La figura del DPO, nella versione Italiana il Responsabile Protezione Dati, non è stata introdotta come novità assoluta dal GDPR; anche se la direttiva 95/46/CE non prevedeva alcun obbligo di nomina, in molti Stati membri questa è divenuta una prassi e già il gruppo di lavoro “Articolo 29” incoraggiava questa tipologia di approccio. 

Oggi il GDPR obbliga alcune figure di Titolari del Trattamento a nominare un DPO: tutte le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dai dati trattati, nonché altri soggetti che, come attività principale, svolgono un monitoraggio regolare e su larga scala di persone o trattino su larga scala categorie particolari di dati personali. Sempre il gruppo 29 ha posto in evidenza come questa figura sia un elemento fondamentale ai fini della responsabilizzazione delle imprese in una chiave non certo di costo, ma anche per aumentare la competitività delle imprese e garantire maggiori forme di tutela per i dati degli interessati. E', inoltre un'importante interfaccia non solo tra i soggetti coinvolti al trattamento dati in un’azienda o ente, ma anche con le autorità preposte alla vigilanza.

Un’importante osservazione, anche come forma di chiarimento, è che il DPO non risponde personalmente nelle ipotesi di inosservanza o violazioni del GDPR; restano in capo al Titolare del trattamento le conseguenze di perdite o violazioni dati, in quanto su di lui in prima persona grava l’onere di di assicurare il rispetto della normativa oltre a quello altrettanto fondamentale di consentire lo svolgimento efficace dei compiti cui il DPO è preposto, garantendogli la più totale autonomia e la messa a disposizione di risorse anche economiche per poter agire.

In ogni caso, tolti i casi specifici di cui all’art. 37 GDPR in cui la nomina è obbligatoria, fin dalla fase della stesura del Regolamento sono emerse indicazioni a più livelli che portavano almeno alla raccomandazione per responsabili e titolari del trattamento, fin dalle prime analisi sulle scelte da intraprendere, di valutare comunque l’opportunità di una nomina e, in ogni caso, essere in grado di documentare le ragioni che hanno portato ad una scelta in senso opposto. Inoltre una simile valutazione dovrebbe essere rinnovata anche in corso d’opera: possiamo ad esempio considerare la non remota ipotesi che un’azienda decida di intraprendere una nuova attività che comporti forme nuove o diverse di trattamento dati. In una simile situazione l’opinione di un DPO qualificato potrebbe avere un peso non indifferente su scelte che incideranno, magari, su una privacy policy già applicata. Nulla toglie peraltro, che un’azienda possa avvalersi di consulenti esterni che, comunque, specialmente nella documentazione interna, non debbano essere indicati come DPO, essendo questa una figura esclusivamente di pertinenza aziendale.

Un importante chiarimento in merito alla eventuale nomina di un DPO, ma non solo, laddove la figura non sia obbligatoria, è relativa al tipo di attività svolta da un’azienda. Anche se la norma fa riferimento ad un’analisi dell’attività principale, un’attenta valutazione di impatto deve fare riferimento anche a quelle ulteriori attività che, all’apparenza accessorie, confluiscono in quella principale a costituire o completare. Ad esempio un’impresa di sicurezza privata incaricata della vigilanza di più negozi ha come attività principale la sorveglianza, ma questa, a sua volta, è legata in modo inscindibile al trattamento di dati personali. Anche questi tipi di impresa dovrebbero nominare un RPD.

La norma contempla e disciplina inoltre l’ipotesi in cui un gruppo imprenditoriale debba nominare un DPO e se possa avvalersi di una figura unica. Ovviamente la risposta è positiva purché vengano rispettate le regole sancite che sono, tra le altre, che questa figura sia raggiungibile da ogni stabilimento o diversa sede.