Il 25 maggio è entrato in vigore il Gdpr, proviamo a capire i contorni della figura del responsabile della protezione dei dati, il data Protection Officer (DPO):
1. Il responsabile della protezione dei dati riferisce direttamente al vertice;
2. È indipendente, non riceve istruzioni per quanto riguarda l’esecuzione dei compiti;
3. Gli vengono attribuzione risorse umane e finanziarie adeguate alla mission.
Queste le caratteristiche principali del responsabile della protezione dei dati, ma in realtà persistono ancora troppi dubbi su cosa sia il DPO. È una figura rilevante, ma certamente non è il “centro” del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre il Titolare del trattamento. Il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali, nonché delle norme e delle procedure amministrative che caratterizzano il settore”. È non meno importante però che abbia anche “qualità professionali adeguate alla complessità del compito da svolgere” e, specialmente con riferimento a settori delicati come quello della sanità, possa dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento posti in essere al titolare. È altrettanto importante l’autonomia decisionale e l’estraneità del DPO rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati se si vuole restituire agli interessati quella sovranità sulla circolazione dei propri dati.