DPO e-commerce: quando è necessario nominare un data protection officer?

dpo ecommerce

Il DPO è una figura nuova che è stata introdotta dal GDPR nell’ambito del sistema di governance dei dati.

Il suo ruolo è fondamentale poiché deve assicurare la corretta applicazione della normativa sui dati personali.

Ma chi è obbligato a nominare un DPO?

È necessario avere un DPO nell’e-commerce?

Secondo il Regolamento Generale sulla Protezione dei Dati Personali, sono tenuti ad avere un DPO i soggetti che trattano dati in maniera regolare e su larga scala, o dati particolari e relativi a condanne penali.  

Se il tuo e-commerce ha come core business il trattamento dei dati, oppure svolge attività di retargeting, remarketing, tracciamento della geolocalizzazione o pubblicità comportamentale, anche tu hai bisogno di un DPO.

In questo articolo ti spiegherò cosa prevede la normativa sulla nomina del DPO, quando è obbligatorio avere un DPO nell’ecommerce e quali requisiti deve avere.

Cosa si intende per Data Protection Officer o ‘DPO’?

DPO è l’acronimo di Data Protection Officer, che in italiano si traduce in responsabile della protezione dei dati personali.

La traduzione, in realtà, non rende in maniera esatta i suoi compiti: il DPO, infatti, non è responsabile di nulla, ma svolge un ruolo di vigilanza e supervisione sull’applicazione del GDPR.

Innanzitutto, il GDPR si applica agli e-commerce che hanno uno stabilimento in Europa o che trattano i dati degli utenti che si trovano in Europa, anche se l’e-commerce ha sede in Cina ad esempio. 

Secondo gli articoli 37 e successivi del Regolamento Europeo sulla protezione dei dati personali, il DPO ha il dovere di:

  • Informare e fornire consulenza al titolare e al responsabile del trattamento dei dati e ai dipendenti preposti al trattamento sugli obblighi e le disposizioni relative alla protezione dei dati personali.
  • Sorvegliare che il Regolamento e le altre disposizioni in merito alla Protezione dei dati vengano rispettate.
  • Assistere il titolare del trattamento nella valutazione d’impatto sulla Protezione dei dati (DPIA).
  • Cooperare con l’Autorità Garante.
  • Porsi come punto di raccordo tra il Garante e il titolare per l’accesso alle informazioni e ai documenti privacy e l’esercizio dei diritti degli interessati. 

Il DPO, quindi, è un consulente tecnico e legale con un ruolo doppio: da un lato, consiglia e sorveglia l’azienda; dall’altro, fa da tramite tra organizzazione e Autorità Garante Privacy.

DPO: chi può farlo?

Chi può essere nominato DPO in un e-commerce?

Questa figura può essere individuata, dal titolare dell’azienda o dal responsabile del trattamento, tra le risorse interne all’azienda. In alternativa, ci si può rivolgere ad un consulente esterno (ad esempio un legale) o un team formato da diverse figure professionali, stipulando con questi un contratto di servizi.

È fondamentale, però, che non vengano riscontrate situazioni di conflitto d’interesseQuesto aspetto non va sottovalutato da chi ricopre già un ruolo al vertice dell’azienda.
Nel caso dell’e-commerce, infatti, il DPO non può coincidere con il direttore marketing, il proprietario, il responsabile operativo o finanziario o chi si occupa della gestione del sito.

Inoltre, questa figura deve essere indipendente. Ciò significa che le mansioni vanno svolte senza istruzioni da parte del datore di lavoro.

| Quali competenze deve avere il DPO di un e-commerce? 

Il DPO deve possedere: 

  • un’approfondita conoscenza della normativa e delle prassi in materia di protezione dei dati personali, nazionale e europea;
  • una capacità di assolvere alle complesse funzioni richieste dal Regolamento;
  • esperienza nel settore di attività o nella struttura stessa;
  • formazione sui sistemi informativi utilizzati.

In sintesi, il DPO deve avere un grado di professionalità adeguato alla complessità del compito da svolgere, per progettare, verificare e mantenere un sistema di gestione dei dati personali, coadiuvando il titolare anche nella definizione delle misure di sicurezza da adottare. 

Deve inoltre agire in piena indipendenza (considerando 97 del GDPR) e autonomia, senza ricevere istruzioni in ordine all’esecuzione dei suoi compiti e riferendo direttamente ai vertici del titolare o del responsabile del trattamento (art. 38, par. 3 del RGPD).

Recentemente, il Garante della Privacy lussemburghese ha comminato una sanzione di 18mila euro ad una società per l’inadeguatezza del DPOSecondo l’Autorità, tra i requisiti del DPO deve esserci un’esperienza in materia di protezione dei dati di almeno tre anni

Un aspetto fondamentale per la tutela del tuo e-commerce è la pubblicazione dei dati di contatto del DPO nella sezione relativa alla Privacy Policy, anche solo mediante un indirizzo email dedicato.

| Quando è necessario un DPO nell’e-commerce

La prima cosa da precisare è che la nomina di questa figura non riguarda tutti i negozi online. 

