Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Come scrivere la designazione del DPO?

Stefano Gazzella : 7 Gennaio 2023 09:03

Sebbene la comunicazione dei dati di contatto all’Autorità garante per la protezione dei dati personali e la pubblicazione degli stessi completi la designazione del DPO ai sensi dell’art. 37.7 GDPR, è bene chiedersi se si debba fare ricorso ad un incarico scritto e soprattutto quale sia la modalità più corretta per provvedere a riguardo.

Vero è che la norma non lo prescrive e dunque in mancanza dello stesso si può ben ritenere che la funzione vada a svolgere i compiti indicati dall’art. 39 GDPR con la diligenza commisurata all’esecuzione degli stessi. È buona prassi però fare ricorso ad un accordo scritto, dal momento che una corretta designazione non solo consente una reciproca comprensione di obblighi e responsabilità ma costituisce anche un elemento di accountability del titolare.

Non solo è possibile infatti comprovare così per via documentale il processo di selezione ed inserimento del DPO, ma anche di estrarre i parametri di controllo e valutazione della correttezza del suo operato.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

La designazione può venire sviluppata partendo dallo Schema di atto di designazione del Responsabile della Protezione dei Dati pubblicato dallo stesso Garante Privacy, facendo un’opera di adattamento all’assetto dell’organizzazione. Innanzitutto, è bene fornire in premessa evidenza del carattere obbligatorio o facoltativo della designazione, andando poi a precisare i compiti assegnati.

Diventa necessario declinare all’interno del contesto organizzativo le modalità di svolgimento della funzione, con il limite di non incorrere nella violazione dell’art. 38.3 GDPR per cui il DPO non deve ricevere alcuna istruzione circa l’esecuzione dei propri compiti.

Dovendo evitare per tale ragione l’eccesso di specificazione operativa, è comunque opportuno un raccordo con l’organigramma e le dinamiche comunicative interne, oltre che definire i livelli di servizio attesi. Ad esempio: i tempi massimi di risposta a quesiti e richieste di pareri, il minimo delle giornate di audit da svolgere, le modalità e gli strumenti attraverso cui il DPO può contattare i vertici dell’organizzazioni e fornire riscontro a richieste interne o esterne.

In ogni caso è bene che siano contrattualmente stabiliti anche i presidi a garanzia della posizione, dal coinvolgimento alla tutela dell’indipendenza funzionale. Non solo: in tale occasione possono essere definite le risorse interne di riferimento per il DPO, nonché le modalità attraverso cui questi può presentare richiesta di risorse aggiuntive. Nell’ipotesi di compiti ulteriori che si intendono assegnare oltre il catalogo dell’art. 39 GDPR, ovviamente sarà cura dell’organizzazione definire le modalità di svolgimento degli stessi affinché non possa sorgere alcun conflitto d’interesse.

È bene infine ricordare che quanto detto vale non solo per il contratto di servizi e DPO esterno ma può ovviamente trovare applicazione anche per l’ipotesi di DPO interno, fondando gli elementi fondamentali di cui tenere conto per la definizione del mansionario e l’assegnazione delle responsabilità.

Stefano Gazzella
Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Alan Turing salvato dalla spazzatura! Riemergono i suoi manoscritti storici che vanno all’asta

Gli inestimabili documenti scientifici del leggendario crittografo Alan Turing sono sfuggiti per un pelo dalla distruzione e sono destinati a essere messi all’asta nel tentativo di ricavare dec...

Diventa Partner della Red Hot Cyber Academy: Scopri l’Affiliate e Creator Program

Intraprendere un percorso di apprendimento nelle nuove tecnologie e sulla sicurezza informatica oggi può fare la differenza, soprattutto in ambiti innovativi e altamente specialistici. Per questo...

Google Meet ora traduce in tempo reale! il tuo inglese “maccheronico” è ufficialmente disoccupato

Google ci porta nel futuro con le traduzioni simultanee in Google Meet! In occasione del suo evento annuale Google I/O 2025,  Google ha presentato uno dei suoi aggiornamenti più entusia...

Un Ospedale Italiano è stato Violato! I Video dei Pazienti e delle Sale Operatorie Sono Online!

“Ciao Italia! L’attacco all’ospedale italiano è riuscito. Ci siamo stabiliti nel sistema, caricando un exploit sul server, ottenendo molte informazioni utili dalle schede dei...

Coca-Cola Emirati Arabi sotto attacco: Everest Ransomware colpisce tramite infostealer

il 22 maggio 2025, è emersa la notizia di un attacco ransomware ai danni della divisione Emirati Arabi della Coca-Cola Company, rivendicato dal gruppo Everest. La compromissione sarebbe avvenuta ...