Il DPO è un consulente tecnico e legale, con potere esecutivo. Infatti, il suo ruolo è doppio, perché non solo consiglia e sorveglia, ma funge anche da tramite fra l’organizzazione e l’autorità.
I suoi compiti sono indicati in maniera puntuale nel GDPR all’articolo 39 e sono essenzialmente tre: informare, sorvegliare e cooperare.
Il GDPR ci dice che il DPO deve fornire consulenza tecnica e legale al titolare del trattamento o al responsabile e agli addetti affinché rispettino il Regolamento.
Deve sapersi calare nel contesto e guardare alla situazione. Se il DPO cala dall’altro gli articoli di legge, senza valutare il caso specifico e senza usare un linguaggio chiaro, indicazioni semplici e concrete, non sta facendo bene il suo lavoro di accompagnatore.
Il DPO è un professionista con competenze giuridiche, informatiche, di risk management e di analisi dei processi. Il suo compito principale è quello di osservare, valutare e organizzare la gestione del trattamento di dati personali e la loro protezione all’interno di un’azienda (sia essa pubblica che privata).
Il suo lavoro non si esaurisce nell'indicare come mettere a posto le carte, registri ed informative, che armadietti e cassetti dovranno essere chiusi a chiave, piuttosto deve fare in modo soprattutto che il sistema informatico sia organizzato affinchè non avvengano perdite o sottrazioni di dati.