Come scrivere la designazione del DPO?

Sebbene la comunicazione dei dati di contatto all’Autorità garante per la protezione dei dati personali e la pubblicazione degli stessi completi la designazione del DPO ai sensi dell’art. 37.7 GDPR, è bene chiedersi se si debba fare ricorso ad un incarico scritto e soprattutto quale sia la modalità più corretta per provvedere a riguardo.

Vero è che la norma non lo prescrive e dunque in mancanza dello stesso si può ben ritenere che la funzione vada a svolgere i compiti indicati dall’art. 39 GDPR con la diligenza commisurata all’esecuzione degli stessi. È buona prassi però fare ricorso ad un accordo scritto, dal momento che una corretta designazione non solo consente una reciproca comprensione di obblighi e responsabilità ma costituisce anche un elemento di accountability del titolare.

Non solo è possibile infatti comprovare così per via documentale il processo di selezione ed inserimento del DPO, ma anche di estrarre i parametri di controllo e valutazione della correttezza del suo operato.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La designazione può venire sviluppata partendo dallo Schema di atto di designazione del Responsabile della Protezione dei Dati pubblicato dallo stesso Garante Privacy, facendo un’opera di adattamento all’assetto dell’organizzazione. Innanzitutto, è bene fornire in premessa evidenza del carattere obbligatorio o facoltativo della designazione, andando poi a precisare i compiti assegnati.

Diventa necessario declinare all’interno del contesto organizzativo le modalità di svolgimento della funzione, con il limite di non incorrere nella violazione dell’art. 38.3 GDPR per cui il DPO non deve ricevere alcuna istruzione circa l’esecuzione dei propri compiti.

Dovendo evitare per tale ragione l’eccesso di specificazione operativa, è comunque opportuno un raccordo con l’organigramma e le dinamiche comunicative interne, oltre che definire i livelli di servizio attesi. Ad esempio: i tempi massimi di risposta a quesiti e richieste di pareri, il minimo delle giornate di audit da svolgere, le modalità e gli strumenti attraverso cui il DPO può contattare i vertici dell’organizzazioni e fornire riscontro a richieste interne o esterne.

In ogni caso è bene che siano contrattualmente stabiliti anche i presidi a garanzia della posizione, dal coinvolgimento alla tutela dell’indipendenza funzionale. Non solo: in tale occasione possono essere definite le risorse interne di riferimento per il DPO, nonché le modalità attraverso cui questi può presentare richiesta di risorse aggiuntive. Nell’ipotesi di compiti ulteriori che si intendono assegnare oltre il catalogo dell’art. 39 GDPR, ovviamente sarà cura dell’organizzazione definire le modalità di svolgimento degli stessi affinché non possa sorgere alcun conflitto d’interesse.

È bene infine ricordare che quanto detto vale non solo per il contratto di servizi e DPO esterno ma può ovviamente trovare applicazione anche per l’ipotesi di DPO interno, fondando gli elementi fondamentali di cui tenere conto per la definizione del mansionario e l’assegnazione delle responsabilità.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Stefano Gazzella

Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Aree di competenza: Privacy, GDPR, Data Protection Officer, Legal tech, Diritti, Meme

Visita il sito web dell'autore