All’indomani del provvedimento n. 18/2020 del 28 aprile 2020 dell’ Autorité de Protection des Données, si è acceso un nuovo dibattito tra gli esperti in materia di data protection animato dall’intento di risolvere le complessità connesse alla figura del Data Protection Officer (“ DPO ”). In particolare, il riflettore è stato puntato sulla capacità del DPO di operare con l’autonomia necessaria per assolvere ai compiti tipici del ruolo con ampio margine discrezionale, pienezza delle proprie funzioni e in assenza di qualsivoglia coinvolgimento operativo nella definizione di finalità e mezzi del trattamento di dati personali. Individuato il problema, alcuni autori hanno prospettato l’ outsourcing quale unica soluzione per assicurare il rispetto del requisito normativo dell’indipendenza della figura, riconducendo quindi la questione alla scelta tra la nomina di un dipendente ovvero di un fornitore del titolare. Convinti del fatto che non sia condivisibile l’assioma tale per cui il DPO esterno sarebbe sempre indipendente e, viceversa, quello interno sarebbe per definizione incompatibile, anche noi di Priv@cy& abbiamo preso parte allo scambio di opinioni per analizzare la questione dell’indipendenza da un differente angolo visuale: il profilo organizzativo e gestionale. Questo lavoro si è quindi concentrato, da una parte, sulla qualificazione giuridica dell’obbligo previsto dal GDPR e, dall’altra parte, sulla sua declinazione pratica attraverso l’analisi di best practice utilizzate in contesti similari con l’obiettivo precipuo di verificarne l’applicabilità, in via analogica, anche alla figura del DPO (interno ed esterno).