{"id":415,"date":"2018-05-17T21:28:00","date_gmt":"2018-05-17T21:28:00","guid":{"rendered":"https:\/\/www.polimeni.legal\/?p=415"},"modified":"2023-05-10T08:50:14","modified_gmt":"2023-05-10T08:50:14","slug":"sei-una-web-agency-ecco-cosa-fare-per-rispettare-gli-adempimenti-gdpr","status":"publish","type":"post","link":"https:\/\/www.polimeni.legal\/articoli\/news\/sei-una-web-agency-ecco-cosa-fare-per-rispettare-gli-adempimenti-gdpr\/","title":{"rendered":"Sei una Web Agency? Ecco cosa fare per rispettare gli adempimenti GDPR"},"content":{"rendered":"\n

Ecco cosa fare per rispettare gli adempimenti GDPR<\/em>. Uno dei temi pi\u00f9 discussi di questi mesi \u00e8 sicuramente l\u2019entrata in vigore del regolamento GDPR<\/strong><\/a> sulla protezione dei dati personali<\/strong> (Regolamento Ue 2016\/679) il 25 maggio 2018<\/strong>, che sar\u00e0 valido per tutti gli Stati membri dell\u2019Unione Europea.<\/p>\n\n\n\n

Le informazioni presenti in rete, riferite al regolamento GDPR, sono davvero innumerevoli e, pertanto, il nostro obiettivo non \u00e8 di certo soffermarci su nozioni trite e ritrite ma, al contrario, fornire le indicazioni pi\u00f9 utili in merito agli adempimenti necessari per le realt\u00e0 aziendali di nostro interesse.<\/strong><\/p>\n\n\n\n

Di fatto il GDPR si sovrappone all\u2019attuale codice per la protezione dei dati personali, regolato dal Decreto Legislativo 196\/2003<\/strong>, portando alcune semplificazioni nelle procedure legate agli adempimenti sulla privacy.<\/p>\n\n\n\n

Non procedere ad una compliance privacy aziendal<\/strong>e adeguata e aggiornata alle normative previste, equivale al rischio di incorrere in pesanti sanzioni, che possono essere evitate affidandosi ad un professionista specializzato.<\/p>\n\n\n\n

Ma andiamo con ordine.<\/p>\n\n\n\n

In questo articolo ci rivolgiamo agli adempimenti privacy<\/strong> che una web agency<\/strong> <\/a>deve rispettare per non incorrere in sanzioni e quali sono gli step da seguire per una compliance privacy perfetta.<\/strong><\/p>\n\n\n\n

Quali adempimenti per la privacy deve rispettare una web agency?<\/h2>\n\n\n\n

Una web agency deve preoccuparsi, in particolare, di tutto ci\u00f2 che riguarda:
\u2013 i trattamenti dei dati personali di cui \u00e8 titolare,<\/strong>
\u2013 i trattamenti che svolge per conto del cliente.<\/strong><\/p>\n\n\n\n

Trattamento dati personali di cui \u00e8 titolare<\/h3>\n\n\n\n

Nel primo caso, la web agency \u00e8 titolare di tutti i dati che possiede<\/strong> riguardanti i propri dipendenti, i propri fornitori e i propri clienti (o potenziali tali).<\/p>\n\n\n\n

A ciascuno di essi deve fornire informative<\/strong> che siano in regola con il nuovo regolamento europeo, sebbene esistano delle semplificazioni previste dal Decreto Legge 70\/2011 che consentono uno snellimento delle procedure (per dipendenti e fornitori).<\/p>\n\n\n\n

In riferimento al proprio sito internet, l<\/strong>a web agency deve poter fornire tutte le informative necessarie: dalla cookie policy all\u2019informativa legata alla semplice compilazione di un form, all\u2019invio di eventuali Curricula.<\/p>\n\n\n\n

Andando ancora pi\u00f9 nello specifico, nel caso in cui sia presente sul sito la possibilit\u00e0 di iscriversi ad una newsletter<\/strong> della web agency per l\u2019invio di DEM<\/strong>, andranno rispettate le norme privacy sulle informazioni commerciali introdotte con DL 196\/2003. Servir\u00e0 dunque una apposita normativa accettata espressamente con un consenso chiaro e separato.<\/p>\n\n\n\n

