In un mondo sempre più digitalizzato, la gestione della privacy e dei dati personali diventa un aspetto cruciale per ogni azienda. In questo articolo, vedremo una panoramica delle responsabilità e delle sfide che le agenzie, i freelance e i consulenti devono affrontare nel trattamento dei dati personali.

1. La responsabilità dell’agenzia nell’esecuzione delle attività per conto del cliente

Il primo punto è quello di capire quali responsabilità l’agenzia, o il consulente esterno, ha nell’esecuzione delle attività per conto dei clienti. Il Regolamento Europeo 2016/679 (conosciuto ai più con l’acronimo inglese “GDPR”), pone delle responsabilità specifiche legate al trattamento dei dati personali che possono variare in virtù del ruolo che si ha nelle attività di trattamento stesse.

Le previsioni normative

Considerato che l’agenzia (o il singolo professionista) agisce nell’ambito dell’incarico conferitogli dal cliente, si determina la situazione in virtù della quale la prima tratta dati personali per conto del secondo. Questa situazione comporta che, nella maggioranza dei casi, l’agenzia sia inquadrabile come responsabile del trattamento mentre il cliente sarà il titolare del trattamento. Vediamo – in estrema sintesi e per il contesto di questo tema – le differenze:

• Titolare del trattamento: secondo la normativa è il soggetto a cui competono tutte le decisioni in merito al trattamento di dati personali e sui cui ricadono i principali obblighi di conformità alle normative vigenti. Il titolare del trattamento potrà fornire le istruzioni ai propri responsabili che dovranno adeguarvisi.
• Responsabile del trattamento: è il soggetto che tratta dati personali per conto del titolare del trattamento. Il responsabile deve seguire le istruzioni fornite dal titolare e assicurarsi di garantire il corretto trattamento dei dati personali trattati. Il responsabile del trattamento risponde anche per danni o illeciti commessi da propri sub-fornitori anche nelle attività di trattamento svolte per conto del cliente.

Questa differenza di ruoli evidenzia responsabilità diverse. Infatti, la normativa indirizza la maggior parte degli obblighi (e delle sanzioni) al titolare del trattamento. Il responsabile del trattamento dovrà comunque agire seguendo le istruzioni del titolare e proponendo un approccio conforme alla normativa.

Quindi in quanto agenzia, e di conseguenza responsabile del trattamento, non puoi trascurare gli aspetti normativi che riguardano la privacy perché una parte della responsabilità normativa ricade anche sul tuo ruolo.

Questo comporta che nella gestione di iniziative per conto del cliente (come campagne promozionali, raccolta di nuovi contatti, creazione di una nuova pagina web, etc.), l’agenzia non può in alcun modo sostituire il titolare, e quindi il cliente, nelle scelte che questo è tenuto a fare in tema di privacy.

Ad esempio, se crei una privacy policy in autonomia, ti stai sostituendo a uno degli obblighi che per legge spetterebbe al titolare del trattamento (cliente). Quindi presta sempre attenzione a rispettare il confine che la normativa traccia.

Gli standard di servizio secondo il Garante Privacy

Capire la differenza tra i ruoli e le responsabilità nella gestione della privacy è fondamentale per garantire la conformità alle normative vigenti. Già a partire dal 2018 disponiamo di un esempio di un provvedimento del Garante per la protezione dei dati personali con cui è stato applicato un provvedimento sanzionatorio ad un fornitore di servizi, ovvero un responsabile del trattamento.

Questo provvedimento ha analizzato le violazioni commesse sia dal titolare che dal responsabile del trattamento, sottolineando l’importanza del rispetto dei principi di privacy, come la “privacy by design” e la “privacy by default”. Questi principi richiedono che la protezione dei dati personali sia integrata fin dall’inizio nei processi, nelle applicazioni e nell’approccio al cliente.

Questo principio si applica anche a chi, come i consulenti, fornisce prestazioni che non prevedono la vendita di prodotti ma implicano unicamente l’offerta di una prestazione intellettuale. Ad esempio, un consulente che richiede di aver accesso a tutti i dati personali del proprio cliente, potrebbe star violando i principi di privacy che comportano la necessità di trattare i dati strettamente indispensabili al raggiungimento dello scopo del trattamento.

Quindi anche l’approccio del responsabile del trattamento deve essere nella logica di conformità del Regolamento Europeo.

Questa panoramica normativa ci ricorda che le agenzie e i consulenti, pur essendo spesso inquadrabili nel ruolo di responsabili del trattamento, devono garantire un servizio che preveda sicurezza e protezione dei dati personali trattati, sin dall’inizio della collaborazione.

2. Sito web & App: la responsabilità nella creazione delle policy, etc

Come visto poc’anzi, dunque, il titolare del trattamento, ovvero, probabilmente, il cliente, è colui cui competono tutte le decisioni che riguardano il trattamento dei dati personali così come la predisposizione della documentazione da sottoporre all’interessato (ovvero alla persona fisica di cui tratta i dati personali).

