Il ruolo di DPO può essere ricoperto da un dipendente del titolare o del responsabile ma l’incarico può essere anche affidato a soggetti esterni, purché siano nella condizione di dare effettiva esecutività al Regolamento. Nel primo caso il DPO andrà nominato mediante specifico atto di designazione, mentre nel secondo, dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno elencare oltre ai compiti anche le risorse, gli strumenti, i poteri e ogni dato del contesto di riferimento. Gli dovranno essere assegnati risorse finanziarie, infrastrutturali e umane necessarie e sufficienti per lo svolgimento del compito .
I dati di contatto del DPO devono essere resi pubblici e all’atto della nomina nominativo contatti devono essere comunicati al Garante mediante invio telematico secondo la procedura messa a disposizione dal Garante stesso sul proprio portale; l’invio telematico rende superflua l’attribuzione di data certa all’atto.
Nell’individuazione del DPO bisogna fare molta attenzione a non incorrere nel conflitto d’interessi tra il ruolo di responsabile per la protezione dei dati e incarichi dirigenziali o mansioni di natura decisionale in materia di finalità o trattamento dei dati: il DPO cioè non potrà essere l’amministratore delegato, il direttore generale, il membro del cda ma neppure la direzione delle risorse umane, il responsabile IT ecc., solo per elencarne alcuni; allo stesso modo non potrà essere il consulente esterno che ha prestato i propri servizi per adeguare l’azienda o l’ente al Regolamento.
Il ruolo può essere ricoperto anche da un team che fa capo a un unico referente oppure a una persona giuridica (se soggetto esterno) purché venga individuata una persona fisica che funga da punto di contatto tra azienda/ente, Interessati e Autorità.