Dalle società di #consulenza ai singoli #professionisti con centinaia
di incarichi da #DPO Data Protection Officer: auspicabile la vigilanza del
#GarantePrivacy per individuare le “anomalie” e applicare eventuali
interventi correttivi presso #Aziende ed #Enti
Consultando alcune gare e aggiudicazioni di Enti, come nella ricerca di Aziende, si possono riscontrare cifre offerte (ed accettate da alcuni) che lasciano quanto meno perplessi, con incarichi annuali anche per 500 o 1.000 euro. È sufficiente un po’ di Google, e con una ricerca del nominativo spesso si riesce a vedere che questo soggetto (sia esso un professionista o una società) ha accumulato
centinaia di incarichi.
Se si parla di persona giuridica (SRL – SPA) o di un team magari di avvocati di uno studio legale, è bene ricordare che nel caso di incarico ricevuto, ciascun soggetto appartenente alla persona giuridica e operante quale DPO/RPD deve soddisfare tutti i requisiti degli artt. da 37 a 39 GDPR. Certamente, un tale livello di preparazione di così tanti consulenti fa apparire improbabile l’applicazione di costi degni
di saldi al ribasso, come troppo spesso capita.
Sarebbe necessario che chi ha l’onere od il potere di decidere come dover scegliere ed incaricare questo professionista, sia consapevole dell’esistenza (consolidata da
oltre un quattro anni a partire dal 2016 e poi dal 25 maggio 2018) di taluni soggetti con “centinaia di incarichi da DPO, spesso a basso prezzo“.
Non esiste alcuna possibilità di difesa o limitazione di
responsabilità fondata sul “prezzo basso” convenuto per la prestazione.
Non esiste insomma esonero alcuno per un titolare o responsabile che violi il GDPR per
“incauto affidamento” alle scelleratezze o all’assenteismo del proprio DPO
Questi “bidoni aspiratutto” di incarichi da DPO (responsabile protezione dati, possono essere società di consulenza, studi professionali o singoli professionisti, e hanno destato la maggior parte
delle perplessità fra gli esperti del settore, ma non dal mercato di riferimento. Sembra
infatti che le organizzazioni che ricorrono a tali servizi non si pongano alcuna domanda a
riguardo, forse in parte perché vedono la designazione di un DPO come un ennesimo
adempimento burocratico di poco conto.
Dalle società di consulenza ai singoli professionisti con centinaia
di incarichi da Data Protection Officer: auspicabile la vigilanza del
Garante per individuare le “anomalie” e applicare eventuali
interventi correttivi
La responsabilità organizzativa è e rimane in capo al titolare o al responsabile del
trattamento, anche in caso di designazione del DPO. Anzi: chi designa il DPO è
responsabile anche per il rispetto degli artt. da 37 a 39 GDPR, dovendo predisporre
misure tecniche e organizzative adeguate affinché gli adempimenti siano effettivi e
sostanziali. Contrattualizzare i rapporti e verificare l’operato è fondamentale, e non esiste
clausola che esima alcuna organizzazione che, per obbligo di legge o volontariamente,
ricorre a tale funzione
Certamente, sul punto è e sarà fondamentale l’azione informativa del Garante Privacy
verso tutti gli operatori di mercato
È auspicabile sul punto un’intensa attività di vigilanza da parte del Garante, il quale già
dispone del database dei DPO nominati e può ben individuare le “anomalie” più eclatanti ed
aprire istruttorie per l’applicazione di interventi correttivi ove ne ricorrano i presupposti.
Da parte dei professionisti, infine, è bene che si diffonda un impegno a formulare e
presentare delle offerte parametrate per garantire l’effettività dell’incarico, contribuendo
così ad eliminare le distorsioni riguardanti il valore della funzione del DPO.
O.L.I.T. Informatica
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Condividi allo stesso modo 4.0 Internazionale.
O.L.I.T. Informatica (L'Aquila) ITALIA 
Devi effettuare l'accesso per postare un commento.