La creazione della documentazione

La documentazione legale riveste un ruolo cruciale, rappresentando un obbligo normativo che secondo il regolamento spetta, per la maggior parte, al titolare del trattamento (il cliente).

Tra i documenti da elaborare nel contesto digitale, ricordiamo:

1. Privacy policy: si riferisce alle politiche con cui si descrive il funzionamento che il titolare ha previsto rispetto ai dati acquisiti tramite il sito o l’App. Ad esempio, è bene domandarsi per quanto tempo vengono conservati i dati personali ottenuti tramite un form di contatti ed è il titolare a dover stabilire le politiche di cancellazione.
   
2. Cookie policy: esplicita quali sono i cookie installati dal sito e gli strumenti di tracciamento che vengono utilizzati dal titolare, è un documento fondamentale sia per il web che per l’app.
   
3. Predisposizione di eventuali formule di consenso qualora il titolare del trattamento ritenga che uno o più trattamenti eseguiti nel contesto di siti web o APP si fondino su questa o su altra base giuridica.

Facciamo qualche esempio di caso pratico. Se crei per il tuo cliente un form di contatto, deve essere il cliente stesso a dirti se e in quale misura deve essere richiesto un consenso per trattare i dati così acquisiti. Allo stesso modo, all’interno della privacy policy deve essere chiarito il tempo di conservazione stabilito dal titolare del trattamento, anche per quello che riguarda i dati personali raccolti attraverso il form. Nel momento in cui il responsabile del trattamento elabora un documento di competenza del titolare e prevede una tempistica che non è approvata, condivisa e decisa dal titolare, stiamo violando il confine normativo di cui abbiamo parlato prima. Questa, infatti, è una decisione che deve essere presa dal titolare del trattamento.

Facciamo un altro esempio: nel caso in cui il sito del tuo cliente utilizzi solamente cookie di tipo tecnico, non è necessario prevedere un banner informativo al primo sul sito web (resta invece necessario che siano presenti privacy e cookie policy). La decisione ultima sull’eventuale comparsa del banner al primo accesso resta, tuttavia, in capo al cliente sebbene l’agenzia possa fornire un suggerimento in tal senso.

Quindi si consiglia sempre di ottenere una forma di approvazione e responsabilizzazione da parte del cliente stesso.

Come procedere?

Tuttavia, capita spesso che il cliente non voglia occuparsi di queste questioni, viste spesso come inutile burocrazia; l’agenzia si trova quindi nella situazione di voler proporre dei contenuti generali così da poter andare online con il sito o l’App proponendo dei documenti standard, nell’erronea convinzione di tutelare il cliente stesso. Come abbiamo visto, questa modalità operativa non è corretta.

Cosa fare quindi in questi casi? Ecco una serie di suggerimenti:

• Responsabilizzazione del cliente: ricordare al cliente che disinteressarsi o esternalizzare un’attività non significa «scaricare le responsabilità». Infatti, anche se è stata delegata un’agenzia per svolgere un progetto, la responsabilità davanti alle autorità è del titolare del trattamento.
  • Una buona prassi è quella di far approvare i contenuti, come cookie e privacy policy, al cliente prima che vadano online.
  • Un altro punto importante è valutare se le eventuali responsabilità connesse alla creazione di contenuti, come la privacy policy, siano oggetto di specifico incarico contrattuale.
    
• Selezione dei fornitori: sebbene sia vero che la maggior parte delle responsabilità permangono in capo al cliente (titolare del trattamento), l’agenzia può essere chiamata a rispondere per i propri sub-fornitori. Infatti, come responsabile del trattamento, sei chiamato a fare un’attenta selezione dei fornitori: se un fornitore ometta di adempiere ai propri obblighi in materia di protezione dei dati personali, il responsabile è responsabile in solido davanti al titolare del trattamento.
  
• Ricorda che è sempre importante seguire le istruzioni del titolare e non decidere in autonomia. In questo caso, infatti, rischiamo di essere direttamente esposti a eventuali contestazioni.

3. Ispezioni e controlli: cosa potrebbe verificare il Garante Privacy

Finora abbiamo parlato di alcuni documenti da elaborare per essere a norma, ma cosa potrebbe effettivamente controllare il Garante in caso di ispezione?

