Sei un’agenzia di comunicazione e devi creare per il tuo cliente un sito web, gestire una campagna di marketing online o pubblicare contenuti nei social network: hai individuato un processo per la corretta gestione dei dati personali che tratti nell’esecuzione del servizio pubblicitario e definito il ruolo privacy dell’agenzia di marketing?
L’attenzione per il trattamento dei dati è un argomento fondamentale e preliminare, sin dall’inizio dell’attività (al momento della conferma del preventivo, per intenderci). Il disinteresse per questo tema ti espone a pericoli e può comportare per il tuo cliente importanti sanzioni e a te gravi danni, anche d’immagine. Ci può essere ad esempio un data breach con conseguenti responsabilità.
In questo articolo definiamo il ruolo privacy dell’agenzia di comunicazione e ti spieghiamo perchè una corretta impostazione deve essere un elemento del contratto che stipuli con il tuo cliente.
Abbiamo dedicato altri articoli al trattamento dei dati personali nelle attività di marketing. Puoi usare la 🔎 ma ti suggeriamo di iniziare comunque dall'articolo generale in cui abbiamo parlato anche di automazioni, funnel e check-list: Privacy nelle attività di marketing.
Il ruolo privacy dell’agenzia di marketing
Stante la diffusione del GDPR e la sempre più crescente importanza del mondo dell’online, avrai ormai familiarizzato con i concetti di titolare e responsabile del trattamento privacy. Ma se così non fosse, rivediamoli insieme.
Agenzia di comunicazione come titolare del trattamento
Il titolare del trattamento è colui che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali, ossia è colui che decide quali dati trattare, per quali finalità e con quali strumenti.
Ad esempio, l’agenzia di marketing è titolare del trattamento con riguardo ai dati dei dipendenti e dei collaboratori esterni. Di fatto, nel momento in cui elabora la busta paga oppure acquisisce i dati per la gestione del contratto di collaborazione.
Agenzia di comunicazione come responsabile del trattamento
Il responsabile del trattamento è colui (sia esso una società o una persona fisica che agisce per finalità professionali) che tratta i dati per conto (i.e. su incarico) del titolare del trattamento.
Ad esempio, l’agenzia di marketing che gestisce i dati dei follower della pagina Facebook del cliente oppure l’agenzia che elabora una campagna di marketing per l’acquisizione di lead.
Agenzia di comunicazione come titolare e responsabile del trattamento
Come avrai già intuito dalle definizioni stesse, l’agenzia di comunicazione assume l’uno o l’altro ruolo a seconda dell’insieme di dati personali che viene preso di volta in volta in considerazione.
Ad esempio, conosciamo varie agenzie che sviluppano progetti legati alle esperienze di networking e di lavoro condiviso, creando reti di coworking. in questo caso, chiaramente la situazione si fa più complessa in quanto i flussi di dati sono diversi e i soggetti che intervengono, svariati.
Ci piace collaborare con i coworking e con le reti di freelance e infatti abbiamo dedicato una serie di articoli dedicati al tema: La gestione dei dati personali dei coworkers, I ruoli privacy dei coworking, Il rischio dei dati personali nei coworking.
Se gestisci un coworking o vuoi sviluppare una realtà simile, magari anche con servizi diversi, contattaci sin dall’inizio per gestire in modo corretto tutte le varie attività di trattamento.
L’agenzia di comunicazione tratta dati personali?
L’agenzia tratta pochi dati personali
Ci capita spesso di incontrare agenzie di comunicazione che dubitano di avere un ruolo rilevante dal punto di vista della normativa privacy.
Chiaramente, bisogna distinguere tra titolare del trattamento e responsabile del trattamento.
Ad esempio, se l’agenzia si occupasse esclusivamente di creare un sito web come semplice template e lo cedesse al cliente affinché quest’ultimo si occupi in via autonoma della gestione e manutenzione del sito, allora effettivamente l’agenzia non ricoprirebbe un ruolo privacy nella gestione dei dati personali degli utenti di quel sito web, non accedendovi né avendo il monitoraggio da remoto del traffico su quel sito. L’agenzia rimane titolare del trattamento con riguardo ai dati personali del cliente (e dei dipendenti del cliente) per la gestione dello sviluppo del sito internet.
L’agenzia tratta molti dati personali
In realtà, più di noi, conosci il ruolo sempre più rilevante delle agenzie di comunicazione e del loro business nella gestione dei dati: una molteplicità di attività che le mettono nelle condizioni di interagire con i dati degli utenti che accedono a svariate piattaforme gestita anche da soggetti diversi, per conto del cliente finale.
Pensiamo, a mero titolo esemplificativo, alle attività di web hosting, di back-up, di social media manager: si tratta di attività nell’ambito delle quali l’agenzia di comunicazione è nella condizione di vedere non solo e non tanto nome e cognome degli utenti, ma anche il loro profilo social, i likes, gli interessi, la posizione, i dati di insight.
