La verità scomoda sul DPO: il problema non è l’IT… è proprio lui!

Stefano Gazzella : 2 Dicembre 2025 07:33

Il DPO, ma anche il consulente privacy, interagisce in modo significativo con il mondo dell’IT. Purtroppo non sempre lo fa in modo corretto, soprattutto perché alcuni falsi miti provocano quel rumore di fondo che è causa di una pessima comunicazione. Molto spesso per una combinazione fra un’incerta definizione di ruoli e responsabilità e la carenza di risorse. Che non sono limitate alla moneta sonante, ma contemplano anche una certa dose d’attenzione e forza d’azione.

L’incertezza del perimetro d’azione di una funzione di protezione dei dati personali come quella del DPO talvolta è alimentata da parte dello stesso professionista che, più per malafede e convenienza che per ignoranza, preferisce non chiarire mai ciò che deve fare. Altrimenti correrebbe il rischio di vedersi impegnato a lavorare e non ad accumulare incarichi, e nel tempo ci sarebbe una terribile conseguenza come bandi di gara deserti nella Pubblica Amministrazione e la richiesta che la funzione nel privato sia utile e non meramente cosmetico.

Chiariamo innanzitutto che il DPO non dev’essere un esperto cyber. Se lo è, ben venga, ma non è certamente un must have e quindi non costituisce un prerequisito per esercitare la funzione. Certo, avere cognizione dei fondamenti di sicurezza informatica giova non poco. Anche perché consente di comprendere se e quando fare ricorso alla consulenza di professionisti ed esperti, tanto all’interno quanto all’esterno dell’organizzazione.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".  A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.   Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.  Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Ovviamente, salvo disponibilità di budget. E la volontà di svolgere bene il proprio lavoro senza limitarsi a fare presenza.

Coinvolgere è bene, farsi coinvolgere è meglio.

Nel momento in cui i ruoli sono chiari innanzitutto al DPO, il coinvolgimento della funzione all’interno delle questioni che riguardano i dati personali comprende anche gli aspetti di sicurezza non è solamente un obbligo in capo all’organizzazione previsto dall’art. 38 par. 1 GDPR ma un obiettivo che il professionista deve essere capace di perseguire. Dosando competenza tecnica con ulteriori abilità trasversali per instaurare un dialogo e farsi così coinvolgere, in modo tale da sedere nei tavoli di lavoro e fornire così un apporto positivo al miglioramento della data maturity dell’organizzazione. Questo significa dunque apprendere quanto meno il linguaggio dell’IT altrimenti la comunicazione, eufemisticamente parlando, potrebbe dirsi difficoltosa.

Ovviamente, bisogna avere cura di non invadere campi non di propria spettanza (ad es. le prerogative del CISO), non solo per ragioni di buon vicinato ma anche per evitare una posizione di conflitto di interesse. Nell’ambito della sicurezza questo avviene nel momento in cui il DPO, svolgendo ulteriori compiti e funzioni che esulano da quelli propri della funzione, va a decidere sulla determinazione dei mezzi del trattamento, ovverosia le modalità e gli strumenti impiegati.

Per quanto il parere del DPO abbia un peso nella formazione di una decisione in ordine al ricorrere ad un responsabile del trattamento, ad esempio, o all’adozione di determinate misure di sicurezza, questa è comunque esercitata da parte del titolare. Soprattutto, il DPO non può essere il titolare della funzione IT.

Il limite del conflitto di interessi.

L’autonomia e l’indipendenza del DPO non sono criteri formali ma devono essere valutati nel caso concreto, ma è indubitabile che è escluso in alcun modo che possa concorrere alle decisioni sui trattamenti o altrimenti essere assoggettato al potere di istruzione del titolare svolgendo operazioni sui dati sotto l’autorità di questi o per suo conto. Motivo per cui il semplice svolgere una funzione in ambito IT, quale ad esempio quella di operatore o amministratore di sistema, attrae una naturale incompatibilità con l’assunzione del ruolo del DPO, interno o esterno che sia.

E non c’è clausola che salvi a riguardo, dal momento che ciò che rileva è nella sostanza.

Insomma: coinvolgente, ma non troppo. Senza invasioni di campo.

Stefano Gazzella
Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore