Newsletter “Segnali di fumo” → Iscriviti ora

Startup e GDPR (pt.3)

Si conclude la nostra guida sugli adempimenti e gli obblighi da rispettare a proposito di privacy e utilizzo dei dati personali quando sviluppi e vendi i tuoi prodotti e servizi.

Risorsa realizzata da Fabio Cassanelli, Co-founder & Consulente GDPR di Argo Business Solutions

Quando è obbligatoria la nomina di un DPO?

Il Responsabile della Protezione dei Dati Personali o Data Protection Officer (RPD o DPO) è una figura introdotta dall’art. 37 del Regolamento (UE) 2016/679 GDPR. Si tratta di un soggetto, una persona fisica interna o esterna a all’organizzazione o una persona giuridica, nominato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del GDPR.

I suoi dati di contatto vanno obbligatoriamente nominati al Garante per la Protezione dei Dati Personali seguendo una specifica procedura online.

Ma le startup sono obbligate a nominare un DPO?

I requisiti per la nomina

Secondo l’articolo 37 del GDPR, il titolare del trattamento e il responsabile del trattamento devono nominare sistematicamente un responsabile della protezione dei dati se:

  • il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

I dati particolari sono quelli che rivelano l’origine etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale.

La mia startup ha bisogno di un DPO?

La risposta corretta è: dipende.

Se la startup esegue trattamenti che consentono il monitoraggio di interessati su larga scala o vengono trattati su larga scala dati particolari e giudiziari, questa dovrà assolutamente nominare un DPO.

Tuttavia, anche se la startup non rientra nelle categorie sopramenzionate, qualora non vi fossero tra i founder o nel personale adeguate competenze in materia di privacy e data protection, il nostro consiglio è di prevedere la nomina del DPO come uno dei passi preliminari. Infatti, anche per i casi in cui il Regolamento non impone in modo tassativo la designazione di un RPD o DPO, è comunque possibile una nomina su base volontaria.

Il DPO supporterà la startup nell’applicazione dei principi della privacy by design e by default e la aiuterà in tutti gli altri adempimenti richiesti dal GDPR. Inoltre, il DPO potrà interfacciarsi con gli investitori, fornendo loro tutte le informazioni volte a dimostrare la compliance al GDPR della startup.

Attenzione ai conflitti d’interesse

Nonostante al DPO sia permesso di ricoprire altre posizioni all’interno dell’azienda e di eseguire ulteriori compiti, è quanto mai importante che non vengano a crearsi dei conflitti di interesse nei confronti della startup. Infatti, dovendo il Data Protection Officer rispondere al requisito di indipendenza, non potrà essere uno dei founder o ricoprire un ruolo di “alta o media amministrazione” come ad esempio chief executive, chief operating, chief financial, chief medical officer, direzione marketing, direzione risorse umane o direzione IT.

Nel caso in cui si decidesse di nominare quale DPO una figura esterna all’organizzazione (può essere sia una persona fisica che giuridica) risulta incompatibile con i requisiti di indipendenza l’assegnazione dell’incarico a soggetti che, nel rendere servizi nell’interesse del titolare, potrebbero trovarsi in una posizione di conflitto di interessi come ad esempio i fornitori di servizi IT, le software-house, ecc…

Ci auguriamo che questa risorsa ti sia piaciuta e che ti abbia dato gli strumenti necessari per affrontare il tema della GDPR per la tua startup! Se te le eri perse o se hai bisogno di recuperare altre informazioni, leggi le prime due parti della risorsa.

Autore

Fabio Cassanelli
Co-founder & GDPR Consultant Argo Business Solutions

Ultimi articoli

Risorse utili

Segnalaci
le tue news

Se hai qualche notizia interessante sulla tua azienda o startup e vuoi darle risalto attraverso le nostre pagine compila il form per segnalarcela.

Ho una news succulenta per ToTeM

Trattamento dei dati

Main Partner
Logo Fondazione Compagnia di San Paolo
Logo di Fondazione Sviluppo e Crescita CRT
Technical Partner