Assicurazione RC Professionale DPO (Data Protection Officer)

Il Data Protection Officer è una figura ancora giovane, nata con il GDPR (Regolamento UE 2016/679) e diventata operativa in Italia dal maggio 2018. In pochi anni è passata da curiosità per addetti ai lavori a ruolo richiesto da migliaia di enti pubblici e aziende. E come spesso accade con le professioni nuove, la consapevolezza del rischio è arrivata dopo: molti DPO lavorano senza una polizza RC professionale DPO, convinti che “tanto la responsabilità è del titolare”. Non è così, o almeno non sempre.

Il DPO — o Responsabile della Protezione dei Dati — sorveglia il rispetto della normativa privacy, fornisce pareri, fa da punto di contatto con il Garante e con gli interessati. Può essere interno o esterno; quando opera come consulente esterno con partita IVA, espone il proprio patrimonio agli errori commessi nell’incarico. Ed è qui che entra in gioco l’assicurazione.

QUANDO SERVE LA POLIZZA RC PROFESSIONALE PER IL DPO

Va detto con chiarezza, perché circolano molte semplificazioni. Il GDPR non impone al DPO l’obbligo di assicurarsi: nessun articolo del Regolamento prevede una copertura RC obbligatoria per questa figura, a differenza di quanto accade per i professionisti iscritti a un albo. L’art. 39 del GDPR definisce i compiti del DPO, l’art. 38 ne tutela l’indipendenza, ma sulla responsabilità civile la materia resta affidata alle regole generali.

La copertura, quindi, è una scelta di tutela, non un adempimento. Una scelta che diventa quasi obbligata nei fatti: sempre più bandi pubblici e contratti privati per l’incarico di DPO esterno richiedono espressamente una RC professionale attiva con un massimale minimo. Senza, l’incarico spesso non parte nemmeno. Sul tema vale la pena leggere anche la nostra guida sulla polizza per i servizi informatici, spesso complementare per chi affianca alla protezione dati la consulenza IT.

COSA COPRE E COSA NON COPRE L’ASSICURAZIONE DPO

La polizza interviene sui danni patrimoniali causati a terzi nell’esercizio dell’incarico: un parere sbagliato che porta l’ente a un trattamento illecito, una valutazione d’impatto (DPIA) carente, una mancata segnalazione di un data breach gestita in ritardo, un’omissione nella sorveglianza che si traduce in un danno per gli interessati. Qualche esempio concreto:

• Un DPO esterno approva una procedura di conservazione dei dati non conforme; a seguito di un controllo il titolare subisce una sanzione e chiede al consulente il ristoro del danno.
• Un dipendente di uno studio professionale lamenta il trattamento illecito dei propri dati e cita in giudizio anche il DPO che avrebbe dovuto vigilare.
• Una DPIA redatta in modo incompleto fa partire un progetto ad alto rischio poi bloccato dal Garante: i costi del fermo ricadono, in parte, sul professionista.

Restano fuori, in linea con ogni RC professionale, i danni causati con dolo e le sanzioni amministrative inflitte direttamente al professionista: per principio dell’ordinamento, le multe a carattere afflittivo non sono di norma assicurabili. Le polizze più evolute possono però coprire le spese di difesa e i costi di gestione del contenzioso, che spesso pesano quanto il risarcimento stesso. È un orientamento prevalente sul mercato, anche se non uniforme tra le compagnie: conviene sempre verificarlo nel set informativo.

QUANTO COSTA E QUALE MASSIMALE SCEGLIERE

Trattandosi di una professione emergente, il mercato è ancora in assestamento, ma qualche riferimento c’è. Il premio annuo di una RC professionale per DPO parte indicativamente da 200-300 euro per chi gestisce pochi incarichi, e cresce verso i 600-1.000 euro per chi segue molti enti, soprattutto pubblici o sanitari, dove la mole di dati trattati alza il rischio.

Sul massimale serve onestà: non esiste un minimo di legge, perché la copertura non è obbligatoria per legge. Il riferimento, quando c’è, è il minimo richiesto dal singolo bando o contratto. La raccomandazione di MioAssicuratore — che resta una raccomandazione, non un obbligo — è di non scendere sotto i 250.000 euro, e di valutare 500.000 euro o più se si seguono grandi organizzazioni o trattamenti sanitari su larga scala, dove un singolo data breach può coinvolgere migliaia di interessati.

Quasi tutte queste polizze operano in regime claims made: coprono le richieste di risarcimento ricevute mentre il contratto è attivo, con la retroattività pattuita a coprire i fatti precedenti. È un punto cruciale per il DPO, perché un errore di consulenza può emergere anni dopo, magari a seguito di un’ispezione. Per lo stesso motivo, se si cessa l’attività vale la pena attivare la garanzia postuma. Sul fronte fiscale, infine, la distinzione di base resta valida: il DPO con partita IVA deduce il premio come spesa inerente all’attività ai sensi dell’art. 54 del TUIR, mentre un eventuale DPO dipendente potrebbe al massimo detrarre il 19% ex art. 15 TUIR nei limiti previsti.