Se sei una web agency, un’agenzia di marketing automation, un professionista della comunicazione, una media company vedi moltissime informazioni del tuo cliente e degli utenti: devi quindi prestare molta attenzione al corretto trattamento dei dati ed adottare un registro dei trattamenti dei dati personali.
I dati personali dell’agenzia di marketing
In generale, per un’agenzia di marketing il tuo core business è rappresentato dalla fornitura di servizi per l’ideazione, la realizzazione e il monitoraggio di compagne pubblicitarie, promozionali e di fidelizzazione dell’utente finale. Per rendere questi servizi sono imprescindibili le attività di accesso, analisi, conservazione e strutturazione dei dati personali degli utenti intercettati dalle tue campagne marketing.
Si tratta di trattamenti spesso altamente strutturati, oltre che in continua evoluzione, la cui tipica dinamicità potrebbe esporre la web agency al rischio di tralasciare alcuni aspetti inerenti alla corretta gestione dei trattamenti posti in essere, ove non adeguatamente monitorati.
Ecco, quindi, in questo articolo una panoramica sul registro dei trattamenti dell’agenzia di comunicazione, sia quando questa assume il ruolo di titolare del trattamento, che quando agisce in qualità di responsabile del trattamento (i.e. outsourcer) rispetto a propri clienti.
I dati personali della software house
Il registro dei trattamenti vale anche per le aziende che svolgono assistenza e manutenzione delle reti, forniscono software gestionali, sviluppano e tengono monitorata l’infrastruttura hardware.
Nell’ambito della consulenza legale che prestiamo ci rivolgiamo anche a queste strutture.
Peraltro per le software house, di deve aggiungere anche la qualifica di amministratori di sistema.
Tutto quello che apprenderai dalla lettura va poi correttamente implementato sulla base delle specificità della tua media company. Abbiamo creato delle check list complete per acquisire tutte le informazioni necessarie e svolgere un adeguamento privacy su misura.
Cos’è il Registro dei Trattamenti di un’agenzia di comunicazione
Il registro dei trattamenti è uno dei principali strumenti documentali previsti dal GDPR (regolamento europeo 2016/679 per la protezione delle persone fisiche con riguardo al trattamento dei dati personali) per far sì che ogni soggetto che tratti dati personali in modo non occasionale provveda prioritariamente al censimento dei trattamenti svolti, così da assicurare la pianificazione e gestione delle attività di protezione delle persone con riguardo al trattamento dei dati personali delle stesse.
Il registro dei trattamenti è il documento atto a dimostrare il pieno rispetto delle prescrizioni del GDPR nell’ambito dei servizi di marketing e di assistenza software che svolgi.
Anche il Garante Privacy italiano, nelle proprie FAQ dedicate al registro delle attività di trattamento (consultabili sul sito dell’Autorità al seguente link ), ha ribadito che è obbligato alla redazione di tale documento qualunque titolare o responsabile che effettui trattamenti non occasionali.
Se sei un’impresa che lavora nei servizi digitali indubbiamente tratti in modo non occasionale dati personali, sia con riguardo ai tuoi dipendenti/collaboratori, che con riguardo agli utenti dei tuoi clienti. Rientri quindi a pieno titolo tra i soggetti obbligati ad avere un registro dei trattamenti di dati personali.
Vediamo quindi qual è il contenuto minimo e necessario del registro dei trattamenti dell’agenzia di comunicazione, sia quando tratta dati personali in qualità di titolare del trattamento che quando assume il ruolo di responsabile del trattamento.
Come costruire il registro dei trattamenti della tua impresa
Per avere un registro dei trattamenti che sia uno strumento idoneo a censire i vari passaggi di dati personali (comunicazione, diffusione, archiviazione..) e a provare la conformità degli stessi al GDPR è necessario svolgere alcune attività fondamentali.
