L’article 37 du règlement européen 2016/679 du 27 avril 2016 (RGDP) contraint certains responsables de traitement de désigner un Délégué à la protection des données (DPO) auprès des autorités de contrôle (la CNIL en France). Les responsables de traitement et les sous-traitants devront désigner un DPO s’ils appartiennent au secteur public, si leur activité les amène à réaliser du profiling à grande échelle ou si leur activité les amène à traiter des données dites « sensibles » ou relatives à des condamnations.
L’AFCDP met gracieusement à la disposition de la communauté des actuels CIL et futurs DPO une version annotée et commentée du RGDP. L’article 38 définit la fonction du DPO et l’article 39 en liste les missions (tenue du registre, formalisation d’un bilan annuel, Privacy by Design, Études d’Impacts sur la Vie Privée – EIVP, etc.). Elle propose également on modèle de lettre de mission et de fiche de poste.