Menu principale:
• al personale, dipendente e non, siano date istruzioni specifiche sui trattamenti (articolo 29)• al personale, dipendente e non, siano date istruzioni specifiche sulle misure di sicurezza (articolo 32)• il personale, dipendente e non, segua corsi di formazione obbligatoria (articolo 39).
a) Se la loro attività principale consiste nel monitoraggio su larga scala; se la loro attività consiste nel trattamento su larga scala di dati sensibili, biometrici o giudiziari. E' una figura a metà tra il consulente e il revisore e non dovrebbe ricoprire ruoli gestionali, rispetto alla attività dell'azienda o ai fini istituzionali della P.A.. Per espressa indicazione del Regolamento è un conoscitore specialista della normativa e della prassi (ha, quindi, conoscenze giuridiche specialistiche), che da pareri per l'applicazione del Regolamento e vigila sull'applicazione della disciplina.b) Se un interlocutore dei clienti e utenti dell'impresa e della P.A. è anche un punto di contatto per il Garante della privacy. Deve essere autonomo ma può anche essere un dipendente del titolare. Può essere un esterno, e può essere il DPO di più enti, ma attenzione ai conflitti di interessi. In ogni caso il DPO deve tenere conto delle specificità aziendali o dell'ente a favore del quale presta la sua attività. Il DPO ha certamente responsabilità contrattuali nei confronti del titolare del trattamento; si dubita che abbia responsabilità extracontrattuali nei confronti degli interessati, ad esempio, se ha fornito una consulenza errata, da cui sia derivata un'azione causativa di danno all'interessato.
• dare un'idonea informativa• verificare a quali condizioni può trattare i dati.