Domanda: la grande distribuzione organizzata (GDO) deve nominare il Data Protection Officer ?
Occorre valutare se la GDO, il centro commerciale, il supermarket, il discount, outlet village, ecc… :
- adotta uno o più strumenti di fidelizzazione (es. le carte punti);
- esegue attività di profilazione degli utenti (es. sito web promozionale, e-commerce, app per cellulari che raccolgono dati personali, ecc…);
- impiega strumenti di pubblicità comportamentale;
- dispone di sistemi che realizzano attività di monitoraggio della clientela;
- ha un sistema di videosorveglianza che dispone di caratteristiche avanzate;
- ha soci tra i suoi clienti e offre loro servizi finanziari, telefonici ed altro (es. la Coop).
Qualora anche una sola delle condizioni sia presente, dovrà essere nominato il responsabile della protezione dei dati (RPD) o Data Protection Officer (DPO).
Ultimamente quasi tutte le realtà della grande distribuzione rilasciano delle fidelity card che consentono di profilare scelte di consumo dei clienti; dalle pregresse esperienze, tali particolari trattamenti di dati personali possono produrre gravi violazioni della privacy, anche a seguito di accadimenti banali; è quindi necessario che l’organizzazione implementi un sistema di protezione adeguato al grado di rischio, che deve essere sempre valutato con una D.P.I.A.
In ogni caso, una organizzazione delle dimensioni di un grande supermercato dovrà necessariamente adottare un Modello Organizzativo Privacy o DataProtection Model, senza il quale sarà molto difficile raggiungere la compliant alla normativa privacy vigente.