Data Protection Officer (DPO) o Responsabile Protezione Dati (RDP) , figura di supporto al titolare o responsabile del trattamento nell’applicazione e per l’osservanza del Regolamento (UE) 2016/679 (“Regolamento”), in conformità all’ art. 37 (Designazione del Responsabile della protezione dei dati) ha il compito principale di garantire, in maniera indipendente, l’applicazione interna delle disposizioni del Regolamento da parte del Titolare del trattamento. Il DPO è inoltre tenuto a tenere un registro di tutte le operazioni di trattamento che coinvolgono dati personali effettuato da parte dell’istituzione. Il registro, che deve contenere le informazioni circa lo scopo e le condizioni delle operazioni di trattamento, dovrebbe essere accessibile a tutti gli interessati.
L’art. 38 (Posizione del Responsabile della protezione dei dati) stabilisce che il D.P.O. deve essere coinvolto dal Titolare e dal Responsabile del trattamento “in tutte le questioni riguardanti la protezione dei dati personali.” Questa piena apertura nei confronti del DPO trova giustificazione nella necessità di rendere edotta tale figura sulle finalità e sulle tipologie di trattamento, oltre che sulle misure di sicurezza implementate a loro garanzia. Una totale conoscenza delle prassi aziendali mette il DPO in condizione di valutarne la compliance al Regolamento ed al tempo stesso garantisce una maggiore tutela del Titolare e del Responsabile.
L’art. 39 (Compiti del Responsabile della protezione dei dati) stabilisce che i compiti del Data Protection Officer sono:
a) informare e consigliare il Titolare o il Responsabile e gli incaricati del trattamento circa i loro obblighi ai sensi del Regolamento e delle altre disposizioni, europee e statali, in materia di protezione dei dati;
b) fornire consulenza ove richiesto per quanto riguarda la valutazione d’impatto sulla protezione dei dati (P.I.A.: Privacy Impact Assessment) e monitorare i relativi adempimenti. I pareri espressi dal D.P.O. andranno documentati così come se il Titolare decidesse di discostarsene è tenuto a darne motivazione, oltre che a lasciarne traccia;
c) cooperare con l’Autorità di vigilanza;
d) agire come punto di contatto per l’Autorità di vigilanza su tutte le questioni relative al trattamento dei dati personali;
e) controllare il rispetto del Regolamento, delle altre disposizioni relative alla protezione dei dati, e delle regole interne del Titolare o del Responsabile in materia di protezione dei dati personali, inclusi l’assegnazione delle Responsabilità, la formazione del personale coinvolto nelle operazioni di trattamento, e i relativi audit.