Il Data Protection Office (D.P.O.), o Responsabile della Protezione dei Dati (R.P.D.) è una nuova figura introdotta dal Regolamento UE n.2016/679 e sulla quale il Legislatore Europeo ha concentrato importanti responsabilità individuando specifici casi in cui la sua nomina è obbligatoria (come ad esempio per le aziende che trattano dati di massa o dati sensibili). Il D.P.O. deve rispondere, pertanto, ad un profilo altamente specializzato in materia di Tutela dei dati personali, e deve possedere conoscenze specifiche della normativa nazionale, nonchè un’adeguata conoscenza tecnica dei sistemi informatici al fine di guidare il Titolare ed il Responsabile del Trattamento all’individuazione degli strumenti più adatti alla protezione dei dati personali in conformità delle norme nazionali e comunitarie.

Dal 25 maggio 2018, data di entrata in vigore del Regolamento Europeo 679/2016, “tutti gli enti pubblici”, e quei soggetti privati che trattano dati personali su larga scala, dati sensibili o giudiziari (art. 37 Regolamento) dovranno obbligatoriamente dotarsi di questa figura professionale.

L’art.37 del Regolamento UE riconosce, in capo al titolare e al responsabile del trattamento dati, l’obbligo di designare il DPO in tre occasioni:

In tutti gli altri casi è facoltà dei titolari e responsabili del trattamento, nonché di loro associazioni o altri organismi che li rappresentano, designare il responsabile della protezione dati che può agire per dette associazioni e organismi. Le imprese saranno tenute quindi, se vorranno garantire elevati standard di sicurezza, a nominare tale figura anche laddove ciò non sia obbligatorio per legge, affidando tale compito a soggetti qualificati.

La funzione del DPO potrà essere esercitata anche da un'organizzazione esterna, come ad esempio SICILPRIVACY S.R.L.S., che, in conformità a quanto previsto e disciplinato dall’articolo 39 del Regolamento UE, dovrà fornire i seguenti servizi:

(art.39 Regolamento UE 2016/679).