Qual è la responsabilità dell’agenzia nell’esecuzione delle attività per conto del cliente?
Il GDPR pone responsabilità specifiche legate al trattamento dei dati personali, che variano in base al ruolo che si ha nelle attività di trattamento. Quando un’agenzia o un consulente agisce nell’ambito di un incarico conferito da un cliente, nella maggioranza dei casi l’agenzia è inquadrabile come responsabile del trattamento, mentre il cliente è il titolare del trattamento:
- Titolare del trattamento: il soggetto a cui competono tutte le decisioni sul trattamento dei dati personali e su cui ricadono i principali obblighi di conformità. Fornisce le istruzioni ai propri responsabili, che devono adeguarvisi.
- Responsabile del trattamento: il soggetto che tratta dati personali per conto del titolare, seguendo le sue istruzioni e garantendo un trattamento corretto. Risponde anche per danni o illeciti commessi dai propri sub-fornitori nelle attività svolte per conto del cliente.
La normativa indirizza la maggior parte degli obblighi (e delle sanzioni) al titolare, ma il responsabile deve comunque agire seguendo le sue istruzioni e proporre un approccio conforme: come agenzia, quindi, non puoi trascurare gli aspetti normativi della privacy, perché parte della responsabilità ricade anche sul tuo ruolo. Questo significa che, nella gestione di iniziative per conto del cliente (campagne, raccolta di nuovi contatti, creazione di un sito), l’agenzia non può in alcun modo sostituirsi al titolare nelle scelte che gli spettano in tema di privacy: se crei una privacy policy in piena autonomia, ad esempio, ti stai sostituendo a un obbligo che per legge spetta al cliente.
Fonte: Garante per la Protezione dei Dati Personali — Provvedimento n. 9039945 del 19 luglio 2018
Già a partire da un provvedimento del Garante del 19 luglio 2018, applicato a un fornitore di servizi nel ruolo di responsabile del trattamento, l’Autorità ha analizzato violazioni commesse sia dal titolare che dal responsabile, sottolineando l’importanza di principi come la privacy by design e privacy by default: la protezione dei dati va integrata fin dall’inizio nei processi, nelle applicazioni e nell’approccio al cliente. Questo vale anche per chi offre prestazioni puramente intellettuali, come i consulenti: un consulente che chiede accesso a tutti i dati personali del cliente, quando gliene servirebbero solo alcuni per lo scopo specifico, rischia di violare il principio di minimizzazione dei dati.
Chi decide su privacy policy, cookie policy e consensi per sito e app?
La documentazione legale è un obbligo normativo che spetta, per la maggior parte, al titolare del trattamento, cioè al cliente. Tra i documenti da elaborare nel contesto digitale:
- Privacy policy: descrive come il titolare tratta i dati acquisiti tramite sito o app, incluse le politiche di conservazione e cancellazione, che spetta al titolare stabilire.
- Cookie policy: esplicita quali cookie e strumenti di tracciamento vengono usati, per web e app.
- Formule di consenso, se il titolare ritiene che uno o più trattamenti su sito o app si fondino sul consenso o su altra base giuridica.
Un esempio pratico: se crei un form di contatto per il cliente, deve essere lui a dirti se e in che misura serve un consenso per trattare quei dati, e a stabilire il tempo di conservazione da indicare in privacy policy. Se il responsabile del trattamento elabora un documento di competenza del titolare prevedendo tempistiche non approvate da lui, sta violando il confine normativo tra i due ruoli. Un altro esempio: se il sito del cliente usa solo cookie tecnici, non serve un banner al primo accesso (restano comunque necessarie privacy e cookie policy), ma la decisione finale sull’eventuale banner resta del cliente, anche se l’agenzia può suggerire una linea.
Capita spesso che il cliente non voglia occuparsi di queste questioni, vedendole come inutile burocrazia: l’agenzia si trova quindi tentata di proporre documenti standard “per andare online”, nell’errata convinzione di tutelare così il cliente. Non è la strada corretta. Alcuni suggerimenti pratici:
- Responsabilizza il cliente: esternalizzare un’attività non significa scaricare le responsabilità, che davanti alle autorità restano del titolare. Fai approvare a lui i contenuti (cookie e privacy policy) prima che vadano online, e valuta se le responsabilità connesse alla loro creazione siano oggetto di uno specifico incarico contrattuale.
- Seleziona i fornitori con attenzione: come responsabile del trattamento, rispondi in solido davanti al titolare se un tuo sub-fornitore non adempie ai propri obblighi in materia di protezione dei dati.
- Segui sempre le istruzioni del titolare, senza decidere in autonomia: farlo ti espone direttamente a eventuali contestazioni.
Chi risponde se un cliente prende una sanzione GDPR? Chiarisci i ruoli prima che serva
Il toolkit con il template di nomina responsabile del trattamento (art. 28 GDPR), la matrice delle responsabilità agenzia↔cliente e la checklist di onboarding cliente: tutto pronto per mettere nero su bianco chi fa cosa
Cosa verifica il Garante in caso di ispezione?
