Tra le maggiori novità del Regolamento Europeo sulla protezione dei dati personali n. 2016/679 (GDPR) rientra sicuramente la previsione del Data Protection Officer (DPO) o responsabile della protezione dei dati (RPD). L’Avvocato Vincenzo di Ciò ha acquisito nel tempo la necessaria preparazione e professionalità richiesti dal Regolamento europeo. Il DPO è designato da aziende e Pubbliche Amministrazioni in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai propri compiti. Tale figura, di alto livello professionale, può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi e quindi può essere un libero professionista.

Alcuni titolari e responsabili del trattamento sono tenuti a nominare un DPO in via obbligatoria. Ciò vale per tutte le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attività principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali (dati sensibili). In realtà le linee guida suggeriscono opportunamente che ove il Regolamento non imponga in modo specifico la designazione di un DPO, in determinati casi, può risultare utile procedere a tale designazione su base volontaria. La nomina di un DPO è importante in quanto questa figura rappresenta un elemento fondante ai fini della responsabilizzazione. La stessa presenza del DPO può facilitare l’osservanza della normativa e aumentare il margine competitivo delle imprese, nel rispetto del principio di accountability.

Si ricorda, inoltre, che il DPO svolge un ruolo chiave nel promuovere la cultura della protezione dei dati all’interno dell’azienda o dell’organismo, e contribuisce a dare attuazione a elementi essenziali del Regolamento quali i principi fondamentali del trattamento, i diritti degli interessati, la protezione dei dati sin dalla fase di progettazione e per impostazione predefinita, i registri delle attività di trattamento, la sicurezza dei trattamenti e la notifica e comunicazione delle violazioni di dati personali.