Il Responsabile della protezione dei dati deve agire in modo autonomo, senza conflitti di interessi e senza ricevere alcuna istruzione per quanto riguarda lo svolgimento dei propri compiti. Per queste ragioni, il Garante ha raccomandato agli enti pubblici la designazione di un dirigente o di un funzionario di alta professionalità.
Il Gruppo Art. 29 ha precisato che occorre valutare caso per caso quale sia la figura più idonea a ricoprire il ruolo di DPO, avendo riguardo alla specifica struttura organizzativa, alla dimensione e alle attività del Titolare del trattamento. E' inoltre opportuno verificare che l'attribuzione delle funzioni di Responsabile della protezione dei dati al Responsabile per la Prevenzione della Corruzione e per la Trasparenza (RPCT) non crei un cumulo di impegni che incidano negativamente sull'effettività del ruolo rivestito. In questo caso il RPCT non dovrebbe al contempo rivestire il ruolo di DPO.
Con riguardo al settore privato, invece, è stato chiarito che non potranno ricoprire il ruolo di DPO i responsabili della funzione risorse umane, del marketing e dei sistemi informativi e il responsabile finanziario. (Da Leggi d'Italia, in Pratica legale - GDPR, Guide Pratiche - Il Responsabile della protezione dei dati)
La sentenza n. 287/2018, depositata il 13 settembre scorso, dal Tribunale Amministrativo Regionale per il Friuli-Venezia Giulia, rappresenta una delle primissime decisioni in tema di nomina del Responsabile per la protezione dei dati personali (RPD o DPO, Data protection Officer).
La pronuncia entra nel merito di un tema molto dibattuto sorto a seguito dell'entrata in vigore del GDPR e cioè quella delle competenze richieste al DPO per lo svolgimento dei compiti previsti dall'art. 39, ma che in realtà possono essere ben più ampi di quelli previsti dalla prescrizione normativa.
Nell'affrontare la questione se il DPO sia da ritenere più un giurista o un tecnico-informatico la posizione del TAR è a favore del profilo giuridico del DPO e dell'irrilevanza di certificazioni in merito. L'oggetto dell'incarico non è costituito infatti dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni, ma attiene piuttosto alla tutela del diritto fondamentale dell'individuo alla protezione dei dati personali, indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo. (Fonti: Leggi d'Italia, in Pratica legale - GDPR del 14/02/2018)