Peraltro, molte aziende oggi demandano all’agenzia tutto il blocco dei dati personali degli utenti, proprio per non avere ruoli nell’ambito della comunicazione. In questo caso, l’agenzia ha un ruolo ancora più rilevante e quindi bisogna fare estrema attenzione.
Ti sono capitate richieste di questo tipo? Se si, la prossima volta ti suggeriamo di intervenire d’anticipo.
Il Data Processing Agreement
ll contratto e la nomina dell’agenzia a responsabile del trattamento
Se ti abbiamo convinto che il ruolo di responsabile del trattamento dati sia il tuo, allora lascia che ti spieghiamo quali sono gli elementi contrattuali a cui devi prestare attenzione.
L’art. 28 del GDPR prevede espressamente che il trattamento di dati da parte del responsabile del trattamento debba essere svolto sempre sulla base di un contratto o altro atto giuridico idoneo.
Il tuo cliente (che nel rapporto con l’agenzia di comunicazione a cui conferisce un incarico assume il ruolo di titolare del trattamento) ti nomina (o nomina la tua agenzia) come responsabile esterno del trattamento.
Le clausole essenziali della convenzione di nomina dell’agenzia di comunicazione
Questo contratto prende tipicamente il nome di Data Processing Agreement e deve avere un contenuto preciso e customizzato sull’esigenze del cliente che ti conferisce l’incarico, motivo per cui i copia-incolla da risorse online non sono una strategia vincente.
Il Data Processing Agreement può essere allegato al contratto di servizi principale e deve necessariamente contenere, tra gli altri elementi, anche i seguenti elementi:
- istruzioni specifiche sulla modalità con cui l’agenzia di comunicazione deve trattare i dati personali degli utenti;
- le misure di sicurezza che l’agenzia garantisce nello svolgimento del servizio;
- la collaborazione che l’agenzia di comunicazione è tenuta a rendere sia al cliente che agli utenti della piattaforma in caso di richieste relative ai profili privacy del trattamento (ad esempio, richieste di accesso ai dati personali o di opt-out da mailing list).
Le responsabilità dell’Agenzia di comunicazione come Responsabile del trattamento
La responsabilità civile e generale dell’agenzia di comunicazione
L’agenzia di comunicazione, in quanto responsabile del trattamento dei dati degli utenti della piattaforma, può essere chiamata a rispondere civilmente dei danni subiti dagli utenti a causa del trattamento svolto.
Se non è stato adottata una convenzione di nomina, non sono state definite bene le misure di sicurezza, l’agenzia non si è attivata oppure si sono firmati degli accordi ma solo formali, allora la responsabilità dell’agenzia può di fatto essere illimitata e comportare gravi danni di natura economica ma anche all’immagine.
La responsabilità limitata e circoscritta dell’agenzia di comunicazione
Il Data Processing Agreement ossia la convenzione di nomina a responsabile del trattamento dell’agenzia di comunicazione diventa uno strumento essenziale per circoscrivere le sue responsabilità contrattuali dell’agenzia. Serve anche ad altro.
In questi casi, l’agenzia potrà essere chiamata a rispondere solo se:
- non ha adempiuto agli obblighi che il GDPR pone in capo al responsabile del trattamento;
- ha disatteso le istruzioni ricevute dal cliente.
Come limitare / escludere la responsabilità per trattamento dati dell’agenzia di comunicazione?
Se quindi l’agenzia di comunicazione osserva gli obblighi del GDPR, predispone la documentazione, dà concreta attuazione alle procedure, conclude la convenzione con il cliente allora in caso di problematiche legate al trattamento dei dati personali, potrà andare esente da responsabilità o comunque limitare il danno.
Avere determinato prioritariamente in forma scritta, tramite il Data Processing Agreement, le istruzioni a cui l’agenzia di comunicazione deve attenersi nell’esecuzione del contratto assume un valore strategico nella mitigazione dei rischi sotto il profilo privacy, divenendo uno degli elementi comprovanti la compliance dell’agenzia alla normativa in materia di trattamento dei dati personali.
Due sono le strade:
- Se non ha mai scritto un Data Processing Agreement oppure ti limiti a firmare quello sottoposto dal tuo cliente, non è il modo giusto per andare esente da responsabilità ed accetti quindi, con consapevolezza, pericoli, danni e sanzioni.
- Se invece vuoi assicurarti di aver adempiuto a tutti gli altri obblighi che la normativa privacy vigente pone a tuo carico possiamo impostare insieme un percorso per la conformità a GDPR della tua agenzia di comunicazione.
Questo contenuto è stato scritto dal Team Privacy di Legal for Creativity che si occupa di tutti i profili che riguardano in trattamento dei dati personali. Se vuoi approfondire questi o altri temi legati al mondo della privacy, puoi contattarci: