Il Responsabile della protezione dei dati personali (o DPO dall'inglese Data Protection Officer) è un soggetto che viene nominato dal Titolare del trattamento o dal responsabile del trattamento per supportare, controllare e organizzare l'applicazione del nuovo Regolamento europeo (GDPR).
Il DPO va nominato quando l’attività principale consiste in trattamenti che:
Il DPO deve informare e fornire consulenza al Titolare o al Responsabile del trattamento e ai dipendenti in merito all'adozione delle misure e delle garanzie adeguate in materia di privacy.
Inoltre, il DPO deve garantire il rispetto della normativa sulla protezione dei dati personali e formare il personale che partecipa ai trattamenti. Inoltre, il DPO può fornire un parere sulla valutazione d'impatto e sorvegliarne lo svolgimento.
Il suo nome va comunicato all'autorità di controllo (Garante) e coopera con la stessa per le questioni legate al trattamento.
Al DPO non sono richieste specifiche attestazioni formali o l'iscrizione in appositi albi ma deve avere una conoscenza approfondita della normativa e delle prassi in materia di protezione dei dati.
Può essere un dipendente del Titolare o del Responsabile del trattamento ma non deve essere in conflitto di interessi con questi ultimi. Può essere anche un consulente esterno, anche persona giuridica (società).