/2016 e che è responsabile dell'applicazione della legislazione in materia di privacy e protezione dei dati.
    Il responsabile della protezione dei dati eseguirà almeno le seguenti attività:

    1. informare e consigliare il responsabile del trattamento o l'incaricato del trattamento e i dipendenti che trattano i dati degli obblighi loro incombenti ai sensi del regolamento e di altre disposizioni sulla protezione dei dati nell'Unione europea o negli Stati membri;
    2. vigila sull'osservanza delle disposizioni del regolamento e di altre disposizioni sulla protezione dei dati nell'Unione europea o negli Stati membri e delle politiche del responsabile del trattamento o dell'incaricato del trattamento in relazione alla protezione dei dati personali;
    3. sovrintende all'assegnazione delle responsabilità;
    4. supervisiona la sensibilizzazione e la formazione del personale che partecipa alle operazioni di trattamento;
    5. supervisiona i relativi controlli;
    6. offre consulenza, se richiesta, in merito alle valutazioni d'impatto sulla protezione dei dati;
    7. vigila sulla loro applicazione in conformità all'articolo 35-Valutazione d’impatto sulla protezione dei dati del Regolamento;
    8. coopera con l'autorità di controllo;
    9. funge da punto di contatto con l'autorità di vigilanza per le questioni relative al trattamento dei dati, compresa la consultazione preliminare di cui all'articolo 36-Consultazione preventiva, e 
    10. consulta l'autorità di controllo, a seconda dei casi, su qualsiasi questione.
    Il responsabile della protezione dei dati svolgerà le proprie funzioni prestando la debita attenzione ai rischi associati alle attività di trattamento dei dati e tenendo conto della natura, della portata, del contesto, e finalità del trattamento dei dati.
    Per fare ciò, deve essere in grado di:
    1. raccogliere informazioni per identificare le attività di trattamento,
    2. analizzare e verificare la conformità delle attività di trattamento e
    3. informare, consigliare e formulare raccomandazioni al Titolare o al responsabile.
    4. raccogliere informazioni per controllare il Registro delle attività di trattamento.
    5. fornire consulenza sull'applicazione del principio della protezione dei dati fin dalla progettazione (by design) e protezione per impostazione predefinita (by default).
    6. avvisare su:
      • se una valutazione d'impatto sulla protezione dei dati debba essere effettuata o meno
      • quale metodologia dovrebbe essere seguita quando si effettua un valutazione di impatto sulla protezione dei dati
      • se una valutazione di impatto sulla protezione dei dati debba essere effettuata internamente o esternalizzarla
      • quali garanzie (comprese le misure tecniche e organizzative) da applicare al fine di mitigare qualsiasi rischio per i diritti e la libertà degli interessati
      • se la valutazione dell'impatto sulla protezione dei dati sia stata eseguita correttamente o meno
      • se le sue conclusioni (se continuare con il trattamento o meno e quali salvaguardie dovrebbe essere applicate) sono conformi al regolamento.
    7. dare la priorità alle loro attività e concentrare i loro sforzi su quelle questioni che rappresentano un rischio maggiore in termini di protezione dei dati.
    8. consigliare il responsabile del trattamento dei dati su:
      • quale metodologia dovrebbe essere utilizzata quando si effettua una valutazione di impatto sulla protezione dei dati
      • quali aree dovrebbero essere soggette a un audit interno o esterno sulla protezione dei dati ,
      • quali attività di formazione interna dovrebbero essere fornite al personale o ai dirigenti responsabili per le attività di trattamento dei dati e a quali attività di trattamento dati dovrebbe essere dedicato più tempo e le risorse.

    COMPETENZE RICHIESTE AL RESPONSABILE DELLA PROTEZIONE DEI DATI.
    Il responsabile della protezione dei dati deve avere esperienza sulla conoscenza della protezione dei dati e delle pratiche. Di seguito sono identificate le conoscenze, le competenze e le abilità che il DPO deve conoscere o i compiti che deve svolgere.
    Professionista con conoscenze, competenze e abilità
    Queste funzioni generiche del DPO possono essere riassunte come attività di consulenza e supervisione nelle seguenti aree, tra cui:

    1. Rispetto dei principi relativi al trattamento, come la limitazione delle finalità, la minimizzazione dei dati o l'accuratezza
    2. Individuazione della base legale per il trattamento dei dati
    3. Valutazione della compatibilità di finalità diverse da quelli che hanno dato origine alla raccolta iniziale dei dati
    4. Determinare se una normativa di settore può determinare condizioni specifiche di trattamento di dati diverse da quelle stabilite dalle norme generali sulla protezione dei dati
    5. Progettazione e attuazione di misure per fornire informazioni agli interessati
    6. Stabilire meccanismi per ricevere e gestire le richieste per esercitare i diritti degli interessati
    7. Valutare le richieste per esercitare i diritti degli interessati
    8. Assunzione di responsabili, compreso il contenuto dei contratti o dei documenti legali per regolare la relazione tra titolare e responsabile
    9. Identificare gli strumenti internazionali di trasferimento dati che sono adatti ai bisogni e caratteristiche dell'organizzazione e le ragioni che giustificano il trasferimento
    10. Progettazione e attuazione di politiche di protezione dei dati
    11. Audit sulla protezione dei dati
    12. Creazione e gestione di un registro delle attività di trattamento
    13. Analisi dei rischi delle operazioni di trattamento effettuate
    14. Attuazione delle misure di protezione dei dati fin dalla progettazione (by design) e protezione per impostazione predefinita (by default) che sono adatte per i rischi e la natura delle attività di trattamento
    15. Implementazione di misure di sicurezza adeguate ai rischi e alla natura delle attività di trattamento
    16. Stabilire procedure per gestire le violazioni della sicurezza dei dati, inclusa la valutazione del rischio ai diritti e alle libertà degli interessati e delle procedure per notificare alla autorità di vigilanza competente e agli interessati
    17. Determinazione della necessità di effettuare valutazioni d'impatto sulla protezione dei dati
    18. Esecuzione di valutazioni d'impatto sulla protezione dei dati
    19. Rapporti con le autorità di vigilanza
    20. Attuazione di programmi di formazione e sensibilizzazione per il personale sulla protezione dei dati.

    Ovviamente, per rispetto dei colleghi professionisti, non posso pubblicare il mio tariffario, ma sarò ben lieto di parlarne di persona.