L'EDPB ha presentato uno studio approfondito (2023 Coordinated Enforcement Action – Designation and Position of Data Protection Officers) sulla figura del Responsabile della protezione dei dati (o DPO), a più di cinque anni dall'introduzione della privacy in chiave europea. Uno studio che, accompagnato da alcune raccomandazioni, serve a rafforzare l'importanza e il ruolo del DPO, esaminandone le prospettive future. Ecco i punti salienti:

A seguito di tale indagine approfondita l’EDPB suggerisce di:

1. promuovere la nomina del DPO anche se non è obbligatorio;
2. dotarlo di risorse adeguate;
3. promuoverne e sostenerne la  conoscenza specialistica e la formazione;
4. garantirne il coinvolgimento come previsto dal GDPR;
5. evitare situazioni di conflitto di interesse e garantire l’indipendenza per gli DPO;
6. rafforzare il dialogo tra il DPO e i vertici organizzativi;
7. definire delle linee guida per contribuire alla attività dei DPO.

Ricordiamo che le caratteristiche operative del DPO sono le seguenti:

• deve godere di autonomia e indipendenza quindi il titolare non può  fornirgli istruzioni e deve disporre di risorse necessarie per assolvere ai propri compiti, accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica;
• ha un dialogo diretto con il titolare/vertice dell’organizzazione ed è nel contempo un riferimento interno per gli incaricati del trattamento, ma anche esterno per gli interessati. Inoltre, è chiamato a cooperare con l’Autorità di controllo cui può anche autonomamente rivolgersi per consultazioni;
• deve esercitare un  potere di sorveglianza sull’applicazione delle norme privacy
• deve formulare delle raccomandazioni al titolare e, quando necessario, può condurre indagini su questioni e fatti ricadenti nell’ambito delle sue funzioni e riferirne alla persona che lo ha incaricato;
• oltre a essere “facilitatore” nei confronti dell’Autorità di controllo, al DPO è riconosciuta la facoltà di poterla consultare sia nel caso in cui i trattamenti presentino un rischio elevato per gli interessati in assenza di misure per ridurlo ma anche “relativamente a qualunque altra questione”, come per approfondimenti circa visioni confliggenti fra scelte del titolare e valutazioni del DPO

Partendo dal presupposto che nessuna responsabilità ricade sul DPO visto che sarà sempre il titolare a risponderne, si potrebbe evidenziare che il DPO risponderà comunque:

• nei confronti del titolare per eventuale responsabilità civile per inadempimenti ed errori connessi all’incarico ricevuto;
• egli stesso come titolare (autonomo) del trattamento per i dati personali di cui viene a conoscenza e che tratta per l’esercizio delle proprie funzioni.