Se sono previste delle landing page<\/strong> per raccogliere ed archiviare lead di contatti che vengono conservati in agenzia (e per l\u2019agenzia), anche in questo caso si tratta di dati di cui l\u2019agenzia risulta titolare e, pertanto, va fornita loro la rispettiva informativa con consenso.<\/p>\n\n\n\n

In realt\u00e0 ogni form avrebbe le sue regole per essere compliant con la normativa. Per esempio, quando \u00e8 previsto sul sito un form specifico per la richiesta di preventivo<\/strong>, il contatto, previo consenso, deve essere utilizzato al solo e unico scopo di inviare il preventivo richiesto e, per l\u2019eventuale utilizzo ad altri scopi \u00e8 necessario invece specifico consenso.<\/p>\n\n\n\n

Un altro caso interessante da considerare, riguarda l\u2019invio di Curriculum<\/strong> attraverso la classica pagina \u201clavora con noi\u201d<\/strong>, dove le informazioni sulla privacy da fornire sono molto semplificate. Di fatto, la normativa, non prevede che l\u2019informativa debba necessariamente essere fornita in forma scritta, ma va comunque comunicata al candidato, almeno oralmente, in caso di contatto.<\/p>\n\n\n\n

Trattamento dati personali per conto clienti<\/h3>\n\n\n\n

La maggior parte dei trattamenti di cui la web agency dovrebbe essere titolare \u00e8, per\u00f2, quella per conto dei propri clienti<\/strong>.<\/p>\n\n\n\n

Infatti, generalmente, ogni cliente dell\u2019agenzia possiede un sito internet che raccoglie dei dati personali; ecco perch\u00e9 \u00e8 fondamentale che la web agency si faccia nominare responsabile del trattamento di quei dati.<\/strong><\/p>\n\n\n\n

Se cos\u00ec non fosse, la web agency starebbe trattando dei dati personali illecitamente, poich\u00e9 non \u00e8 gli \u00e8 stato conferito alcun titolo per farlo.<\/p>\n\n\n\n

Ma non solo.<\/p>\n\n\n\n

L\u2019agenzia deve poter anche nominare dei sub responsabili del trattamento, che potranno essere dei collaboratori o dei fornitori (ad esempio una societ\u00e0 che fornisce un servizio di hosting) oltre alla possibilit\u00e0 di gestire, per conto di terzi, le pagine social dei clienti.<\/p>\n\n\n\n

La possibilit\u00e0 di incaricare ulteriori aziende (es. hosting), nel trattamento effettuato per conto dei propri clienti, dev\u2019essere espressamente prevista nell\u2019atto di nomina di cui si \u00e8 accennato poco sopra. Il mio consiglio \u00e8 quello di inserire la nomina di responsabile del trattamento all\u2019interno dei propri contratti per il servizi offerti dalla web agency, in modo da consentire, al cliente che firma, di nominare la stessa web agency responsabile del trattamento all\u2019atto della accettazione dell\u2019offerta.<\/p>\n\n\n\n

Un altro aspetto da non sottovalutare riguarda la riservatezza dei dati che vengono gestiti dai propri dipendenti: essi devono firmare un NDA<\/strong> (non-disclosure agreement) ossia un accordo che impone la riservatezza nel trattare i dati personali dei clienti<\/strong>.
Per sintetizzare meglio il discorso possiamo dire che: titolare del trattamento dei dati raccolti tramite sito internet aziendale \u00e8 l\u2019azienda di riferimento ma, nel caso in cui la comunicazione sia gestita da una web agency, quest\u2019ultima deve poter avere la nomina di responsabile del trattamento dei dati,<\/strong> oltre alla possibilit\u00e0 di nominare dei sub responsabili.<\/p>\n\n\n\n

Altri adempimenti previsti dalla normativa trovano invece meno applicazione nel caso delle web agency. Sar\u00e0 molto raro che la stessa debba nominare un DPO (dovrebbe ad esempio trattare dati sensibili su larga scala), fare una Valutazione di impatto (DPIA) oppure compilare il registro dei trattamenti. Solitamente questi adempimenti sono riservati ad aziende pi\u00f9 grandi, mentre, in questo articolo, ci soffermiamo sulle PMI, al fine di offrire una visione di massima sull\u2019adeguamento al GDPR, applicabile dalla maggior parte delle web agency.<\/p>\n\n\n\n

