Iscriviti alla newsletter Segnali di fumo

Startup e GDPR (pt.3)

Si conclude la nostra guida sugli adempimenti e gli obblighi da rispettare a proposito di privacy e utilizzo dei dati personali quando sviluppi e vendi i tuoi prodotti e servizi.

Risorsa realizzata da Fabio Cassanelli, Co-founder & Consulente GDPR di Argo Business Solutions

Quando è obbligatoria la nomina di un DPO?

Il Responsabile della Protezione dei Dati Personali o Data Protection Officer (RPD o DPO) è una figura introdotta dall’art. 37 del Regolamento (UE) 2016/679 GDPR. Si tratta di un soggetto, una persona fisica interna o esterna a all’organizzazione o una persona giuridica, nominato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del GDPR.

I suoi dati di contatto vanno obbligatoriamente nominati al Garante per la Protezione dei Dati Personali seguendo una specifica procedura online.

Ma le startup sono obbligate a nominare un DPO?

I requisiti per la nomina

Secondo l’articolo 37 del GDPR, il titolare del trattamento e il responsabile del trattamento devono nominare sistematicamente un responsabile della protezione dei dati se:

  • il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

I dati particolari sono quelli che rivelano l’origine etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale.

La mia startup ha bisogno di un DPO?

La risposta corretta è: dipende.

Se la startup esegue trattamenti che consentono il monitoraggio di interessati su larga scala o vengono trattati su larga scala dati particolari e giudiziari, questa dovrà assolutamente nominare un DPO.

Tuttavia, anche se la startup non rientra nelle categorie sopramenzionate, qualora non vi fossero tra i founder o nel personale adeguate competenze in materia di privacy e data protection, il nostro consiglio è di prevedere la nomina del DPO come uno dei passi preliminari. Infatti, anche per i casi in cui il Regolamento non impone in modo tassativo la designazione di un RPD o DPO, è comunque possibile una nomina su base volontaria.

Il DPO supporterà la startup nell’applicazione dei principi della privacy by design e by default e la aiuterà in tutti gli altri adempimenti richiesti dal GDPR. Inoltre, il DPO potrà interfacciarsi con gli investitori, fornendo loro tutte le informazioni volte a dimostrare la compliance al GDPR della startup.

Attenzione ai conflitti d’interesse

Nonostante al DPO sia permesso di ricoprire altre posizioni all’interno dell’azienda e di eseguire ulteriori compiti, è quanto mai importante che non vengano a crearsi dei conflitti di interesse nei confronti della startup. Infatti, dovendo il Data Protection Officer rispondere al requisito di indipendenza, non potrà essere uno dei founder o ricoprire un ruolo di “alta o media amministrazione” come ad esempio chief executive, chief operating, chief financial, chief medical officer, direzione marketing, direzione risorse umane o direzione IT.

Nel caso in cui si decidesse di nominare quale DPO una figura esterna all’organizzazione (può essere sia una persona fisica che giuridica) risulta incompatibile con i requisiti di indipendenza l’assegnazione dell’incarico a soggetti che, nel rendere servizi nell’interesse del titolare, potrebbero trovarsi in una posizione di conflitto di interessi come ad esempio i fornitori di servizi IT, le software-house, ecc…

Ci auguriamo che questa risorsa ti sia piaciuta e che ti abbia dato gli strumenti necessari per affrontare il tema della GDPR per la tua startup! Se te le eri perse o se hai bisogno di recuperare altre informazioni, leggi le prime due parti della risorsa.

Autore

Fabio Cassanelli
Co-founder & GDPR Consultant @ Argo Business Solutions

Ultimi articoli

Risorse utili

10 motivi +1 per scegliere Torino come sede della tua startup

10 motivi +1 per scegliere Torino come sede della tua startup

Scegliere Torino per lanciare la tua startup significa entrare a far parte di un ecosistema vibrante e in continua crescita, dove l’innovazione e la collaborazione sono all’ordine del giorno. Con solide basi accademiche e un supporto industriale di prim’ordine, Torino è pronta a trasformare le tue idee in realtà.

Segnalaci
le tue news

Se hai qualche notizia interessante sulla tua azienda o startup e vuoi darle risalto attraverso le nostre pagine compila il form per segnalarcela.

Ho una news succulenta per ToTeM

Trattamento dei dati