Ecco le attività principali per redigere un registro dei trattamenti conferme a GDPR:
- DUE DILIGENCE PRIVACY dell’agenzia di comunicazione. Bisogna descrivere ogni trattamento, analizzare le finalità, prendere nota dei soggetti coinvolti. Come fare? Noi utilizziamo un questionario approfondito che ci aiuta a comprendere bene ogni profilo di trattamento dei dati personal dell’agenzia di marketing.
- ASSESSMENT PRIVACY della web agency. È fondamentale partire da quello che c’è già quindi riprendere la documentazione già adottata dall’agenzia di comunicazione per la conformità alla normativa relativa al trattamento dei dati personali. Anche qui, noi utilizziamo una checklist che inviamo all’agenzia: sarà compito del referente inviarci i documenti richiesti e farci sapere quello che invece non è stato implementato.
- GAP AND RISK ANALYSIS della media company. Dalle precedenti fasi potrebbero emergere criticità in relazione alle quali potrebbe essere necessario pianificare delle attività correttive e/o preventive. Serve un’analisi del rischio per comprendere in ragione a ciascun trattamento dati marketing quelli che sono maggiormente esposti.
- REDAZIONE DEL REGISTRO dei trattamenti sulla base delle informazioni e documentazioni raccolte nelle precedenti fasi;
- REFRESH PERIODICO del registro dei trattamenti. Nella formazione privacy per le agenzie di comunicazione ci teniamo a sottolineare che la documentazione non va tenuta in un cassetto; non si tratta di ricezione formale ma di concreta applicazione. Questo significa che quando c’è un trattamento che cambia (e si sa, è un settore in rapidissima evoluzione) serve un intervento.
Il Team Privacy di Legal for Creativity fornisce supporto legale per lo svolgimento delle diverse fasi con una partecipazione attiva dell’agenzia di comunicazione anche in omaggio al principio di trasparenza che connota la nostra attività.
A) Il registro dei trattamenti dell’agenzia di comunicazione come titolare del trattamento
L’agenzia di comunicazione è titolare del trattamento
Il titolare del trattamento è chi decide in via autonoma i mezzi e le finalità del trattamento di dati personali. Sono tipicamente titolari del trattamento: il datore di lavoro e il proprietario di un sito web.
Se come agenzia di comunicazione ti avvali della collaborazione di dipendenti o altre figure esterne, ne tratti necessariamente i dati personali in modo sistematico e non occasionale: sei quindi il titolare di tali trattamenti di dati personali e devi dotarti del registro dei trattamenti con il contenuto descritto dall’art. 30, par. 1, del GDPR.
Il registro dei trattamenti del titolare
II tuo registro dei trattamenti in qualità di titolare del trattamento deve riportare almeno le seguenti informazioni:
- nome e dati di contatto dell’agenzia di comunicazione
- nome e dati di contatto, se presenti, di eventuali contitolari del trattamento, del rappresentante del titolare e del suo DPO (per approfondire il tema del DPO consulta https://www.legalforcreativity.it/chi-e-il-data-protection-officer/);
- le finalità del trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini);
- base giuridica del trattamento (pur non rientrando tra le informazioni indicate dal GDPR quale contenuto minimo del registro, il Garante Privacy italiano nelle citate FAQ ne evidenzia l’opportunità di inserire nel registro dei trattamenti anche tale informazione);
- una descrizione delle categorie di interessati (es.: clienti, fornitori, dipendenti)
- una descrizione delle categorie di dati oggetto del trattamento (es.: dati anagrafici, dati sanitari, dati biometrici, dati relativi a permessi e congedi, dati relativi al profilo formativo, dati bancari, ecc.);
- individuazione delle categorie di destinatari a cui sono o saranno comunicati i dati personali. Tra questi andranno censiti eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento – siano trasmessi i dati da parte dell’agenzia di comunicazione (es. soggetto esterno cui sia affidato dal titolare il servizio di elaborazione delle buste paga dei dipendenti; provider esterno di software gestionali e/o di applicativi per l’analisi e la strutturazione dei dati inerenti alle campagne marketing, software house, ecc.);
- ove applicabile, i trasferimenti dei dati personali trattati verso paesi terzi o organizzazioni internazionali;
- ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati personali trattati (ad es. in caso di rapporto contrattuale, i dati potranno essere conservati per 10 anni dall’ultima registrazione – v. art. 2220 del codice civile);
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate in base all’art. 32 del GDPR.
