Il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)» applicabile a partire dal 25 maggio 2018, introduce la figura del Responsabile dei dati personali (RPD) (artt. 37-39). Il predetto Regolamento prevede l’obbligo per il titolare o il responsabile del trattamento di designare il RPD «quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico […]» (art. 37, paragrafo 1, lett a). Il Regolamento prevede che il RPD:

• possa essere un dipendente del titolare del trattamento o del responsabile del trattamento, oppure assolvere i suoi compiti in base a un contratto di servizi (art. 37, paragrafo 6);
• debba essere individuato «in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39» (art. 37, paragrafo 5);
• «il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento» (considerando n. 97 del Regolamento).

Il Responsabile per la protezione dei dati, nel rispetto di quanto previsto dall’art. 39, par. 1, del Regolamento è incaricato di svolgere, in piena autonomia e indipendenza, i seguenti compiti e funzioni:

• informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento, nonché da altre disposizioni nazionali o dell’Unione relative alla protezione dei dati;
• sorvegliare l’osservanza del Regolamento, di altre disposizioni nazionali o dell’Unione relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
• fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del Regolamento;
• cooperare con il Garante per la protezione dei dati personali;
• fungere da punto di contatto con il Garante per la protezione dei dati personali per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.