Il titolare del trattamento o il responsabile del trattamento può avere un responsabile della protezione dei dati, come richiesto dall’articolo 37 oppure su decisione volontaria come buona prassi. L’articolo 39 del regolamento stabilisce una serie di compiti obbligatori per il responsabile della protezione dei dati, ma non impedisce l’assegnazione di ulteriori compiti da parte del titolare del trattamento, se del caso.
Tra i compiti obbligatori del responsabile della protezione dei dati di particolare rilevanza per la notifica delle violazioni figurano quelli di fornire consulenza e informazioni al titolare del trattamento o al responsabile del trattamento, sorvegliare l’osservanza del regolamento e fornire un parere in merito alle valutazioni d’impatto sulla protezione dei dati. Il responsabile della protezione dei dati deve inoltre cooperare con l’autorità di controllo e fungere da punto di contatto per l’autorità di controllo e per gli interessati. Va inoltre osservato che, ai fini della notifica della violazione all’autorità di controllo, l’articolo 33, paragrafo 3, lettera b), impone al titolare del trattamento di fornire il nome e i dati di contatto del responsabile della protezione dei dati o di un altro punto di contatto.
Per quanto riguarda la documentazione delle violazioni, il titolare del trattamento o il responsabile del trattamento potrebbe chiedere il parere del proprio responsabile della protezione dei dati in merito alla struttura, all’impostazione e all’amministrazione della documentazione. Al responsabile della protezione dei dati potrebbe altresì essere affidato il compito di tenere i registri.
Questi compiti indicano che il responsabile della protezione dei dati dovrebbe svolgere un ruolo chiave nel fornire assistenza nella prevenzione delle violazioni o nella preparazione alle stesse, fornendo consulenza e monitorando il rispetto delle norme, nonché durante una violazione (ossia nel processo di notifica all’autorità di controllo) e durante qualsiasi successiva indagine da parte dell’autorità di controllo. In tale ottica, il Gruppo di lavoro raccomanda di informare tempestivamente il responsabile della protezione dei dati dell’esistenza di una violazione e di coinvolgerlo nella gestione delle violazioni e nel processo di notifica.