Il GDPR indica quando il DPO è obbligatorio nell’e-commerce:

  1. quando è l’autorità pubblica o un organismo pubblico a occuparsi del trattamento; 
  2. se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala
  3. quando i dati trattati su larga scala rientrano in categorie particolari (dati ex sensibili, dati relativi a condanne penali).

Cosa si intende per monitoraggio regolare su larga scala?

Per capire se per il tuo e-commerce è necessario nominare un data protection officer, è bene approfondire il concetto di ‘monitoraggio regolare su larga scala.

Un trattamento su larga scala si definisce tenendo conto di alcuni aspetti:

  • il numero degli interessati, 
  • il volume dei dati, 
  • la tipologia e la durata del trattamento, 
  • l’estensione geografica.

Ecco alcuni esempi relativi alle attività online su larga scala:

  • trattamento di dati personali per attività di retargeting e remarketing;
  • trattamento di dati di geolocalizzazione per fini statistici in ambito internazionale.

Il monitoraggio regolare e sistematico invece indica che il trattamento dei dati è il core business o l’attività principale del sito e-commerce. 

Per cui ha le seguenti caratteristiche:

  • avviene in modo continuo o a intervalli regolari;
  • viene svolto in maniera ricorrente o ripetuta nel tempo;
  • è costante o periodico;
  • è organizzato, sistematico o metodico;
  • segue una precisa strategia.

Gli esempi che possono riguardare un negozio di vendita su internet sono:

  • reindirizzamento delle email;
  • pubblicità comportamentale;
  • tracciamento dell’ubicazione dalle app;
  • programmi di fidelizzazione.

Quali sono i dati particolari degli utenti o i dati relativi a condanne penali?

Il DPO è necessario per gli e-commerce che trattano i dati particolari degli utenti o i dati giudiziari.

I dati particolari, chiamati dati sensibili fino a qualche tempo fa, vengono definiti dall’articolo 9 del GDPR come quei dati che riguardano:

  • l’origine razziale o etnica, 
  • le opinioni politiche, 
  • le convinzioni religiose o filosofiche, 
  • l’appartenenza sindacale, 
  • i dati genetici, 
  • i dati biometrici intesi a identificare in modo univoco una persona fisica, 
  • i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

In questi casi è necessario raccogliere il consenso esplicito dell’interessato al trattamento dei dati personali per una o più finalità relativa al trattamento dei dati.

Il trattamento dei dati particolari senza il consenso esplicito può avvenire solo in casi specifici:

  • qualora sia necessario per assolvere agli obblighi di legge o esercitare alcuni diritti del titolare;
  • per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato sia incapace di rilasciare un consenso;
  • per motivi di interesse pubblico.

Il DPO è obbligatorio nell’e-commerce?

Come abbiamo visto, quindi, non tutti i negozi online sono obbligati a nominare un DPO.

La nomina del DPO è obbligatoria per gli e-commerce che svolgono attività di monitoraggio, profilazione e che vendono su una vasta area geografica.

Inoltre, è necessario che ci sia un DPO per l’e-commerce qualora vengano trattati i dati particolari o i dati giudiziari degli utenti.

Tuttavia, non esistono norme che vietano ad un titolare o responsabile di nominare un DPO per l’e-commerce su base volontaria.

Il DPO ricopre un ruolo di raccordo tra il Garante e il titolare dell’e-commerce e, in alcuni casi, questa figura può essere utile per dimostrare che il trattamento dei dati avviene in conformità con il Regolamento.

| Cosa può fare per te l’Avvocato dell’Ecommerce

Il Trattamento dei dati personali è un argomento particolarmente delicato che richiede una conoscenza approfondita della normativa. Per tutelare il tuo e-commerce è necessario rispettare le indicazioni del legislatore, così da evitare sanzioni e non correre nessun tipo di rischio.

Un legale specializzato nell’e-commerce  può aiutarti a redigere la Privacy Policy del tuo e-commerce e ad analizzare se nella tua azienda è necessario nominare un Data protection officer.

Affidarsi all’intuito potrebbe esporre il tuo business a provvedimenti da parte dell’Autorità Garante.

Contattami per una consulenza! 

L’Avvocato dell’Ecommerce è a tua disposizione per analizzare le attività della tua azienda, valutare se la tua Informativa sulla Privacy rispetta la normativa e capire se devi nominare un DPO.

Floriana Capone
L’Avvocato dell’Ecommerce
POTREBBE INTERESSARTI LEGGERE ANCHE
Menu
error: Content is protected !!