Ecco cosa fare per rispettare gli adempimenti GDPR. Uno dei temi più discussi di questi mesi è sicuramente l’entrata in vigore del regolamento GDPR sulla protezione dei dati personali (Regolamento Ue 2016/679) il 25 maggio 2018, che sarà valido per tutti gli Stati membri dell’Unione Europea.
Le informazioni presenti in rete, riferite al regolamento GDPR, sono davvero innumerevoli e, pertanto, il nostro obiettivo non è di certo soffermarci su nozioni trite e ritrite ma, al contrario, fornire le indicazioni più utili in merito agli adempimenti necessari per le realtà aziendali di nostro interesse.
Di fatto il GDPR si sovrappone all’attuale codice per la protezione dei dati personali, regolato dal Decreto Legislativo 196/2003, portando alcune semplificazioni nelle procedure legate agli adempimenti sulla privacy.
Non procedere ad una compliance privacy aziendale adeguata e aggiornata alle normative previste, equivale al rischio di incorrere in pesanti sanzioni, che possono essere evitate affidandosi ad un professionista specializzato.
Ma andiamo con ordine.
In questo articolo ci rivolgiamo agli adempimenti privacy che una web agency deve rispettare per non incorrere in sanzioni e quali sono gli step da seguire per una compliance privacy perfetta.
Quali adempimenti per la privacy deve rispettare una web agency?
Una web agency deve preoccuparsi, in particolare, di tutto ciò che riguarda:
– i trattamenti dei dati personali di cui è titolare,
– i trattamenti che svolge per conto del cliente.
Trattamento dati personali di cui è titolare
Nel primo caso, la web agency è titolare di tutti i dati che possiede riguardanti i propri dipendenti, i propri fornitori e i propri clienti (o potenziali tali).
A ciascuno di essi deve fornire informative che siano in regola con il nuovo regolamento europeo, sebbene esistano delle semplificazioni previste dal Decreto Legge 70/2011 che consentono uno snellimento delle procedure (per dipendenti e fornitori).
In riferimento al proprio sito internet, la web agency deve poter fornire tutte le informative necessarie: dalla cookie policy all’informativa legata alla semplice compilazione di un form, all’invio di eventuali Curricula.
Andando ancora più nello specifico, nel caso in cui sia presente sul sito la possibilità di iscriversi ad una newsletter della web agency per l’invio di DEM, andranno rispettate le norme privacy sulle informazioni commerciali introdotte con DL 196/2003. Servirà dunque una apposita normativa accettata espressamente con un consenso chiaro e separato.
Se sono previste delle landing page per raccogliere ed archiviare lead di contatti che vengono conservati in agenzia (e per l’agenzia), anche in questo caso si tratta di dati di cui l’agenzia risulta titolare e, pertanto, va fornita loro la rispettiva informativa con consenso.
In realtà ogni form avrebbe le sue regole per essere compliant con la normativa. Per esempio, quando è previsto sul sito un form specifico per la richiesta di preventivo, il contatto, previo consenso, deve essere utilizzato al solo e unico scopo di inviare il preventivo richiesto e, per l’eventuale utilizzo ad altri scopi è necessario invece specifico consenso.
Un altro caso interessante da considerare, riguarda l’invio di Curriculum attraverso la classica pagina “lavora con noi”, dove le informazioni sulla privacy da fornire sono molto semplificate. Di fatto, la normativa, non prevede che l’informativa debba necessariamente essere fornita in forma scritta, ma va comunque comunicata al candidato, almeno oralmente, in caso di contatto.
Trattamento dati personali per conto clienti
La maggior parte dei trattamenti di cui la web agency dovrebbe essere titolare è, però, quella per conto dei propri clienti.
Infatti, generalmente, ogni cliente dell’agenzia possiede un sito internet che raccoglie dei dati personali; ecco perché è fondamentale che la web agency si faccia nominare responsabile del trattamento di quei dati.
