GDPR e social media in pillole

19 maggio 2021Ultimo aggiornamento 15 settembre 2021
Tempo di lettura stimato: 6'
Parliamo di GDPR e social media e cerchiamo di capire quali sono le cose importanti da tenere a mente, quando usiamo i social per motivi di business. Occhio, però, che per social media non intendiamo solo i social network – Facebook, Instagram, Twitter e così via – ma anche tutti quegli strumenti che si usano per trattare dati personali in un’organizzazione aziendale. Quindi ci mettiamo dentro anche gli strumenti per gestire le newsletter, quelli per fare profilazione, quelli per gestire un e-commerce e così via. 


GDPR e social network: quando si applica il Regolamento?

Il GDPR si applica quando:
1) C’è un titolare - o un responsabile - che ha uno stabilimento all’interno dell’Unione Europea. Cioè si applica a qualsiasi attività che è effettiva e reale e che avviene all’interno del territorio dell’Unione Europea, indipendentemente dal fatto che il trattamento poi avvenga fuori dall’UE. 
La tua azienda ha una sede all’interno dell’Unione Europea? 
Si applica il GDPR, anche se poi i dati vengono trattati a Singapore. 

2) Il GDPR si applica anche quando il titolare – o il responsabile - non hanno una sede all’interno dell’Unione Europea, ma tratta dati personali di interessati che sono all’interno dell’Unione Europea. 
Quindi si applica a chi eroga servizi o beni anche gratuitamente  e per farlo tratta, salva, legge o sposta dati personali ed anche a chi monitora utenti, ovvero fa attività di profilazione, geo-localizzazione, attività di marketing, tracciamento anche attraverso i cookie.
La tua azienda è in Kazakistan e vende anche in Europa interessati Europei?
Si applica il GDPR.


Nei social media ci sono 4 cose importanti da tenere a mente rispetto al trattamento dei dati personali

Queste 4 cose importanti da ricordare sono:
1 – La maggior parte dei social media vengono dagli Stati Uniti e quindi: 
a) usano un linguaggio molto semplice e lontano dal nostro (perché sono anglosassoni); 
b) hanno una concezione della privacy completamente diversa dalla nostra e così, quando andiamo a leggere i termini e le condizioni del servizio o l’informativa privacy di questi strumenti, è facile perdersi.


2 – Bisogna capire quando si applica il GDPR e se vengono fatti dei trattamenti di dati personali di cittadini europei, al di fuori dell’Unione Europea. Per esempio, alcuni social, come MailUp, che si usa per inviare le newsletter, sono in UE. Mailchimp, invece, no. 
Stessa funzione, strumento simile, Paese diverso. 


3 – Quali sono i soggetti che nella pratica utilizzano i social all’interno dell’azienda.
Quindi non sono tanto i soggetti previsti dal GDPR – titolare, responsabile esterno, interessato – ma, per esempio, sono i Peppino, che inviano le newsletter e le Giulia, che gestiscono la sezione lavora con noi del sito. 
E quindi è importante capire chi fa cosa all’interno dell’organizzazione.


4 - La co-titolarità. Nel caso dei social media può succedere che si presenti questa situazione: un gruppo di imprese raccoglie i dati delle stesse persone e invia le newsletter, fa selezione del personale, fa delle promozioni dedicate… e visto che queste aziende comunicano tra loro e si passano questi dati, è bene che regolamentino i loro rapporti definendo se sono co-titolari o responsabili esterni. 
Queste solo nel 4 cose importanti da tenere a mente. 
Bene. 


Quindi, i titolari del trattamento, anche nella scelta dello strumento, devono capire se questo è adeguato o meno e come vengono trattati i dati personali degli interessati.
Nel caso dei social media, come facciamo a capire se lo strumento che usiamo tratta bene i dati oppure no?  Prima ancora di andare a leggere i termini e le condizioni, basta guardare la missione di questi social – il loro motto - per farci drizzare le orecchie!


La missione aziendale ti dice già che relazione ha il social con i dati

La missione che il social dichiara è un buon indicatore del suo approccio al trattamento dei dati
Perché i social hanno uno scopo e su questa base modellano anche la loro governance dal punto di vista del trattamento dei dati personali.

Prendiamo Google. Qual è la missione di Google? 
È quella di organizzare le informazioni a livello mondiale e renderle universalmente accessibili. Questo cosa ci fa capire? 
Ci fa capire che, se andiamo a chiedere la rimozione di qualcosa a Google, Google propenderà sempre per lasciare le informazioni in rete.


Ti si sono drizzate le orecchie? 
Bene, perché poi dovrai approfondire leggendo le informative, i termini e le condizioni del servizio. Ma intanto sai già che devi stare all’occhio.


E poi mica ci sono solo i social americani.


Non esiste solo Facebook

Se dici social network pensi a Facebook, ma non esiste solo Facebook (o Instagram o Twitter).
Ci sono dei Paesi che non lo utilizzano proprio e che hanno i loro social network. 
Noi siamo abituati a usare i social americani, ma quelli cinesi e quelli russi li conosciamo molto meno e adesso che, a causa del Covid, molte aziende si stanno guardando intorno per aprirsi a nuovi mercati, è importante capire quali social aprire e soprattutto dove hanno i server e qual è la loro provenienza perché, dal punto di vista della privacy e del trattamento dei dati personali, funzionano in modo diverso. 