Gli elementi che potrebbe verificare il Garante Privacy rispetto alla conformità di una pagina web sono i seguenti:

• Documenti legali: il Garante verifica che il contenuto di Privacy e Cookie Policy sia veritiero, attuale e targettizzato. Ad esempio, indicare un trattamento di profilazione che non viene fatto così come inserire un elenco di fornitori non effettivo, potrebbe determinare la contestazione di informativa non veritiera.
• Cookie banner: il Garante può effettuare la verifica della presenza e dell contenuto informativo del banner. In particolare, il banner deve essere conforme alle normative, corretto e aggiornato.
• Blocco preventivo: anche l’effettivo blocco dei cookie non tecnici fino all’effettiva accettazione degli stessi è oggetto di verifica da parte del Garante.
• Rispetto GDPR: quando il Garante sottopone un sito o un’app a controlli, conduce verifiche generali rispetto al Regolamento Europeo, verificando che le indicazioni e i principi che la normativa prevede siano rispettati.
• Basi giuridiche: il Garante verificherà anche la corretta individuazione delle basi giuridiche del trattamento. Ad esempio, in caso di attività di promozione e di marketing, come l’invio di newsletter, controllerà che sia stato adeguatamente richiesto il consenso.

In che modo si viene contattati dal Garante della privacy?

Il Garante può effettuare un’ispezione fisica presso la sede aziendale oppure può condurre delle attività ispettive a distanza (mediante richiesta di informazioni all’ente sottoposto a controllo. Nelle realtà aziendali più grandi o complesse, che dispongono di un DPO (Responsabile della Protezione dei Dati), il Garante può contattare direttamente questa figura.

A quanto ammontano le multe del Garante della privacy per mancato rispetto della GDPR?

L’entità delle multe imposte dal Garante della privacy per il mancato rispetto del GDPR varia notevolmente. In passato, il Codice della Privacy prevedeva sanzioni minime e massime. Attualmente, i limiti sono molto più elevati, potendo raggiungere milioni di euro o una percentuale del fatturato annuo.

Il Garante calibra le multe in base alla gravità della violazione, al numero di persone coinvolte, alla collaborazione offerta dall’azienda e ad altri fattori rilevanti. In generale, per attività promozionali indesiderate, le sanzioni tendono ad essere nell’ordine delle decine di migliaia di euro, ma ogni caso viene valutato individualmente senza uno standard fisso. Il regolamento europeo permette al Garante di modulare le sanzioni considerando vari parametri, e quindi non esiste un tariffario prestabilito.

Che probabilità c’è che il Garante controlli una PMI?

La probabilità che il Garante effettui un controllo su una PMI è variabile e non facilmente quantificabile in termini percentuali. La dimensione dell’azienda è un fattore relativo; ad esempio, una piccola azienda che tratta dati particolari o di persone vulnerabili potrebbe essere più a rischio di un’ispezione volontaria rispetto a una grande azienda con trattamenti di dati meno delicati.

Il Garante della privacy pubblica un piano d’azione ogni sei mesi, indicando i settori che intende ispezionare su iniziativa propria, selezionando casualmente aziende in vari settori e aree geografiche. Inoltre, il Garante può avviare controlli in seguito a segnalazioni da parte di persone fisiche che ritengono che i propri dati non siano stati trattati adeguatamente. Molte delle ispezioni iniziano proprio a seguito di tali segnalazioni.

4. Comunicazioni indesiderate: come gestire le richieste dell’interessato

L’interessato, ovvero la persona fisica, ha diritto di richiedere e ottenere le informazioni che lo riguardano. Ad esempio, può richiedere all’azienda quali dati personali che lo riguardano ha raccolto, dove li ha raccolti, e tutto quello che prevede il GDPR. Una volta effettuata la richiesta, l’interessato ha diritto di ricevere una risposta entro 30 giorni.

In quanto agenzia o consulenti, dobbiamo permettere al nostro cliente di rispondere nella maniera più precisa, trasparente e veloce possibile.

A chi si rivolge l’interessato

Secondo la normativa, la competenza a rispondere alle richieste presentate dall’interessato spetta al titolare del trattamento.

Può comunque capitare che l’interessato si rivolga all’agenzia (ad esempio perché si rivolge direttamente all’interlocutore di una newsletter). In questo caso la richiesta deve essere condivisa con il titolare del trattamento a cui bisogna garantire il supporto nella gestione. In caso contrario, siamo esposti a una possibile contestazione diretta.

Il titolare del trattamento risponderà all’interessato fornendogli tutte le informazioni richieste. Queste possono comprendere anche: da dove sono stati ottenuti i dati? Come è stato conferito il consenso? Quali informazioni si hanno dell’interessato?

Quindi nel caso di un contatto arrivato tramite form sul sito per iscriversi alla newsletter e che è in gestione all’agenzia, è compito di quest’ultima fornire al cliente tutte le informazioni utili per permettergli di riscontrare la richiesta.

Mail indesiderate: come tutelarsi?

Ecco alcuni passaggi chiave per garantire la corretta gestione del consenso e tutelarsi.

1. Il principio cardine nell’invio di comunicazioni commerciali è quello di aver ottenuto uno specifico consenso da parte della persona.
   
