E' una figura professionale con competenze giuridiche, informatiche e capacità gestionali, il cui compito è osservare, valutare, consigliare, verificare che le attività di trattamento dei dati personali (e dunque la loro protezione) all'interno di un'organizzazione, siano attuate in modo corretto, nel rispetto dei principi indicati dall'art. 5 del Regolamento UE 2016/679.
Quando il soggetto che ricopre questo ruolo opera con autonomia e gli è conferito potere decisionale nello svolgimento delle proprie mansioni, si parla Data Protection Officer (DPO), o Responsabile della Protezione dei Dati (RPD), come reso nella versione italiana del Regolamento UE 2016/679.
A motivo dei compiti che deve svolgere, il DPO deve possedere un'adeguata conoscenza della normativa che regolamenta la gestione dei dati personali nel paese in cui opera. Deve dunque poter offrire ai vertici dell'organizzazione la consulenza necessaria per supportare l'eventuale progettazione, verifica e mantenimento di un sistema organizzato di gestione dei dati personali, curando l’adozione di un complesso di misure di sicurezza finalizzate alla tutela dei dati che soddisfino i requisiti di legge e ne assicurino la riservatezza, integrità e disponibilità.
L'art.38 del Regolamento Europeo sulla protezione dei dati personali, descrive la posizione del "Responsabile della protezione dei dati": egli deve essere prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali, adempiere alle funzioni e ai compiti in piena indipendenza e non ricevere alcuna istruzione per quanto riguarda il loro esercizio, riferendo direttamente ai superiori gerarchici. Deve essere adeguatamente sostenuto nell’esecuzione dei suoi compiti e gli deve essere garantita la presenza di personale, locali, attrezzature e ogni altra risorsa necessaria per adempiere alle funzioni e ai compiti di cui all’articolo 39 del regolamento.
L'art.39 del Regolamento Europeo sulla protezione dei dati personali, elenca i compiti del Responsabile della protezione dei dati:
- informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente Regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;
- sorvegliare l'osservanza del presente Regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
- fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;
- cooperare con l'Eutorità di controllo;
- fungere da punto di contatto per l'Autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Vista la molteplictà delle competenze richieste in capo al DPO, Prynet, con il suo staff, può ricoprire tale importante ruolo con una reale completezza nella gestione dell'incarico, fornendo servizi ad ampio raggio ed indicando, come richiesto dalla normativa, un unico referente, che presenterebbe, come richiesto dall'art. 37, il requisito dell’autonomia e indipendenza nell’esercizio delle sue funzioni.
