Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Stefano Gazzella : 7 Gennaio 2023 09:03
Sebbene la comunicazione dei dati di contatto all’Autorità garante per la protezione dei dati personali e la pubblicazione degli stessi completi la designazione del DPO ai sensi dell’art. 37.7 GDPR, è bene chiedersi se si debba fare ricorso ad un incarico scritto e soprattutto quale sia la modalità più corretta per provvedere a riguardo.
Vero è che la norma non lo prescrive e dunque in mancanza dello stesso si può ben ritenere che la funzione vada a svolgere i compiti indicati dall’art. 39 GDPR con la diligenza commisurata all’esecuzione degli stessi. È buona prassi però fare ricorso ad un accordo scritto, dal momento che una corretta designazione non solo consente una reciproca comprensione di obblighi e responsabilità ma costituisce anche un elemento di accountability del titolare.
Non solo è possibile infatti comprovare così per via documentale il processo di selezione ed inserimento del DPO, ma anche di estrarre i parametri di controllo e valutazione della correttezza del suo operato.
 CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La designazione può venire sviluppata partendo dallo Schema di atto di designazione del Responsabile della Protezione dei Dati pubblicato dallo stesso Garante Privacy, facendo un’opera di adattamento all’assetto dell’organizzazione. Innanzitutto, è bene fornire in premessa evidenza del carattere obbligatorio o facoltativo della designazione, andando poi a precisare i compiti assegnati.
Diventa necessario declinare all’interno del contesto organizzativo le modalità di svolgimento della funzione, con il limite di non incorrere nella violazione dell’art. 38.3 GDPR per cui il DPO non deve ricevere alcuna istruzione circa l’esecuzione dei propri compiti.
Dovendo evitare per tale ragione l’eccesso di specificazione operativa, è comunque opportuno un raccordo con l’organigramma e le dinamiche comunicative interne, oltre che definire i livelli di servizio attesi. Ad esempio: i tempi massimi di risposta a quesiti e richieste di pareri, il minimo delle giornate di audit da svolgere, le modalità e gli strumenti attraverso cui il DPO può contattare i vertici dell’organizzazioni e fornire riscontro a richieste interne o esterne.
In ogni caso è bene che siano contrattualmente stabiliti anche i presidi a garanzia della posizione, dal coinvolgimento alla tutela dell’indipendenza funzionale. Non solo: in tale occasione possono essere definite le risorse interne di riferimento per il DPO, nonché le modalità attraverso cui questi può presentare richiesta di risorse aggiuntive. Nell’ipotesi di compiti ulteriori che si intendono assegnare oltre il catalogo dell’art. 39 GDPR, ovviamente sarà cura dell’organizzazione definire le modalità di svolgimento degli stessi affinché non possa sorgere alcun conflitto d’interesse.
È bene infine ricordare che quanto detto vale non solo per il contratto di servizi e DPO esterno ma può ovviamente trovare applicazione anche per l’ipotesi di DPO interno, fondando gli elementi fondamentali di cui tenere conto per la definizione del mansionario e l’assegnazione delle responsabilità.
Stefano GazzellaSiamo nell’era dell’inganno a pagamento. Ogni tuo click è un referendum privato in cui vincono sempre loro, gli algoritmi. E non sbagliano mai: ti osservano, ti profilano, ti conoscono meglio di ...
Questa mattina Paragon Sec è stata contattata da un’azienda italiana vittima di un nuovo tentativo di frode conosciuto come Truffa del CEO. L’ufficio contabilità ha ricevuto un’e-mail urgente,...
i ricercatori di Check Point Software, hanno recentemente pubblicato un’indagine sull’aumento delle truffe farmaceutiche basate sull’intelligenza artificiale. È stato rilevato come i criminali ...
L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha assunto il ruolo di Root all’interno del programma Common Vulnerabilities and Exposures (CVE), diventando il principale punt...
Il progetto Tor ha annunciato l’introduzione di un nuovo schema di crittografia, chiamato Counter Galois Onion (CGO), destinato a sostituire il precedente metodo Tor1 Relay. L’aggiornamento mira a...
