L’articolo che segue contiene un consiglio molto importante per le agenzie che si occupano di web, il cui valore si apprezzerà più in là nel tempo, quando tutte le imprese avranno adeguato al GDPR i propri sistemi di gestione di dati personali.
Ma l’ora per attivarsi al fine di seguire il nostro suggerimento è: adesso. Per non ritrovarsi, tra qualche mese, affogati.
Iniziamo.
Un imprenditore ha da poco aperto un sito, una vetrina per effettuare generazione di lead, o anche un e-commerce, affidando ad una Web Agency la gestione del servizio di e-mail marketing e il CRM. L’esternalizzazione del servizio, affidato ad un’agenzia specializzata, comporta al contempo, un’esternalizzazione del trattamento dati di cui Titolare è l’imprenditore e-commerce.
Se dal lato contrattuale tutto risulta abbastanza chiaro, dal lato privacy quali sono le regole da seguire?
Tutte le aziende ai sensi dell’art. 28 GDPR, in qualità di titolari del trattamento, hanno l’obbligo di nominare quale responsabile esterno, qualsivoglia soggetto, fornitore di servizi, che tratti i dati per loro conto. Lo specifico obbligo consiste nella predisposizione di un contratto per la designazione delle responsabilità a carico di tale fornitore terzo. Il responsabile esterno del trattamento è un soggetto, distinto dal titolare, che deve essere in grado di fornire garanzie adeguate al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell’interessato, predisponendo le risorse tecniche adeguate per l’attuazione degli obblighi derivanti dal contratto di designazione e dalle norme in materia.
Ma torniamo alle Web Agency.
Tutte le Agenzie Web sono responsabili del trattamento dei dati che esse trattano per conto dei loro clienti, in esecuzione del contratto di fornitura dello specifico servizio web.
Ogni cliente dell’ Agenzia web, allora, in occasione della sua compliance GDPR dovrà individuare i suoi responsabili e nominarli, quale adempimento necessario ai fini di un trattamento lecito dei dati. Quindi dovrà nominare, presumibilmente, l’agenzia. Si tratta di un adempimento obbligatorio per il cliente e da maggio ad oggi le agenzie si sono già viste recapitare i primi atti di nomina da sottoscrivere a testa bassa.
Secondo il GDPR e secondo la prassi, ogni atto di nomina deve contenere:
- Misure di sicurezza da seguire
- Istruzioni su come comportarsi in caso di richiesta degli interessati
- Tempi e termini di risposta
- Audit annuali
- Invio di elenchi di subfornitori
- ecc ecc
Ma ogni Agenzia Web ha moltissimi clienti e rischia quindi di ricevere, da ognuno di essi, atti di nomina, e istruzioni, molto diversi tra loro, e tali da rendere, dal lato privacy, onerosa la sostenibilità della gestione degli adempimenti.
Immaginiamo.
Ogni agenzia si ritroverebbe a dover inviare le liste dei propri fornitori al cliente “A” il 31 gennaio di ogni anno, al cliente “B” a fine giugno, al cliente “C” ogni fine mese, poi il cliente A magari impone un audit tramite compilazione di una scheda annuale, il cliente B invece preferisce effettuare l’accesso personale e il cliente C richiede una relazione annuale. E ancora, lo stesso cliente C poi pretende che, in caso di attivazione di procedure per i diritti degli interessati l’agenzia risponda entro 3 giorni, il cliente A invece chiede all’agenzia di rispondere direttamente all’interessato e il cliente B chiede che la risposta avvenga in giornata. E oltre ai clienti A, B e C potrebbero esserci altri N clienti, tutti con istruzioni differenti. Quindi che fare? Assumere una persona che stia esclusivamente dietro a questi rapporti?
Credo di aver reso l’idea.
Soluzione/Suggerimento:
E’ dunque importantissimo che le Agenzie Web predispongano un atto di nomina da parte del cliente verso sé stessi, da sottoporre allo stesso cliente, nella prospettiva di automatizzare, formalizzare e uniformare la procedura in questione.
Pertanto, ogni Web Agency dovrebbe dotarsi di un proprio modello di atto di nomina a responsabile esterno del trattamento ex art. 28 GDPR, sostituendosi al proprio cliente per questo adempimento, e stabilendo in maniera uniforme tutte le misure tecniche e tutte le istruzioni su come comportarsi in caso di richieste degli interessati, di data breach, di nomine dei sub responsabili etc.
La procedura in questo modo risulterà più snella, formalizzata e soprattutto uniforme, garantendo in maniera ancora più effettiva la tutela dei diritti dell’interessato.
In conclusione, cara agenzia,
predisponi un atto di nomina verso te stessa, anticipa il cliente, sollevalo da tale adempimento, sottoponiglielo all’atto di sottoscrizione del contratto e uniforma la procedura nei confronti di tutti i clienti.