Regolamento GDPR: perch\u00e9 affidarsi ad un professionista?<\/h2>\n\n\n\n

Senza spaventare nessuno, ritengo importante specificare che le sanzioni previste, nel caso in cui gli adempimenti non vengano rispettati, possono arrivare fino a 20 milioni di euro (non sar\u00e0 mai il caso di una PMI ovviamente).<\/p>\n\n\n\n

Tuttavia, ho seguito personalmente casi in cui, solo per la mancanza di un\u2019informativa sulla cookie policy, per esempio, un\u2019azienda piccolissima (due dipendenti) \u00e8 stata condannata a pagare (entro 60 giorni in misura ridotta) una sanzione di 16 mila euro.<\/p>\n\n\n\n

Affidarsi ad un professionista vi d\u00e0 la possibilit\u00e0 di scaricare questa responsabilit\u00e0<\/strong> (sul legale e quindi sulla sua assicurazione professionale) ed avere una compliance privacy perfetta.<\/p>\n\n\n\n

Una consulenza professionale<\/strong> si divide in due fasi principali: la Gap Analysis e la fase di adeguamento vero e proprio.<\/p>\n\n\n\n

Per capire qual \u00e8 il Gap tra la situazione attuale e la normativa in vigore, si inizia dalla fase di assessment, ossia di valutazione della societ\u00e0 in base a propriet\u00e0, attivit\u00e0 e adeguamenti necessari gi\u00e0 eventualmente esistenti.<\/p>\n\n\n\n

Solo attraverso un\u2019analisi puntuale della situazione \u00e8 possibile fornire all\u2019azienda un documento di output completo, chiamato, appunto, Gap Analysis, dove vengono elencati tutti gli adempimenti tecnici e documentali, necessari da implementare.<\/p>\n\n\n\n

La seconda fase (solitamente preventivata successivamente sulla base della gap anaysis), invece, consister\u00e0 effettivamente nel mettere in atto ci\u00f2 che deve essere applicato per portare a termine l\u2019adeguamento.
Questo procedimento pu\u00f2 essere fatto direttamente dal cliente stesso, dal professionista o da un suo incaricato.<\/strong><\/p>\n\n\n\n

Considero questo approccio il pi\u00f9 affidabile<\/strong> perch\u00e9 solo passando da una analisi si pu\u00f2 definire nel dettaglio cosa fare (e cosa no) fornendo cos\u00ec un preventivo realistico sulla base della situazione dell\u2019azienda: se non la conosco, come potrei calcolarlo?<\/p>\n","protected":false},"excerpt":{"rendered":"

Ecco cosa fare per rispettare gli adempimenti GDPR. Uno dei temi pi\u00f9 discussi di questi mesi \u00e8 sicuramente l\u2019entrata in vigore del regolamento GDPR sulla protezione dei dati personali (Regolamento Ue 2016\/679) il 25 maggio 2018, che sar\u00e0 valido per tutti gli Stati membri dell\u2019Unione Europea. Le informazioni presenti in rete, riferite al regolamento GDPR, sono davvero innumerevoli e, pertanto, […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"slim_seo":[],"footnotes":""},"categories":[10],"tags":[],"meta_box":{"page-header-img":false,"page-header-desc":"","page-indice":"0"},"_links":{"self":[{"href":"https:\/\/www.polimeni.legal\/wp-json\/wp\/v2\/posts\/415"}],"collection":[{"href":"https:\/\/www.polimeni.legal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.polimeni.legal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.polimeni.legal\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.polimeni.legal\/wp-json\/wp\/v2\/comments?post=415"}],"version-history":[{"count":1,"href":"https:\/\/www.polimeni.legal\/wp-json\/wp\/v2\/posts\/415\/revisions"}],"predecessor-version":[{"id":416,"href":"https:\/\/www.polimeni.legal\/wp-json\/wp\/v2\/posts\/415\/revisions\/416"}],"wp:attachment":[{"href":"https:\/\/www.polimeni.legal\/wp-json\/wp\/v2\/media?parent=415"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.polimeni.legal\/wp-json\/wp\/v2\/categories?post=415"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.polimeni.legal\/wp-json\/wp\/v2\/tags?post=415"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}