Il GDPR introduce nuove regole per la protezione dei dati personali, con un focus particolare sul Responsabile della protezione dei dati (Data Protection Officer - DPO). Anche se la sua designazione non è una novità, il DPO diventa un elemento chiave nella gestione dei dati personali secondo il GDPR. Il Gruppo di lavoro dell'UE per la protezione dei dati ha elaborato linee guida specifiche per aiutare titolari e responsabili del trattamento a rispettare il GDPR. Le linee guida forniscono dettagli sulla nomina del DPO, soprattutto per le autorità e gli organismi pubblici. Il Garante per la protezione dei dati personali suggerisce che le autorità e gli organismi pubblici designino un DPO in base alle disposizioni del GDPR. Questo include entità come amministrazioni statali, enti pubblici non economici, università e altro ancora. Anche se non obbligatorio, il Gruppo di lavoro raccomanda la nomina di un DPO anche per enti privati che svolgono funzioni pubbliche. Il DPO, interno o esterno all'ente, deve operare in modo indipendente e diretto con il vertice dell'organizzazione.Il processo di nomina del DPO richiede un atto formale che specifica le responsabilità e le motivazioni per la sua selezione. Inoltre, il GDPR richiede che il DPO non riceva istruzioni sull'esecuzione dei suoi compiti e che riporti direttamente al vertice gerarchico dell'organizzazione. È importante anche considerare se una sola persona può gestire tutti i compiti del DPO, soprattutto in caso di trattamenti dati complessi. Le autorità pubbliche devono pubblicare i dati di contatto del DPO e comunicarli all'autorità di controllo, come richiesto dall'art. 37 del GDPR. Inoltre, i dati di contatto del DPO devono essere resi pubblici sul sito web dell'ente pubblico, preferibilmente nelle sezioni "amministrazione trasparente" e "privacy".