Il Regolamento Europeo n. 2016/679 in materia di protezione dei dati personali (GDPR) introduce la figura del Responsabile della protezione dei dati (RPD), equivalente inglese di Data Protection Officer (DPO), ossia un soggetto avente una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati al fine di facilitare l’osservanza delle nuove disposizioni.

L’art. 37 GDPR prevede la designazione obbligatoria di un RPD per le autorità pubbliche e tutti i soggetti del settore privato le cui attività principali consistono in trattamenti che richiedono un monitoraggio regolare e sistematico degli interessati su larga scala oppure nel trattamento su larga scala di categorie particolari di dati personali (dati sensibili).

La designazione obbligatoria di un RPD può essere prevista anche in casi ulteriori dalla legge nazionale o dal diritto europeo, ma, qualora non sia imposta specificatamente, è fatta salva, nonché consigliata, la facoltà di una nomina su base volontaria.

L’art. 39 GDPR individua i compiti del RPD, il quale, in particolare, si occupa di i) fornire consulenza in merito alla protezione dei dati, ii) vigilare sull’osservanza degli obblighi derivanti dal GDPR e da altre disposizioni in materia, nonché delle policy interne in materia di protezione dei dati personali, con particolare riferimento alla sensibilizzazione e alla formazione del personale che partecipa ai trattamenti, iii) fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati (DPIA), sorvegliandone lo svolgimento, e iv) cooperare con il Garante della Privacy fungendo inoltre da punto di contatto per questioni connesse al trattamento.

Il Responsabile della protezione dei dati può essere un dipendente del titolare o del responsabile  del trattamento dei dati oppure assolvere i suoi compiti in base a un contratto di servizi purché, in ogni caso, adempia alle proprie funzioni in maniera indipendente e, qualora svolga altri compiti e funzioni, queste non diano adito ad un conflitto di interessi.

Non essendo prevista l’istituzione di un albo dei “Responsabili della protezione dei dati” che attesti la sussistenza dei requisiti di competenza e conoscenza spetta agli enti pubblici e alle società private procedere autonomamente alla selezione del Responsabile.

In merito, il quinto comma dell’art. 37 GDPR prevede che il RPD sia designato in funzione delle qualità professionali, prestando particolare attenzione alla conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e alla capacità di assolvere i propri compiti.

Nel processo di selezione e valutazione del RPD corre in aiuto  lo stesso Garante della Privacy, il quale specifica che nella verifica delle competenze ed esperienze del RPD non sono richieste attestazioni formali o iscrizioni in appositi albi professionali, anche se la partecipazione a master o corsi di studio/professionali è da considerarsi un utile strumento nella valutazione del possesso di un adeguato livello di conoscenze.

In più, oltre alla conoscenza della normativa della privacy, è altrettanto importante la conoscenza delle norme e delle procedure amministrative caratterizzanti il settore di riferimento e il consiglio è quello di privilegiare quei soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito, documentando le esperienze concrete.