Una volta creato il registro dei trattamenti dell’agenzia di comunicazione come titolare del trattamento, lo stesso dovrà essere mantenuto aggiornato tempo per tempo. Ad esempio, sarà necessario provvedere al relativo aggiornamento quando subentrano nuovi soggetti a cui vengono comunicati i dati personali, oppure quando decidi di avvalerti di nuove app che implicano la conservazione dei dati personali fuori dallo Spazio Economico Europeo.
B) Il registro dei trattamenti dell’agenzia di comunicazione come responsabile del trattamento
L’agenzia di comunicazione è responsabile del trattamento
Il Responsabile del trattamento è chi tratta i dati personali per conto del Titolare del trattamento. Tra i Responsabili del trattamento rientrano indubbiamente le agenzie di comunicazione che, nel curare campagne di marketing per conto dei propri clienti, trattano i dati personali dei clienti-utenti del proprio committente.
Alcuni esempi:
- il trattamento di dati personali nella gestione dei profili social per conto dell’azienda e in questo ambito l’attività di community management piuttosto che di brand ambassador dei lavoratori dipendenti;
- il trattamento dei dati personali nella gestione di un sito internet con canale e-commerce e quindi tutti i dati degli utenti registrati e non registrati che eseguono acquisti;
- il trattamento dei dati personali nell’invio delle newsletter e quindi tutta l’attività di funnel, di acquisizione dei contatti e invio delle comunicazioni commerciali.
Se hai dubbi sulla figura di responsabile del trattamento dell’agenzia di comunicazione ti rinviamo all’articolo dedicato al tema così puoi verificare, anche in autonomia, il tuo ruolo.
Il registro dei trattamenti del responsabile
L’agenzia di comunicazione quale responsabile del trattamento deve tenere un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare, il cui contenuto minimo è determinato dall’art. 30, par. 2 del RGPD.
Ecco le informazioni fondamentali che deve riportare il registro dei trattamenti di una web agency come responsabile:
- nome e dati di contatto del/dei responsabile/i del trattamento (tu);
- nome e dati di contatto di ogni titolare del trattamento per conto del quale si agisce come responsabile (ogni tuo cliente)
- nome e dati di contatto del rappresentante del titolare o del responsabile e, ove presente, del DPO;
- categorie di trattamenti effettuati per conto di ogni titolare del trattamento;
- i trasferimenti dei dati personali trattati verso paesi terzi o organizzazioni internazionali;
- una descrizione generale delle misure di sicurezza tecniche e organizzative adottate in base all’art. 32 del GDPR (ove possibile);
Come visto, il registro del responsabile del trattamento risulta essere in parte “semplificato” rispetto a quello del titolar del trattamento, essendo meno le informazioni che vi devono comparire all’interno.
Tuttavia, è molto probabile che l’agenzia di comunicazione agisca in qualità di responsabile del trattamento per conto di più clienti quali autonomi e distinti titolari: in tal caso le informazioni sopra elencate dovranno essere riportate nel registro con riferimento a ciascuno dei suddetti titolari. Si dovrà, pertanto, suddividere il registro in tante sezioni quanti sono i titolari per conto dei quali agisce.
Da dove partire per un registro dei trattamenti nel marketing digitale?
Come hai appena letto, la tua web agency può essere sia Titolare del trattamento sia Responsabile del trattamento. Questo implica che dovrai munirti di due tipologie di Registro dei trattamenti, quello per Titolare del trattamento e quello per Responsabile del trattamento.
Se vuoi assicurarti di redigere i Registri dei trattamenti senza tralasciare aspetti rilevanti per la normativa privacy vigente possiamo avviare assieme il relativo processo di redazione. In questo modo puoi dotare la tua agenzia di comunicazione di tutti i presidi idonei a dimostrare la sua compliance privacy.
Photo by Anete Lusina