Prezzi bloccati fino a Settembre 2026: assicurati fino al 90% di risparmio sui piani Avacy

Agenzie digital: le responsabilità GDPR verso i clienti

Immagine autore: Loris Ghirello

Loris Ghirello

Aggiornato il 13 luglio 2026

Lettura 8 min

Agenzie Digital: tutte le responsabilità sulla Privacy

Se gestisci siti, campagne o newsletter per conto di clienti, probabilmente non sei tu il titolare del trattamento — ma questo non ti mette al riparo da tutto.

Come agenzia o consulente, nella maggior parte dei casi sei responsabile del trattamento: agisci su istruzione del cliente (il titolare) e non puoi sostituirti a lui nelle decisioni di privacy, come creare da solo la privacy policy o decidere i tempi di conservazione dei dati. Resti comunque esposto: rispondi in solido per i sub-fornitori che scegli, e se un cliente non vuole occuparsi di privacy “per pigrizia”, la responsabilità verso il Garante resta comunque sua, ma la tua parte di rischio non sparisce.

In breve

Le agenzie e i consulenti che gestiscono siti o campagne per conto di clienti sono quasi sempre responsabili del trattamento, non titolari: possono agire solo su istruzione del cliente e non possono sostituirsi a lui nelle scelte di privacy, come scrivere la privacy policy in piena autonomia. Rispondono comunque in solido per i propri sub-fornitori, devono responsabilizzare il cliente sulle decisioni che gli spettano, e in caso di ispezione il Garante verifica documenti, cookie banner, blocco preventivo dei cookie e basi giuridiche dei trattamenti: anche una sola carenza può bastare per una sanzione.

Indice

Qual è la responsabilità dell’agenzia nell’esecuzione delle attività per conto del cliente?

Il GDPR pone responsabilità specifiche legate al trattamento dei dati personali, che variano in base al ruolo che si ha nelle attività di trattamento. Quando un’agenzia o un consulente agisce nell’ambito di un incarico conferito da un cliente, nella maggioranza dei casi l’agenzia è inquadrabile come responsabile del trattamento, mentre il cliente è il titolare del trattamento:

  • Titolare del trattamento: il soggetto a cui competono tutte le decisioni sul trattamento dei dati personali e su cui ricadono i principali obblighi di conformità. Fornisce le istruzioni ai propri responsabili, che devono adeguarvisi.
  • Responsabile del trattamento: il soggetto che tratta dati personali per conto del titolare, seguendo le sue istruzioni e garantendo un trattamento corretto. Risponde anche per danni o illeciti commessi dai propri sub-fornitori nelle attività svolte per conto del cliente.

La normativa indirizza la maggior parte degli obblighi (e delle sanzioni) al titolare, ma il responsabile deve comunque agire seguendo le sue istruzioni e proporre un approccio conforme: come agenzia, quindi, non puoi trascurare gli aspetti normativi della privacy, perché parte della responsabilità ricade anche sul tuo ruolo. Questo significa che, nella gestione di iniziative per conto del cliente (campagne, raccolta di nuovi contatti, creazione di un sito), l’agenzia non può in alcun modo sostituirsi al titolare nelle scelte che gli spettano in tema di privacy: se crei una privacy policy in piena autonomia, ad esempio, ti stai sostituendo a un obbligo che per legge spetta al cliente.

In ogni caso si ritiene necessario che – in base al principio di minimizzazione dei dati e di quello di privacy by design e by default […] la versione standard dei servizi offerti […] sia configurato con modalità proporzionate rispetto al diritto alla riservatezza degli interessati

Fonte: Garante per la Protezione dei Dati Personali — Provvedimento n. 9039945 del 19 luglio 2018

Già a partire da un provvedimento del Garante del 19 luglio 2018, applicato a un fornitore di servizi nel ruolo di responsabile del trattamento, l’Autorità ha analizzato violazioni commesse sia dal titolare che dal responsabile, sottolineando l’importanza di principi come la privacy by design e privacy by default: la protezione dei dati va integrata fin dall’inizio nei processi, nelle applicazioni e nell’approccio al cliente. Questo vale anche per chi offre prestazioni puramente intellettuali, come i consulenti: un consulente che chiede accesso a tutti i dati personali del cliente, quando gliene servirebbero solo alcuni per lo scopo specifico, rischia di violare il principio di minimizzazione dei dati.

Chi decide su privacy policy, cookie policy e consensi per sito e app?

La documentazione legale è un obbligo normativo che spetta, per la maggior parte, al titolare del trattamento, cioè al cliente. Tra i documenti da elaborare nel contesto digitale:

  1. Privacy policy: descrive come il titolare tratta i dati acquisiti tramite sito o app, incluse le politiche di conservazione e cancellazione, che spetta al titolare stabilire.
  2. Cookie policy: esplicita quali cookie e strumenti di tracciamento vengono usati, per web e app.
  3. Formule di consenso, se il titolare ritiene che uno o più trattamenti su sito o app si fondino sul consenso o su altra base giuridica.

