Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
TM RedHotCyber 970x120 042543
Fortinet 320x100px
Come scrivere la designazione del DPO?

Come scrivere la designazione del DPO?

Stefano Gazzella : 7 Gennaio 2023 09:03

Sebbene la comunicazione dei dati di contatto all’Autorità garante per la protezione dei dati personali e la pubblicazione degli stessi completi la designazione del DPO ai sensi dell’art. 37.7 GDPR, è bene chiedersi se si debba fare ricorso ad un incarico scritto e soprattutto quale sia la modalità più corretta per provvedere a riguardo.

Vero è che la norma non lo prescrive e dunque in mancanza dello stesso si può ben ritenere che la funzione vada a svolgere i compiti indicati dall’art. 39 GDPR con la diligenza commisurata all’esecuzione degli stessi. È buona prassi però fare ricorso ad un accordo scritto, dal momento che una corretta designazione non solo consente una reciproca comprensione di obblighi e responsabilità ma costituisce anche un elemento di accountability del titolare.

Non solo è possibile infatti comprovare così per via documentale il processo di selezione ed inserimento del DPO, ma anche di estrarre i parametri di controllo e valutazione della correttezza del suo operato.


Cve Enrichment Redhotcyber

CVE Enrichment
Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.

Cosa trovi nel servizio:
✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor.
✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV).
✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia.
✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.


Supporta Red Hot Cyber attraverso: 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La designazione può venire sviluppata partendo dallo Schema di atto di designazione del Responsabile della Protezione dei Dati pubblicato dallo stesso Garante Privacy, facendo un’opera di adattamento all’assetto dell’organizzazione. Innanzitutto, è bene fornire in premessa evidenza del carattere obbligatorio o facoltativo della designazione, andando poi a precisare i compiti assegnati.

Diventa necessario declinare all’interno del contesto organizzativo le modalità di svolgimento della funzione, con il limite di non incorrere nella violazione dell’art. 38.3 GDPR per cui il DPO non deve ricevere alcuna istruzione circa l’esecuzione dei propri compiti.

Dovendo evitare per tale ragione l’eccesso di specificazione operativa, è comunque opportuno un raccordo con l’organigramma e le dinamiche comunicative interne, oltre che definire i livelli di servizio attesi. Ad esempio: i tempi massimi di risposta a quesiti e richieste di pareri, il minimo delle giornate di audit da svolgere, le modalità e gli strumenti attraverso cui il DPO può contattare i vertici dell’organizzazioni e fornire riscontro a richieste interne o esterne.

In ogni caso è bene che siano contrattualmente stabiliti anche i presidi a garanzia della posizione, dal coinvolgimento alla tutela dell’indipendenza funzionale. Non solo: in tale occasione possono essere definite le risorse interne di riferimento per il DPO, nonché le modalità attraverso cui questi può presentare richiesta di risorse aggiuntive. Nell’ipotesi di compiti ulteriori che si intendono assegnare oltre il catalogo dell’art. 39 GDPR, ovviamente sarà cura dell’organizzazione definire le modalità di svolgimento degli stessi affinché non possa sorgere alcun conflitto d’interesse.

È bene infine ricordare che quanto detto vale non solo per il contratto di servizi e DPO esterno ma può ovviamente trovare applicazione anche per l’ipotesi di DPO interno, fondando gli elementi fondamentali di cui tenere conto per la definizione del mansionario e l’assegnazione delle responsabilità.

Immagine del sitoStefano Gazzella
Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Immagine del sito
Cybersicurezza, l’evoluzione normativa verso la prevenzione infrastrutturale e la crisi di fiducia
Di Paolo Galdieri - 27/11/2025

L’attuale accelerazione normativa in materia di cybersicurezza non è un fenomeno isolato, ma il culmine di un percorso di maturazione del Diritto penale che ha dovuto confrontarsi con la dematerial...

Immagine del sito
Simulazioni di Phishing: 5 consigli per evitare i falsi positivi dal CERT-AgID
Di Redazione RHC - 26/11/2025

Sempre più amministrazioni avviano simulazioni di campagne di phishing per misurare la capacità dei propri dipendenti di riconoscere i messaggi sospetti. Quando queste attività coinvolgono struttur...

Immagine del sito
WormGPT e KawaiiGPT Migliorano! Le “AI del male” sono un’arma per i cybercriminali
Di Redazione RHC - 26/11/2025

I criminali informatici non hanno più bisogno di convincere ChatGPT o Claude Code a scrivere malware o script per il furto di dati. Esiste già un’intera classe di modelli linguistici specializzati...

Immagine del sito
L’Europa si ribella: “Basta Microsoft”. Il Parlamento punta alla sovranità tecnologica
Di Redazione RHC - 26/11/2025

Un gruppo di membri del Parlamento europeo hanno chiesto di abbandonare l’uso interno dei prodotti Microsoft e di passare a soluzioni europee. La loro iniziativa nasce dalle crescenti preoccupazioni...

Immagine del sito
Shakerati Anonimi: la storia di Marco e il “prezzo” della Fiducia
Di Redazione RHC - 26/11/2025

Ciao a tutti… mi chiamo Marco, ho 37 anni e lavoro come impiegato amministrativo in uno studio commerciale. È la prima volta che parlo davanti a tutti voi e sono un pò emozionato … e vi assicuro...