2. Il consenso è formalmente conferito al titolare del trattamento. Capita spesso che l’agenzia lo raccolga per suo conto.
   
3. Disporre di un registro dei consensi permette di riuscire a ricostruire quando il consenso è stato dato, con quali modalità è stato raccolto, provare, quanto più possibile, la certezza della persona.
   
4. Ricordarsi di non popolare un database di newsletter con contatti che non siano coperti da consenso: qualora il titolare dia un’indicazione diversa, occorre farlo presente.
   
5. Tenere traccia delle attività che vengono svolte per conto dei clienti (consensi raccolti, informative fornite, etc.).
   
6. Non prendere iniziative rispondendo alla persona che contesta la liceità del trattamento senza aver consultato l’effettivo titolare del trattamento

Ho ricevuto un lead durante una fiera e l’ho aggiunto alla mailing list. Come faccio a dimostrare il consenso?

Dimostrare il consenso può essere una questione delicata. Se sei sicuro/a che la persona abbia effettivamente acconsentito verbalmente a ricevere la newsletter durante la fiera, è consigliabile inviare una email di conferma il più possibile contestualizzata. Ad esempio, puoi inviare un messaggio del tipo: “Grazie, [Nome], per lo scambio che abbiamo avuto in fiera. Come da tua richiesta, ti ho iscritto alla nostra newsletter. Se hai cambiato idea, ti prego di farmelo sapere.”

È importante non usare questo metodo per evitare di chiedere il consenso. Inviare una email di conferma a tutti i contatti raccolti, indipendentemente dal fatto che abbiano effettivamente richiesto di essere iscritti, rende più difficile dimostrare il consenso. Una email non ha la stessa forza di un documento firmato o di un’accettazione digitale verificabile, come un click su una casella di consenso.

Ricordati che quando raccogli il consenso, devi essere in grado di provarlo. La validità del consenso dipenderà dal contesto in cui è stato ottenuto. La soluzione proposta, sebbene operativa, presenta delle debolezze riguardo alla possibilità di provare, in maniera inequivocabile, il consenso. Un formulario firmato o l’uso di strumenti tecnici come QR Code che permettono di tracciare l’iscrizione sono opzioni migliori.

Quanto è importante avere un archivio dei consensi?

Avere un archivio dei consensi è estremamente importante sia per il titolare del trattamento dei dati sia per il responsabile che raccoglie dati per conto di un cliente.

Mantenere una traccia del consenso fornito dalle persone è fondamentale, specialmente in caso di ispezioni o se una persona richiede informazioni su quali dati abbiamo su di loro, come li abbiamo ottenuti e in che modo. Questo archivio consente di ricostruire la storia del consenso, garantendo trasparenza e conformità alle normative.

Il mio sito ha tutti i parametri a norma tranne il blocco preventivo. Rischio comunque la multa?

Sì, si rischia comunque. Anche se il sito rispetta tutti gli altri parametri, l’assenza del blocco preventivo significa che non è completamente conforme alle normative. Se un sito traccia una persona con un cookie profilante senza il suo consenso, sta violando le indicazioni normative.

Il blocco preventivo è uno degli elementi fondamentali per la conformità, e la sua mancanza può portare a contestazioni. Ogni elemento di non conformità può essere oggetto di sanzione. Non è necessario che manchino più elementi per incorrere in sanzioni; anche una singola carenza può essere contestata.

Avacy: CMP per la conformità al GDPR

Come abbiamo visto, le agenzie e i consulenti devono assicurarsi che i propri clienti operino in maniera conforme al GDPR. Una soluzione efficace in questo ambito è Avacy, una piattaforma di gestione del consenso (CMP – Consent Management Platform) che consente ai siti web di raccogliere, gestire e documentare i consensi degli utenti in modo conforme alle normative. Questa piattaforma permette di integrare un banner di consenso per i cookie e altri tracciamenti, garantendo che gli utenti siano adeguatamente informati e che il loro consenso venga ottenuto prima che i dati personali siano trattati.

Con Avacy, le agenzie possono assicurare ai loro clienti che ogni aspetto della gestione dei consensi è monitorato e documentato, riducendo il rischio di non conformità e possibili sanzioni.

Prova ora Avacy gratuitamente

Conclusione

La gestione della privacy e dei dati personali è una responsabilità fondamentale per agenzie, freelance e consulenti. Comprendere le differenze tra il ruolo del titolare e quello del responsabile del trattamento è cruciale per evitare sanzioni e garantire la conformità alle normative. Utilizzare strumenti come Avacy per la gestione del consenso può semplificare questo compito, offrendo una soluzione sicura e conforme per raccogliere e gestire i dati personali. In definitiva, un approccio consapevole e responsabile alla privacy non solo protegge dalle sanzioni, ma costruisce anche fiducia e trasparenza con i clienti e gli utenti.