Con il GDPR viene istituita all’interno dell’azienda la figura del Data Protection Officer (DPO) con il compito di vigilare sui processi interni alla struttura e di fungere da consulente: tuttora i controllers (i controllori delle attività di monitoraggio ed elaborazione dati) sono tenuti a notificare le loro attività a DPA (Data Protection Advisor) locali che, ad esempio all’interno di multinazionali, possono rivelarsi un vero e proprio incubo burocratico, poiché ogni stato membro ha requisiti di notifica differenti. Con l’introduzione della figura del DPO, nominato sulla base di qualità professionali, esperto in materia di diritto e di pratiche di protezione dei dati e dotato delle risorse idonee, verrà semplificato il controllo dei processi interni di gestioni dei dati.
La nuova normativa pone particolare attenzione, oltre a quanto già detto, anche alle richieste di consenso che vengono fatte ai soggetti: il GDPR vuole che le richieste vengano sottoposte all’utente in maniera “intellegibile e facilmente accessibile“, di modo che sia subito chiaro qual è lo scopo dell’elaborazione dei dati. Le aziende dovranno inoltre garantire agli utenti il diritto alla cancellazione dei dati personali “Right be Forgotten”, la possibilità di chiedere informazioni riguardo al trattamento degli stessi e ottenere anche una copia gratuita in formato elettronico a disposizione del soggetto.