Quindi, prima di usarli, bisogna verificare.
Perché dietro al social ci sono delle aziende proprietarie ed è importante risalire alla società e a dove si trova – è fuori o dentro all’UE? - per capire qual è l’impatto sul trattamento dei dati personali.
Skype è proprietà di Microsoft. Anche LinkedIn è una piattaforma di Microsoft. WhatsApp e Instagram sono di Facebook. YouTube è di Google. Tik Tok invece è della ByteDance, che è cinese.


Gli strumenti dei social: ci sono quelli per le persone e quelli per il business

Social network e social media ti danno due tipi di strumenti: ci sono quelli per uso personale – Peppino ha il profilo Facebook e lo usa per seguire la squadra di calcio, pubblicare le catene di Sant’Antonio e farsi i selfie al bar – e quelli per uso aziendale. È il caso di Giulia che apre la pagina Facebook aziendale per il suo negozio di abbigliamento e fa le sponsorizzazioni per avere più clienti. 
Peppino e Giulia sembra che usino lo stesso strumento in realtà dovrebbero usare due strumenti diversi.
E quali sono questi strumenti business che i social ti mettono a disposizione?
Sono, per esempio, il Pixel di Facebook, Workplace e WhatsApp Business (che sono tutti prodotti di Facebook).


I social sono responsabili esterni, titolari autonomi o co-titolari? 

Alcuni social si autonominano responsabili esterni, altri invece si dichiarano titolari autonomi. Altri ancora si dichiarano co-titolari dell’azienda che sta utilizzando la loro pagina aziendale. 
Per esempio, Facebook è uno di quei social che dichiara all’interno delle proprie policy quando è responsabile e quando non lo è, in modo abbastanza chiaro. 
Quasi sempre si dichiara titolare autonomo del trattamento dei dati: ti lascia una piattaforma aperta, dove sono gli utenti che creano i contenuti, sono gli utenti che interagiscono tra di loro e quindi in qualche modo è come se la responsabilità ricadesse sull’utente. 

È come quando affitti un appartamento: lo dai a qualcuno che ci vive per un po’ e poi se dipinge le pareti di fucsia, i termosifoni di giallo e le porte di verde è un problema di chi subentra. 


Ma in alcuni casi Facebook si dichiara responsabile. Ad esempio, è responsabile esterno nel momento in cui ti offre il servizio Workplace premium, cioè il servizio business.
E poi, può essere co-titolare: in una sentenza del 2018, la Corte di Giustizia Europea ha affrontato un caso che riguardava la gestione di Facebook Insights attraverso la gestione della pagina aziendale. Secondo la Corte, l’amministratore di una Fanpage, di una pagina aziendale, è responsabile congiunto – quindi in qualche modo co-titolare – con Facebook. 
Infatti, nei termini e nelle condizioni di servizio di Facebook, quando si parla di pagina aziendale, troviamo scritto che c’è una co-titolarità.


Articolo tratto dall’intervento dell’Avvocato Francesca Bassa su RAISE Academy.


Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

PARTNER BD LEGAL - STUDIO LEGALE

Studi:
Laurea in Legge presso l’Università Bocconi, Business Law specializzazione in diritto internet, Milano. Tesi: “La tutela della privacy e tecniche di pubblicità online”.
Master Universitario di II livello in “Sicurezza delle informazioni e Informazione strategica” (SIIS) presso l’Università La Sapienza (dipartimento di ingegneria informatica) conseguito con borsa di studio della Presidenza del Consiglio. Tesi: “Il funzionamento e la privacy nei CERTs italiani ed esteri”.
Master Federprivacy in “Privacy Officer e Consulente della privacy”, Roma.
Lawful Interception Academy presso la Scuola di Polizia Tributaria, Roma.

Attività Professionale:
Francesca è Avvocato e Partner dello Studio bd LEGAL di Milano, esperienza ultra decennale in diritto delle tecnologie, in particolar modo per quanto riguarda la compliance della protezione dei dati personali, opera in questo settore fin dal conseguimento della laurea.
Si occupa di assistenza stragiudiziale. Ha iniziato il suo percorso professionale lavorando prima in Telecom Italia a Roma, presso il dipartimento Antitrust e poi nel team legale di Google a Milano, dove si è occupata prevalentemente di diritto all’oblio e di rimozioni online. Durante gli anni a Roma, ha collaborato con il Ministero dello Sviluppo Economico nell’ambito della cybersecurity (presso l’ISCOM – CERT nazionale) e su progetti di educazione digitale. A Milano ha lavorato presso una prestigiosa società di consulenza legale.

Assiste primarie società italiane di stampo internazionale su tutto il territorio nazionale, coordinando progetti di compliance GDPR e di adeguamento normativo, offrendo assistenza anche come DPO esterno.

È membro della Comunità SIIS dell’ Università La Sapienza. È Delegato dell’Associazione di Federprivacy e membro del network “Idraulici della Privacy”. È Privacy Officer e Consulente della Privacy certificato TUV Italia con licenza cdp_240 dal 2015. Ha vissuto e studiato in Canada.

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy