
Il DPO è una figura nuova che è stata introdotta dal GDPR nell’ambito del sistema di governance dei dati.
Il suo ruolo è fondamentale poiché deve assicurare la corretta applicazione della normativa sui dati personali.
Ma chi è obbligato a nominare un DPO?
È necessario avere un DPO nell’e-commerce?
Secondo il Regolamento Generale sulla Protezione dei Dati Personali, sono tenuti ad avere un DPO i soggetti che trattano dati in maniera regolare e su larga scala, o dati particolari e relativi a condanne penali.
Se il tuo e-commerce ha come core business il trattamento dei dati, oppure svolge attività di retargeting, remarketing, tracciamento della geolocalizzazione o pubblicità comportamentale, anche tu hai bisogno di un DPO.
In questo articolo ti spiegherò cosa prevede la normativa sulla nomina del DPO, quando è obbligatorio avere un DPO nell’ecommerce e quali requisiti deve avere.
Indice
| Cosa si intende per Data Protection Officer o ‘DPO’?
DPO è l’acronimo di Data Protection Officer, che in italiano si traduce in responsabile della protezione dei dati personali.
La traduzione, in realtà, non rende in maniera esatta i suoi compiti: il DPO, infatti, non è responsabile di nulla, ma svolge un ruolo di vigilanza e supervisione sull’applicazione del GDPR.
Innanzitutto, il GDPR si applica agli e-commerce che hanno uno stabilimento in Europa o che trattano i dati degli utenti che si trovano in Europa, anche se l’e-commerce ha sede in Cina ad esempio.
Secondo gli articoli 37 e successivi del Regolamento Europeo sulla protezione dei dati personali, il DPO ha il dovere di:
- Informare e fornire consulenza al titolare e al responsabile del trattamento dei dati e ai dipendenti preposti al trattamento sugli obblighi e le disposizioni relative alla protezione dei dati personali.
- Sorvegliare che il Regolamento e le altre disposizioni in merito alla Protezione dei dati vengano rispettate.
- Assistere il titolare del trattamento nella valutazione d’impatto sulla Protezione dei dati (DPIA).
- Cooperare con l’Autorità Garante.
- Porsi come punto di raccordo tra il Garante e il titolare per l’accesso alle informazioni e ai documenti privacy e l’esercizio dei diritti degli interessati.
Il DPO, quindi, è un consulente tecnico e legale con un ruolo doppio: da un lato, consiglia e sorveglia l’azienda; dall’altro, fa da tramite tra organizzazione e Autorità Garante Privacy.
| DPO: chi può farlo?
Chi può essere nominato DPO in un e-commerce?
Questa figura può essere individuata, dal titolare dell’azienda o dal responsabile del trattamento, tra le risorse interne all’azienda. In alternativa, ci si può rivolgere ad un consulente esterno (ad esempio un legale) o un team formato da diverse figure professionali, stipulando con questi un contratto di servizi.
È fondamentale, però, che non vengano riscontrate situazioni di conflitto d’interesse. Questo aspetto non va sottovalutato da chi ricopre già un ruolo al vertice dell’azienda.
Nel caso dell’e-commerce, infatti, il DPO non può coincidere con il direttore marketing, il proprietario, il responsabile operativo o finanziario o chi si occupa della gestione del sito.
Inoltre, questa figura deve essere indipendente. Ciò significa che le mansioni vanno svolte senza istruzioni da parte del datore di lavoro.
| Quali competenze deve avere il DPO di un e-commerce?
Il DPO deve possedere:
- un’approfondita conoscenza della normativa e delle prassi in materia di protezione dei dati personali, nazionale e europea;
- una capacità di assolvere alle complesse funzioni richieste dal Regolamento;
- esperienza nel settore di attività o nella struttura stessa;
- formazione sui sistemi informativi utilizzati.
In sintesi, il DPO deve avere un grado di professionalità adeguato alla complessità del compito da svolgere, per progettare, verificare e mantenere un sistema di gestione dei dati personali, coadiuvando il titolare anche nella definizione delle misure di sicurezza da adottare.
Deve inoltre agire in piena indipendenza (considerando 97 del GDPR) e autonomia, senza ricevere istruzioni in ordine all’esecuzione dei suoi compiti e riferendo direttamente ai vertici del titolare o del responsabile del trattamento (art. 38, par. 3 del RGPD).
Recentemente, il Garante della Privacy lussemburghese ha comminato una sanzione di 18mila euro ad una società per l’inadeguatezza del DPO. Secondo l’Autorità, tra i requisiti del DPO deve esserci un’esperienza in materia di protezione dei dati di almeno tre anni.
