Mancano pochi mesi alla entrata in vigore della nuova regolamentazione europea in materia di protezione dei dati personali.
Una delle novità introdotte dal codice è la figura del Data Protection Officer (D.P.O.) oppure Responsabile Protezione Dati (R.P.D.); tale ruolo sarà obbligatorio nelle maggioranza delle organizzazioni pubbliche.
Molti non hanno ben chiaro quali siano le caratteristiche di tale figura; sicuramente dovrà avere competenze multidisciplinari, relative a conoscenza giuridiche, dei processi informativi, amministrativi e gestionali della propria organizzazione, ma anche concetti di sicurezza informatica e dei rischi derivanti.
Alcuni credono che il superamento di un processo di certificazione abiliti allo svolgimento del ruolo.
Purtroppo per loro, il Garante per la Protezione dei Dati personali italiano ha ribadito come, allo stato attuale, non esista alcun schema di certificazione che abiliti al ruolo di D.P.O.
Come indicato dal nuovo codice:
“il responsabile della protezione dei dati è designato in funzione delle qualità professionali,in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39” (Compiti del responsabile della protezione dei dati).
Il D.P.O. è un soggetto con un ruolo misto di consulenza e controllo: deve verificare l’applicazione del G.D.P.R., supportare, informare e consigliare la sua organizzazione, fungere da punto di contatto per le Autorità di controllo e gli interessati; in taluni contesti complessi, il ruolo di D.P.O. potrà essere ricoperto da un pool di persone che assommano tutte le competenze necessarie al ruolo.
La nomina del DPO non solleva le organizzazioni dalle proprie responsabilità; infatti, si tratta di una figura di controllo priva di responsabilità esecutive, che esprime solo pareri, ma le decisioni finali e le conseguenti responsabilità sono assunte dal Titolare del Trattamento dei Dati Personali. Come precisato dal Gruppo dei Garanti europei, il Responsabile della protezione dei dati non risponde personalmente in caso di inosservanza del GDPR: “Data protection compliance is a corporate responsibility of the data controller, not of DPO”.