Le responsabilità privacy della web agency

Circa un mese fa sono andato al web marketing festival di Rimini per vedere di persona “cosa bolle in pentola”.

Sono rientrato portandomi a casa queste due impressioni:

la prima è che “noi professionisti dobbiamo imparare a comunicare il diritto in modo più chiaro ed efficace”

la seconda è che “gli operatori del marketing hanno bisogno di capire bene le regole del gioco”

In questo caso il gioco si chiama GDPR, General Data Protection Regulation.

Cercherò di spiegarvi qualche regola.

fake news

Mettete da parte, innanzitutto, i kit di sopravvivenza, non vi aiuteranno a sopravvivere, così come le policy auto generanti, auto rigeneranti, auto rinfrescanti, tutto questo, non serve.

Ah dimenticavo! Se siete indotti in tentazione dal copia/incolla, beh!, non fatelo, stampatevi un bel “no” nella vostra mente, come il biglietto che nel film Apollo 13 Kevin Bacon (Jack Swigert) appiccica sopra il tasto di sganciamento del LEM.

Il GDPR è infatti un gioco complesso, non ci sono scorciatoie; fingete, dunque, di giocare a Monopoli e impegnatevi, che tanto non arriverete mai alla conclusione della partita; la parola d’ordine è accountability che significa responsabilizzazione, responsabilizzazione uguale consapevolezza.

Partiamo dunque, “alea iacta est”, il dado è tratto.

In questo articolo mi concentrerò su alcuni falsi miti da sfatare,  fake news, per gli amanti delle parole straniere.

In ordine di danni, la campionessa in carica: “la web agency non è responsabile dei contenuti, quindi se il sito non è provvisto dell’informativa privacy, il suo creatore non corre alcun rischio”.

Falso, se la web agency non si limita a mettere in pista il sito, cioè a realizzarlo e a venderlo, ma fornisce dei servizi aggiuntivi o collaterali, per esempio il servizio di web hosting o la sua stessa gestione, è responsabile, eccome!

La web Agency in questo caso svolge quanto meno un trattamento che è la conservazione dei dati, ragion per cui va qualificata come responsabile esterna del trattamento.

Ed è tale, cioè responsabile esterna, con tutti gli obblighi che derivano per legge, a prescindere dall’esistenza o meno di un formale atto di nomina che, peraltro, va obbligatoriamente previsto.

E’ molto importante che la web agency sia consapevole di ciò perché il GDPR presume che il responsabile del trattamento sia un soggetto qualificato, in grado di mettere in atto misure tecniche e organizzative tali da garantire il pieno rispetto della normativa privacy. Al responsabile esterno, pertanto, non si richiede una diligenza media, ma oserei dire, massima, ben superiore alla diligenza del buon padre di famiglia.

Bisognerà pertanto fare molta attenzione alle clausole che si mettono nel contratto commerciale. Specificare “chi” fa “che cosa” è non solo utile, ma necessario, tuttavia il testo dell’accordo non può in alcun caso derogare e, quindi essere incompatibile con in contenuto legale dell’atto di nomina a responsabile esterno del trattamento previsto dall’art. 28 del GDPR cioè agli obblighi che per legge incombono sul responsabile.

La ragione è semplice; il GDPR non ammette lo scarica barile, ma al contrario, come si è detto poc’anzi, valorizza il principio di responsabilizzazione e individua degli obblighi sia a carico del titolare che del responsabile del trattamento.

Tornando alla questione iniziale, pertanto, la web agency, in questo caso, potrà sicuramente essere chiamata a rispondere per la mancanza o l’inadeguatezza dell’informativa privacy.

A chi si sognasse di replicare che l’informativa è un obbligo che grava solo sul titolare del trattamento, mi basta rispondere richiamando l’art. 28 GDPR, in base al quale il responsabile del trattamento deve informare immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

Annotatevi pertanto questa regola:  se la web agency effettua dei trattamenti di dati personali per conto del titolare del trattamento non può fare affidamento su eventuali clausole di esonero da responsabilità rispetto ai terzi interessati.

Infatti ai sensi dell’art. 82 del GDPR, la web agency, in quanto responsabile esterna del trattamento, risponderà in solido con il titolare del trattamento non solo nei casi in cui sia venuta meno a un obbligo posto specificatamente a suo carico dal Regolamento, ma anche in tutti i casi in cui abbia chinato il capo, rispetto ad un’istruzione del titolare in contrasto con la normativa privacy.

La vendita del sito internet

Diverso è, invece, il caso in cui la web agency si limita a creare il sito web e a venderlo. In questo caso, poiché la web agency non tratta dati personali per conto del cliente, può contrattualizzare alcune limitazioni di responsabilità.

Sarà pertanto fondamentale precisare l’oggetto del contratto, cioè che cosa si sta vendendo. Siamo proprio sicuri, infatti, che nel silenzio delle parti, il sito possa essere venduto privo dell’informativa privacy e, più in generale non adeguato al GDPR? Può la mancanza di queste caratteristiche essere considerata un vizio, cioè un difetto, della cosa venduta? Se fossi una web agency che si limita a vendere il sito eviterei di correre rischi e farei inserire delle clausole ad hoc.

Una filiera da controllare

Analogo discorso va fatto per il consenso.

Anche qui ricorriamo a un caso concreto e, perciò, immaginiamo un’agenzia di marketing che deve condurre una campagna di newsletter utilizzando liste profilate fornite direttamente dal committente.

L’Agenzia, meglio ricordarlo, pure in questo caso, opera in qualità di responsabile esterna del trattamento. Come tale, abbiamo detto, si presume che sia un soggetto qualificato per trattare i dati in modo conforme al Regolamento.

Essendo investita di tale ruolo privacy, pertanto, l’agenzia non può processare i dati personali senza porsi alcuna domanda in ordine alla loro legittima provenienza.

Il responsabile esterno del trattamento, infatti, non è altro che un soggetto al quale è stata data in outosourcing una determinata attività che ha a che fare con i dati forniti dal titolare del trattamento.

E’ chiaro, quindi, che al pari di un responsabile del reparto marketing di un’azienda, l’agenzia esterna non potrà operare con il paraocchi, ma dovrà porre tutta l’attenzione possibile e, quindi, verificare la legittima provenienza del dato, prima di utilizzarlo.

Quanta attenzione dovrà porre?

Chiedetelo ad Alexa.

A parte gli scherzi, non ci sono standard, anche in questo caso vale il principio di accountability, cioè di responsabilizzazione.

Potrà, per esempio, fare dei controlli a campione oppure potrà richiedere che l’intero ciclo di tutta la banca dati sia tracciato. Più sarà scrupolosa, più possibilità avrà di cavarsela in caso di accertamento.

Spero di essere stato chiaro come mi ero ripromesso.

Magari all’inizio questo gioco vi parrà difficile, d’altra parte i dati sono la vostra croce, ma anche la vostra delizia e comunque, meglio alloggiare sicuri in Parco della Vittoria che andare a pescare imprevisti e probabilità.