Il Regolamento 2016/679 (GDPR) introduce un nuovo ruolo: il Data Protecion Officer (DPO). Obbligatorio per alcune categorie di Titolari e Responsabili e opzionale per gli altri (vedi articolo 37), il DPO svolge un ruolo particolare nell’organizzazione dell Titolare.

Il GDPR definisce i compiti del DPO (vedi articolo 39 per i dettagli): informare e fornire consulenza … , sorvegliare l’osservanza … , fornire, se richiesto, un parere … , cooperare con l’autorità di controllo … , fungere da punto di contatto per l’autorità di controllo … .

Chiaramente  dal GDPR non sono assegnati  compiti operativi al DPO, anche se altri compiti possono essere affidati alla persona che è designata come DPO, sempre che essi non diano adito a un conflitto di interessi.

Allora, il DPO è il responsabile della compliance nell’organizzazione del Titolare? Io direi di no. Di più, direi che il DPO non può essere anche la persona che deve assicurare la compliance dell’azienda al GDPR perchè in tal caso dovrebbe monitorare sé stesso.

Detto questo, un’altra domanda sorge spontanea: considerando che il GDPR esplicitamente prevede la possibilità di ricorrere a un servizio fornito da terzi, cosa è meglio tra designare un dipendente aziendale e acquistare un servizio da una fornitore specializzato?

La risposta, naturalmente, dipende da molti fattori: la dimensione dell’organizzazione, l’esistenza delle compteneze richieste all’interno, la tipologia di dati trattati e di trattamenti e così via. Alcuni di questi fattori dipendono anche dal servizio offerto: la competenza specifica per il settore di attività del titolare sembra davvero un elemento chiave perchè un servizio esterno possa essere utile, in particolare per quei settori con minore cultura ed esperienza della privacy.