LegalBlink – Regolamento Privacy: ecco cosa dovrebbe sapere ogni web agency (e che molti non dicono)

Una delle novità di quest’anno è sicuramente l’entrata in vigore del Regolamento UE n. 2016/679 sulla protezione dei dati (noto anche come GDPR), il quale disciplina la privacy per tutti gli Stati membri dell’Unione Europea.

Quali sono i principali obblighi che una web agency deve rispettare in base al GDPR?

Una web agency deve preoccuparsi innanzitutto dei dati personali che tratta in qualità di titolare del trattamento.

Come qualsiasi società, la web agency tratta dati personali dei propri dipendenti e clienti, decidendo per quali finalità e in base a quali mezzi trattare questi dati.

In questo scenario, la web agency agisce in qualità di titolare del trattamento dei dati personali e, pertanto, deve rispettare gli obblighi previsti in tal senso dal GDPR. Il principale obbligo è quello di consegnare ai soggetti sopra indicati una informativa che indichi in particolare:

  • le finalità del trattamento (es.: adempiere al contrattato con il cliente o dipendente)
  • la durata del trattamento
  • dove sono conservati i dati personali (es.: su un server di proprietà della web agency
  • se i dati vengono comunicati a terzi (es: i dati dei dipendenti che vengono comunicati al commercialista per fini fiscali).

Inoltre, i dipendenti che trattano dati personali dei clienti (es.: la segretaria) devono essere nominati incaricati del trattamento dei dati con un atto che specifichi quali dati personali possono essere trattati e in base a quali finalità. Questo documento è importante per far comprendere ai dipendenti poco esperti in tema privacy (si pensi ad uno stagista assunto da poco) i loro obblighi, in modo da evitare che eventuali errori possano causare responsabilità alla web agency.

La web agency dovrà inoltre pubblicare sul proprio sito la privacy policy e cookie policy, dove spiegare come vengono trattati i dati personali degli utenti e quali cookie vengono rilasciati dal sito.

Le landing page utilizzate dalla web agency per raccogliere e archiviare lead di contatto dovranno contenere una informativa privacy e una adeguata formula del consenso, in modo da poter utilizzare validamente ciascun contattato per attività di marketing.

Sul sito potrebbe essere previsto un form per la richiesta di preventivo. Anche in questo caso l’informativa privacy dovrà informare l’utente che i dati personali verranno trattati solo per l’invio di informazioni inerenti il preventivo (questo significa che se l’utente non accetta il preventivo la web agency non può contattarlo per finalità promozionali).

Sul sito è presente la pagina “Lavora con noi?”: i dati personali dei candidati che vengono scartati devono essere eliminati una volta concluso il periodo di selezione.

La web agency tratta anche i dati personali dei clienti delle società per le quali crea siti web. In questa ipotesi la web agency agisce come responsabile del trattamento.

Infatti, molto spesso la web agency assume l’obbligo sia di creare il sito, sia di gestirlo nei suoi molteplici aspetti. Si pensi per esempio ad una web agency che gestisca il sito ecommerce del proprio cliente ed abbia assunto l’impegno di inviare le newsletter e di effettuare la manutenzione informatica del database (nel quale possono essere visionati importanti dati dei clienti, quali numero di telefono e indirizzo di residenza).

In questa ipotesi, è molto importante che la web agency sia nominata responsabile del trattamento con uno specifico contratto; in caso contrario, la web agency non è autorizzata a trattare i dati personali dei clienti del sito internet e rischia pesanti sanzioni amministrative.

Il contratto di nomina a responsabile del trattamento deve contenere in particolare:

  • i dati personali che la web agency è autorizzata a trattare (il contratto ad esempio può prevedere il divieto di trattare i numeri di telefono dei clienti)
  • entro quanto tempo la web agency deve informare il cliente di una violazione dei dati personali
  • le misure di sicurezza che la web agency deve adottare per garantire un livello di sicurezza adeguato al rischio
  • l’ubicazione dei server utilizzati dalla web agency per allocare i dati personali dei clienti.

Molto spesso la web agency lascia che siano terzi a gestire i dati personali dei propri clienti: si pensi alla società che fornisce un servizio hosting.

In questo caso è possibile nominare i terzi “sub-responsabili”, i quali saranno a loro volta obbligati a rispettare gli impegni privacy imposti dalla web agency.

Il GDPR prevede l’obbligo di redigere un registro dei trattamenti. Questo registro deve essere tenuto sia dal titolare del trattamento, sia dal responsabile.

Visto che la web agency agisce anche come responsabile del trattamento, sotto questo profilo il registro deve indicare:

  • il nome e i dati di contatto di ogni titolare del trattamento per conto del quale la web agency agisce come responsabile;
  • le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
  • dove vengono eventualmente trasferiti i dati personali
  • una descrizione generale delle misure di sicurezza tecniche e organizzative adottate per difendere i dati personali dei clienti del titolare del trattamento.

Al riguardo su internet si leggono articoli dal contento allarmistico, ma è molto raro che una web agency debba nominare un DPO (Data Protection Officer) e redigere una Valutazione di impatto.

Il DPO è un professionista che osserva, valuta e organizza la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

E’ difficile che una web agency debba nominare un DPO in quanto accade raramente che la sua attività principale consista in trattamenti di dati che per sua natura richieda il monitoraggio regolare e sistematico degli utenti su larga scala.

La Valutazione d’impatto è un particolare tipo di valutazione che deve essere svolta quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle degli utenti.

E’ molto raro che una web agency sia obbligata ad adempiere a questo obbligo sia perché è difficile che tratti dati personali che comportino un rischio (addirittura) elevato per i diritti e le libertà delle persone, sia perché la Valutazione d’impatto è un obbligo del titolare (come abbiamo visto prima, le web agency trattano dati personali soprattutto in qualità di responsabili del trattamento).

Gestire i dati personali dei propri clienti è un’operazione delicata per qualsiasi web agency.

Per questo è importante affidarsi a professionisti seri e competenti che la proteggano da responsabilità legali connesse al trattamento dei dati, in modo che la web agency possa dedicarsi serenamente alla propria attività: creare e gestire i siti dei propri clienti.

 

Lorenzo Grassano

CEO LegalBlink