Entro il 25 maggio 2018 dovranno designare obbligatoriamente un Responsabile della protezione dei dati (RPD o DPO):
- amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie;
- tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.
Inoltre si ricorda che, comunque anche nei casi in cui Regolamento UE 2016/679 non impone in modo specifico la designazione di un RPD, è comunque possibile una nomina su base volontaria.
Posto ciò, dalla newsletter del Garante per la Privacy n. 432 del 15 settembre 2017 si apprende che i soggetti obbligati dovranno scegliere il Responsabile della protezione dei dati personali (RPD) con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche.
Non sono, quindi, richieste attestazioni formali sul possesso delle conoscenze o l'iscrizione ad appositi albi professionali, ma il Data Protection Officer dovrà avere un'approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.