Se così non fosse, la web agency starebbe trattando dei dati personali illecitamente, poiché non è gli è stato conferito alcun titolo per farlo.
Ma non solo.
L’agenzia deve poter anche nominare dei sub responsabili del trattamento, che potranno essere dei collaboratori o dei fornitori (ad esempio una società che fornisce un servizio di hosting) oltre alla possibilità di gestire, per conto di terzi, le pagine social dei clienti.
La possibilità di incaricare ulteriori aziende (es. hosting), nel trattamento effettuato per conto dei propri clienti, dev’essere espressamente prevista nell’atto di nomina di cui si è accennato poco sopra. Il mio consiglio è quello di inserire la nomina di responsabile del trattamento all’interno dei propri contratti per il servizi offerti dalla web agency, in modo da consentire, al cliente che firma, di nominare la stessa web agency responsabile del trattamento all’atto della accettazione dell’offerta.
Un altro aspetto da non sottovalutare riguarda la riservatezza dei dati che vengono gestiti dai propri dipendenti: essi devono firmare un NDA (non-disclosure agreement) ossia un accordo che impone la riservatezza nel trattare i dati personali dei clienti.
Per sintetizzare meglio il discorso possiamo dire che: titolare del trattamento dei dati raccolti tramite sito internet aziendale è l’azienda di riferimento ma, nel caso in cui la comunicazione sia gestita da una web agency, quest’ultima deve poter avere la nomina di responsabile del trattamento dei dati, oltre alla possibilità di nominare dei sub responsabili.
Altri adempimenti previsti dalla normativa trovano invece meno applicazione nel caso delle web agency. Sarà molto raro che la stessa debba nominare un DPO (dovrebbe ad esempio trattare dati sensibili su larga scala), fare una Valutazione di impatto (DPIA) oppure compilare il registro dei trattamenti. Solitamente questi adempimenti sono riservati ad aziende più grandi, mentre, in questo articolo, ci soffermiamo sulle PMI, al fine di offrire una visione di massima sull’adeguamento al GDPR, applicabile dalla maggior parte delle web agency.
Regolamento GDPR: perché affidarsi ad un professionista?
Senza spaventare nessuno, ritengo importante specificare che le sanzioni previste, nel caso in cui gli adempimenti non vengano rispettati, possono arrivare fino a 20 milioni di euro (non sarà mai il caso di una PMI ovviamente).
Tuttavia, ho seguito personalmente casi in cui, solo per la mancanza di un’informativa sulla cookie policy, per esempio, un’azienda piccolissima (due dipendenti) è stata condannata a pagare (entro 60 giorni in misura ridotta) una sanzione di 16 mila euro.
Affidarsi ad un professionista vi dà la possibilità di scaricare questa responsabilità (sul legale e quindi sulla sua assicurazione professionale) ed avere una compliance privacy perfetta.
Una consulenza professionale si divide in due fasi principali: la Gap Analysis e la fase di adeguamento vero e proprio.
Per capire qual è il Gap tra la situazione attuale e la normativa in vigore, si inizia dalla fase di assessment, ossia di valutazione della società in base a proprietà, attività e adeguamenti necessari già eventualmente esistenti.
Solo attraverso un’analisi puntuale della situazione è possibile fornire all’azienda un documento di output completo, chiamato, appunto, Gap Analysis, dove vengono elencati tutti gli adempimenti tecnici e documentali, necessari da implementare.
La seconda fase (solitamente preventivata successivamente sulla base della gap anaysis), invece, consisterà effettivamente nel mettere in atto ciò che deve essere applicato per portare a termine l’adeguamento.
Questo procedimento può essere fatto direttamente dal cliente stesso, dal professionista o da un suo incaricato.
Considero questo approccio il più affidabile perché solo passando da una analisi si può definire nel dettaglio cosa fare (e cosa no) fornendo così un preventivo realistico sulla base della situazione dell’azienda: se non la conosco, come potrei calcolarlo?