Un esempio pratico: se crei un form di contatto per il cliente, deve essere lui a dirti se e in che misura serve un consenso per trattare quei dati, e a stabilire il tempo di conservazione da indicare in privacy policy. Se il responsabile del trattamento elabora un documento di competenza del titolare prevedendo tempistiche non approvate da lui, sta violando il confine normativo tra i due ruoli. Un altro esempio: se il sito del cliente usa solo cookie tecnici, non serve un banner al primo accesso (restano comunque necessarie privacy e cookie policy), ma la decisione finale sull’eventuale banner resta del cliente, anche se l’agenzia può suggerire una linea.

Capita spesso che il cliente non voglia occuparsi di queste questioni, vedendole come inutile burocrazia: l’agenzia si trova quindi tentata di proporre documenti standard “per andare online”, nell’errata convinzione di tutelare così il cliente. Non è la strada corretta. Alcuni suggerimenti pratici:

  • Responsabilizza il cliente: esternalizzare un’attività non significa scaricare le responsabilità, che davanti alle autorità restano del titolare. Fai approvare a lui i contenuti (cookie e privacy policy) prima che vadano online, e valuta se le responsabilità connesse alla loro creazione siano oggetto di uno specifico incarico contrattuale.
  • Seleziona i fornitori con attenzione: come responsabile del trattamento, rispondi in solido davanti al titolare se un tuo sub-fornitore non adempie ai propri obblighi in materia di protezione dei dati.
  • Segui sempre le istruzioni del titolare, senza decidere in autonomia: farlo ti espone direttamente a eventuali contestazioni.

Chi risponde se un cliente prende una sanzione GDPR? Chiarisci i ruoli prima che serva

Il toolkit con il template di nomina responsabile del trattamento (art. 28 GDPR), la matrice delle responsabilità agenzia↔cliente e la checklist di onboarding cliente: tutto pronto per mettere nero su bianco chi fa cosa

Cosa verifica il Garante in caso di ispezione?

Ecco gli elementi che il Garante può verificare rispetto alla conformità di una pagina web:

ElementoCosa verifica
Documenti legaliChe privacy policy e cookie policy siano veritiere, attuali e coerenti con i trattamenti reali
Cookie bannerPresenza, correttezza e aggiornamento del contenuto informativo
Blocco preventivoChe i cookie non tecnici siano davvero bloccati fino all’accettazione
Rispetto GDPRVerifica generale del rispetto dei principi del Regolamento
Basi giuridicheChe le basi giuridiche dei trattamenti (es. consenso per newsletter) siano correttamente individuate

Il Garante può effettuare un’ispezione fisica presso la sede aziendale o condurre attività ispettive a distanza tramite richiesta di informazioni; nelle realtà più strutturate, che dispongono di un DPO, può contattare direttamente questa figura.

Sull’entità delle multe non esiste un tariffario prestabilito: il Garante calibra le sanzioni in base a gravità della violazione, numero di persone coinvolte, collaborazione offerta dall’azienda e altri fattori. Per attività promozionali indesiderate, le sanzioni tendono a essere nell’ordine delle decine di migliaia di euro, ma ogni caso viene valutato individualmente.

Sulla probabilità di un controllo, la dimensione dell’azienda è un fattore relativo: una piccola realtà che tratta dati particolari o di persone vulnerabili può essere più a rischio di una grande azienda con trattamenti meno delicati. Il Garante pubblica un piano d’azione ogni sei mesi con i settori che intende ispezionare d’ufficio, selezionando aziende anche a campione; molte ispezioni partono comunque da segnalazioni di singoli interessati.

Come gestire le richieste dell’interessato e le comunicazioni indesiderate?

L’interessato ha diritto di richiedere e ottenere informazioni sui propri dati (quali dati sono stati raccolti, dove, come), con risposta entro 30 giorni. La competenza a rispondere spetta al titolare del trattamento, ma può capitare che l’interessato si rivolga direttamente all’agenzia, ad esempio scrivendo all’indirizzo di una newsletter: in quel caso, la richiesta va condivisa subito con il titolare, garantendogli supporto nella gestione. Non farlo espone a una possibile contestazione diretta.

Sulle comunicazioni commerciali, alcuni passaggi chiave per tutelarsi:

  1. Serve sempre uno specifico consenso della persona per inviare comunicazioni commerciali.
  2. Il consenso è formalmente conferito al titolare del trattamento, anche se spesso è l’agenzia a raccoglierlo per suo conto.
  3. Un archivio dei consensi permette di ricostruire quando e con quali modalità è stato raccolto ogni consenso.
  4. Non popolare un database di newsletter con contatti privi di consenso, salvo diversa indicazione esplicita del titolare.
  5. Tieni traccia di consensi raccolti e informative fornite per conto dei clienti.
  6. Non rispondere in autonomia a chi contesta la liceità di un trattamento, senza aver prima consultato il titolare.