Ecco gli elementi che il Garante può verificare rispetto alla conformità di una pagina web:
| Elemento | Cosa verifica |
|---|---|
| Documenti legali | Che privacy policy e cookie policy siano veritiere, attuali e coerenti con i trattamenti reali |
| Cookie banner | Presenza, correttezza e aggiornamento del contenuto informativo |
| Blocco preventivo | Che i cookie non tecnici siano davvero bloccati fino all’accettazione |
| Rispetto GDPR | Verifica generale del rispetto dei principi del Regolamento |
| Basi giuridiche | Che le basi giuridiche dei trattamenti (es. consenso per newsletter) siano correttamente individuate |
Il Garante può effettuare un’ispezione fisica presso la sede aziendale o condurre attività ispettive a distanza tramite richiesta di informazioni; nelle realtà più strutturate, che dispongono di un DPO, può contattare direttamente questa figura.
Sull’entità delle multe non esiste un tariffario prestabilito: il Garante calibra le sanzioni in base a gravità della violazione, numero di persone coinvolte, collaborazione offerta dall’azienda e altri fattori. Per attività promozionali indesiderate, le sanzioni tendono a essere nell’ordine delle decine di migliaia di euro, ma ogni caso viene valutato individualmente.
Sulla probabilità di un controllo, la dimensione dell’azienda è un fattore relativo: una piccola realtà che tratta dati particolari o di persone vulnerabili può essere più a rischio di una grande azienda con trattamenti meno delicati. Il Garante pubblica un piano d’azione ogni sei mesi con i settori che intende ispezionare d’ufficio, selezionando aziende anche a campione; molte ispezioni partono comunque da segnalazioni di singoli interessati.
Come gestire le richieste dell’interessato e le comunicazioni indesiderate?
L’interessato ha diritto di richiedere e ottenere informazioni sui propri dati (quali dati sono stati raccolti, dove, come), con risposta entro 30 giorni. La competenza a rispondere spetta al titolare del trattamento, ma può capitare che l’interessato si rivolga direttamente all’agenzia, ad esempio scrivendo all’indirizzo di una newsletter: in quel caso, la richiesta va condivisa subito con il titolare, garantendogli supporto nella gestione. Non farlo espone a una possibile contestazione diretta.
Sulle comunicazioni commerciali, alcuni passaggi chiave per tutelarsi:
- Serve sempre uno specifico consenso della persona per inviare comunicazioni commerciali.
- Il consenso è formalmente conferito al titolare del trattamento, anche se spesso è l’agenzia a raccoglierlo per suo conto.
- Un archivio dei consensi permette di ricostruire quando e con quali modalità è stato raccolto ogni consenso.
- Non popolare un database di newsletter con contatti privi di consenso, salvo diversa indicazione esplicita del titolare.
- Tieni traccia di consensi raccolti e informative fornite per conto dei clienti.
- Non rispondere in autonomia a chi contesta la liceità di un trattamento, senza aver prima consultato il titolare.
Caso pratico: hai raccolto un lead a una fiera e lo hai aggiunto alla mailing list. Come dimostri il consenso? Se sei certo che la persona abbia acconsentito verbalmente, puoi inviare un’email di conferma contestualizzata (ad esempio: “Grazie per lo scambio in fiera, come da tua richiesta ti ho iscritto alla newsletter: se hai cambiato idea, fammelo sapere”). Attenzione però a non usare questo metodo per aggirare la raccolta del consenso vero e proprio: un’email di conferma inviata a tutti i contatti raccolti, a prescindere da un’iscrizione realmente richiesta, non ha la stessa forza probatoria di un modulo firmato o di un click su una casella di consenso tracciabile, ad esempio tramite QR code.
Avere un archivio dei consensi è quindi importante sia per il titolare che per il responsabile che raccoglie dati per suo conto: consente di ricostruire la storia del consenso in caso di ispezioni o richieste dell’interessato, garantendo trasparenza e conformità.
Altro caso frequente: il sito ha tutti i parametri a norma tranne il blocco preventivo dei cookie non tecnici. Si rischia comunque la multa? Sì: se un sito traccia un utente con un cookie profilante prima del consenso, sta violando le indicazioni normative, e non serve che manchino più elementi contemporaneamente per incorrere in una sanzione. Anche una singola carenza può essere contestata.
Una piattaforma di gestione del consenso come Avacy permette alle agenzie di raccogliere, gestire e documentare i consensi dei clienti finali in modo conforme, integrando un banner per cookie e altri strumenti di tracciamento e garantendo che il consenso sia ottenuto prima che i dati vengano trattati: uno strumento in più per ridurre il rischio di non conformità (e le relative responsabilità in solido) su tutti i siti che gestisci per conto terzi.