Risorsa realizzata da Fabio Cassanelli, Co-founder & Consulente GDPR di Argo Business Solutions
Quando è obbligatoria la nomina di un DPO?
Il Responsabile della Protezione dei Dati Personali o Data Protection Officer (RPD o DPO) è una figura introdotta dall’art. 37 del Regolamento (UE) 2016/679 GDPR. Si tratta di un soggetto, una persona fisica interna o esterna a all’organizzazione o una persona giuridica, nominato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del GDPR.
I suoi dati di contatto vanno obbligatoriamente nominati al Garante per la Protezione dei Dati Personali seguendo una specifica procedura online.
Ma le startup sono obbligate a nominare un DPO?
I requisiti per la nomina
Secondo l’articolo 37 del GDPR, il titolare del trattamento e il responsabile del trattamento devono nominare sistematicamente un responsabile della protezione dei dati se:
- il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
I dati particolari sono quelli che rivelano l’origine etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale.
La mia startup ha bisogno di un DPO?
La risposta corretta è: dipende.
Se la startup esegue trattamenti che consentono il monitoraggio di interessati su larga scala o vengono trattati su larga scala dati particolari e giudiziari, questa dovrà assolutamente nominare un DPO.
Tuttavia, anche se la startup non rientra nelle categorie sopramenzionate, qualora non vi fossero tra i founder o nel personale adeguate competenze in materia di privacy e data protection, il nostro consiglio è di prevedere la nomina del DPO come uno dei passi preliminari. Infatti, anche per i casi in cui il Regolamento non impone in modo tassativo la designazione di un RPD o DPO, è comunque possibile una nomina su base volontaria.
Il DPO supporterà la startup nell’applicazione dei principi della privacy by design e by default e la aiuterà in tutti gli altri adempimenti richiesti dal GDPR. Inoltre, il DPO potrà interfacciarsi con gli investitori, fornendo loro tutte le informazioni volte a dimostrare la compliance al GDPR della startup.
Attenzione ai conflitti d’interesse
Nonostante al DPO sia permesso di ricoprire altre posizioni all’interno dell’azienda e di eseguire ulteriori compiti, è quanto mai importante che non vengano a crearsi dei conflitti di interesse nei confronti della startup. Infatti, dovendo il Data Protection Officer rispondere al requisito di indipendenza, non potrà essere uno dei founder o ricoprire un ruolo di “alta o media amministrazione” come ad esempio chief executive, chief operating, chief financial, chief medical officer, direzione marketing, direzione risorse umane o direzione IT.
Nel caso in cui si decidesse di nominare quale DPO una figura esterna all’organizzazione (può essere sia una persona fisica che giuridica) risulta incompatibile con i requisiti di indipendenza l’assegnazione dell’incarico a soggetti che, nel rendere servizi nell’interesse del titolare, potrebbero trovarsi in una posizione di conflitto di interessi come ad esempio i fornitori di servizi IT, le software-house, ecc…
Ci auguriamo che questa risorsa ti sia piaciuta e che ti abbia dato gli strumenti necessari per affrontare il tema della GDPR per la tua startup! Se te le eri perse o se hai bisogno di recuperare altre informazioni, leggi le prime due parti della risorsa.