Caso pratico: hai raccolto un lead a una fiera e lo hai aggiunto alla mailing list. Come dimostri il consenso? Se sei certo che la persona abbia acconsentito verbalmente, puoi inviare un’email di conferma contestualizzata (ad esempio: “Grazie per lo scambio in fiera, come da tua richiesta ti ho iscritto alla newsletter: se hai cambiato idea, fammelo sapere”). Attenzione però a non usare questo metodo per aggirare la raccolta del consenso vero e proprio: un’email di conferma inviata a tutti i contatti raccolti, a prescindere da un’iscrizione realmente richiesta, non ha la stessa forza probatoria di un modulo firmato o di un click su una casella di consenso tracciabile, ad esempio tramite QR code.

Avere un archivio dei consensi è quindi importante sia per il titolare che per il responsabile che raccoglie dati per suo conto: consente di ricostruire la storia del consenso in caso di ispezioni o richieste dell’interessato, garantendo trasparenza e conformità.

Altro caso frequente: il sito ha tutti i parametri a norma tranne il blocco preventivo dei cookie non tecnici. Si rischia comunque la multa? Sì: se un sito traccia un utente con un cookie profilante prima del consenso, sta violando le indicazioni normative, e non serve che manchino più elementi contemporaneamente per incorrere in una sanzione. Anche una singola carenza può essere contestata.

Una piattaforma di gestione del consenso come Avacy permette alle agenzie di raccogliere, gestire e documentare i consensi dei clienti finali in modo conforme, integrando un banner per cookie e altri strumenti di tracciamento e garantendo che il consenso sia ottenuto prima che i dati vengano trattati: uno strumento in più per ridurre il rischio di non conformità (e le relative responsabilità in solido) su tutti i siti che gestisci per conto terzi.

In sintesi

  • Un’agenzia che lavora per un cliente è quasi sempre responsabile del trattamento, non titolare.

  • L’agenzia non può sostituirsi al cliente nelle decisioni di privacy: privacy policy, tempi di conservazione, necessità del banner sono scelte del titolare.

  • Il responsabile risponde in solido se un suo sub-fornitore non rispetta gli obblighi sulla protezione dei dati.

  • In un’ispezione, il Garante controlla documenti, banner, blocco preventivo dei cookie e basi giuridiche: anche una sola carenza può essere sanzionata.

  • Un archivio dei consensi è essenziale sia per il titolare che per l’agenzia che raccoglie dati per suo conto.

Domande frequenti

Un'agenzia è titolare o responsabile del trattamento per conto dei clienti?

Nella maggior parte dei casi è responsabile del trattamento: agisce su istruzione del cliente, che resta titolare e a cui spettano le decisioni principali sulla privacy.

L'agenzia può creare la privacy policy al posto del cliente?

Può predisporla materialmente, ma le decisioni di merito (tempi di conservazione, finalità, basi giuridiche) devono essere approvate dal cliente: farle in autonomia significa sostituirsi a un suo obbligo di legge.

Cosa rischia un'agenzia se un fornitore che ha scelto non è conforme?

Risponde in solido davanti al titolare del trattamento: la selezione dei fornitori è una responsabilità diretta del responsabile del trattamento.

Come dimostro il consenso di un contatto raccolto a una fiera?

Un’email di conferma contestualizzata è un primo passo, ma ha meno forza probatoria di un modulo firmato o di un consenso tracciabile digitalmente, ad esempio tramite QR code collegato a un modulo online.

Il Garante controlla anche le piccole aziende?

Sì: la dimensione non è un fattore protettivo automatico, soprattutto se l’azienda tratta dati particolari o di persone vulnerabili. Molti controlli partono comunque da segnalazioni di singoli interessati.

Cosa succede se manca solo il blocco preventivo dei cookie?

Si rischia comunque una sanzione: anche una singola carenza, come cookie non tecnici attivati prima del consenso, può essere contestata dal Garante indipendentemente dal resto della conformità del sito.

Raccogli e conserva i consensi senza pensieri

Avacy automatizza raccolta, archiviazione, prova e revoca dei consensi. Conforme a GDPR, ePrivacy e Google Consent Mode v2.

Google Consent Mode v2
IAB TCF 2.3
Immagine autore: Loris Ghirello
L'autore di questo post

Loris Ghirello

Loris Ghirello è un giurista ed esperto legale che si occupa di privacy da oltre dieci anni. Nel corso della sua carriera, è stato coinvolto in problematiche tipiche che possono avere le agenzie che sviluppano siti, app o effettuano attività promozionali per conto dei clienti.

Potrebbe interessarti anche

Sei ancora interessato a passare ad Avacy?

Il nostro team è pronto a supportarti nella configurazione della tua compliance e a mostrarti come ottimizzarne la gestione.