Un aspetto fondamentale per la tutela del tuo e-commerce è la pubblicazione dei dati di contatto del DPO nella sezione relativa alla Privacy Policy, anche solo mediante un indirizzo email dedicato.
| Quando è necessario un DPO nell’e-commerce
La prima cosa da precisare è che la nomina di questa figura non riguarda tutti i negozi online.
Il GDPR indica quando il DPO è obbligatorio nell’e-commerce:
- quando è l’autorità pubblica o un organismo pubblico a occuparsi del trattamento;
- se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- quando i dati trattati su larga scala rientrano in categorie particolari (dati ex sensibili, dati relativi a condanne penali).
> Cosa si intende per monitoraggio regolare su larga scala?
Per capire se per il tuo e-commerce è necessario nominare un data protection officer, è bene approfondire il concetto di ‘monitoraggio regolare su larga scala‘.
Un trattamento su larga scala si definisce tenendo conto di alcuni aspetti:
- il numero degli interessati,
- il volume dei dati,
- la tipologia e la durata del trattamento,
- l’estensione geografica.
Ecco alcuni esempi relativi alle attività online su larga scala:
- trattamento di dati personali per attività di retargeting e remarketing;
- trattamento di dati di geolocalizzazione per fini statistici in ambito internazionale.
Il monitoraggio regolare e sistematico invece indica che il trattamento dei dati è il core business o l’attività principale del sito e-commerce.
Per cui ha le seguenti caratteristiche:
- avviene in modo continuo o a intervalli regolari;
- viene svolto in maniera ricorrente o ripetuta nel tempo;
- è costante o periodico;
- è organizzato, sistematico o metodico;
- segue una precisa strategia.
Gli esempi che possono riguardare un negozio di vendita su internet sono:
- reindirizzamento delle email;
- pubblicità comportamentale;
- tracciamento dell’ubicazione dalle app;
- programmi di fidelizzazione.
> Quali sono i dati particolari degli utenti o i dati relativi a condanne penali?
Il DPO è necessario per gli e-commerce che trattano i dati particolari degli utenti o i dati giudiziari.
I dati particolari, chiamati dati sensibili fino a qualche tempo fa, vengono definiti dall’articolo 9 del GDPR come quei dati che riguardano:
- l’origine razziale o etnica,
- le opinioni politiche,
- le convinzioni religiose o filosofiche,
- l’appartenenza sindacale,
- i dati genetici,
- i dati biometrici intesi a identificare in modo univoco una persona fisica,
- i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
In questi casi è necessario raccogliere il consenso esplicito dell’interessato al trattamento dei dati personali per una o più finalità relativa al trattamento dei dati.
Il trattamento dei dati particolari senza il consenso esplicito può avvenire solo in casi specifici:
- qualora sia necessario per assolvere agli obblighi di legge o esercitare alcuni diritti del titolare;
- per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato sia incapace di rilasciare un consenso;
- per motivi di interesse pubblico.
| Il DPO è obbligatorio nell’e-commerce?
Come abbiamo visto, quindi, non tutti i negozi online sono obbligati a nominare un DPO.
La nomina del DPO è obbligatoria per gli e-commerce che svolgono attività di monitoraggio, profilazione e che vendono su una vasta area geografica.
Inoltre, è necessario che ci sia un DPO per l’e-commerce qualora vengano trattati i dati particolari o i dati giudiziari degli utenti.
Tuttavia, non esistono norme che vietano ad un titolare o responsabile di nominare un DPO per l’e-commerce su base volontaria.
Il DPO ricopre un ruolo di raccordo tra il Garante e il titolare dell’e-commerce e, in alcuni casi, questa figura può essere utile per dimostrare che il trattamento dei dati avviene in conformità con il Regolamento.
| Cosa può fare per te l’Avvocato dell’Ecommerce
Il Trattamento dei dati personali è un argomento particolarmente delicato che richiede una conoscenza approfondita della normativa. Per tutelare il tuo e-commerce è necessario rispettare le indicazioni del legislatore, così da evitare sanzioni e non correre nessun tipo di rischio.
Un legale specializzato nell’e-commerce può aiutarti a redigere la Privacy Policy del tuo e-commerce e ad analizzare se nella tua azienda è necessario nominare un Data protection officer.
Affidarsi all’intuito potrebbe esporre il tuo business a provvedimenti da parte dell’Autorità Garante.
Contattami per una consulenza!
L’Avvocato dell’Ecommerce è a tua disposizione per analizzare le attività della tua azienda, valutare se la tua Informativa sulla Privacy rispetta la normativa e capire se devi nominare un DPO.