Il DPO Sottovalutato: Una Minaccia Peggiore dell’Incompetenza IT, Ecco Perché

Stefano Gazzella : 15 Dicembre 2025 15:21

Quando il DPO si improvvisa IT e dintorni, è sicuramente un bel problema. Ma un problema ancora peggiore c’è nel momento in cui la figura professionale viene sottovalutata, con quel tremendo lastricato di eccheccivuole che è ancor peggiore di quello delle buone intenzioni che tradizionalmente conduce all’inferno. Nel caso dell’organizzazione, la confusione dei ruoli e delle funzioni è quella tempesta perfetta di una Direzione inerte (o ignorante) e di una serie di soggetti che mostrano una spiccata propensione all’esondazione.

Questo significa che il perimetro d’azione non è solo sfumato ma rischia di diventare terreno di continui conflitti, con una dialettica interna decisamente sub ottimale in cui lo svilimento delle competenze altrui solitamente si mescola con un continuo scarico di responsabilità. Ecco dunque che il DPO diventa un personaggio in cerca non solo d’autore ma di un ruolo vero e proprio, dal momento che manca una consapevolezza e un riconoscimento tanto in relazione alle competenze che all’apporto concreto nel miglioramento degli assetti dell’organizzazione.

Non è un caso raro che talvolta il ruolo del DPO venga sottovalutato sia per quanto riguarda l’aspetto delle competenze richieste che dell’apporto nei confronti dell’organizzazione (o, più precisamente, della data maturity). Con il naufragio di ogni buon proposito astratto di integrarlo all’interno dell’organizzazione, dal momento che manca non solo una comprensione del suo ruolo ma soprattutto anche il giusto riconoscimento.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Qualcuno potrà dirsi sorpreso, ma in fondo dal 2018 sono trascorsi soltanto 7 anni celebrativi del GDPR. Eufemisticamente parlando, ci sono ancora così tanti spunti di miglioramento senza contare le complicazioni che deriveranno dal Digital Omnibus.

L’importanza del riconoscimento.

Nell’attribuzione di ruoli e responsabilità, l’azione di riconoscimento da parte dell’organizzazione inizia con l’impegno della Direzione nel garantire la posizione e i presidi individuati dall’art. 38 GDPR. Motivo per cui una Direzione non consapevole è spesso la prima causa dell’inefficacia d’azione del DPO, con una designazione destinata a rimanere una mera formalità. A beneficio di chi accumula incarichi attendendosi un coinvolgimento minimo se non addirittura nullo, con buona pace di ogni garanzia per gli interessati in concreto.

Nel momento in cui l’azione del DPO è riconosciuta come apporto utile all’organizzazione, è possibile costruire sinergie e convergenze per il rafforzamento della data maturity. Evitando non solo una dispersione di risorse ma anche un impiego delle stesse divergente rispetto alla realizzazione di quegli obiettivi indicati dalla normativa in materia di protezione dei dati personali.

Certamente, questo richiede però un impegno anche da parte del DPO.

Il valore della proattività.

Sin dal momento in cui il DPO viene designato, è bene infatti che vada a chiarire (con la Direzione, ma anche con le ulteriori funzioni) il perimetro della propria operatività e, soprattutto, la propria capacità di intervento a vantaggio degli obiettivi dell’organizzazione. Per farlo, non sono sufficienti le sole hard skill ma è necessario che concorrano anche una serie di abilità trasversali, fra cui leadeship e comunicazione, fondamentali affinché l’apporto positivo possa trovare l’opportunità di realizzarsi. Altrimenti, anche il DPO più competente nella protezione dei dati personali, sarà percepito come un elemento non integrato o di disturbo.

Ovviamente la responsabilità per garantire la continuità d’azione è e rimane in capo all’organizzazione, la quale dovrà pertanto porre particolare attenzione a selezionare e verificare l’operato del DPO designato al fine di agevolarne la capacità di integrarsi.

Nel momento in cui invece si sceglie di avere solo un DPO sulla carta, di fatto si accetta il rischio non solo di vedersi contestata una violazione dell’art. 38 GDPR ma anche tutta la serie di violazioni che si sarebbero ben potute evitare attraverso il coinvolgimento adeguato e il corretto svolgimento di un’attività di sorveglianza.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Stefano Gazzella
Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore