Marketing e GDPR: come scegliere i responsabili esterni?

15 luglio 2021Ultimo aggiornamento 29 luglio 2021
Tempo di lettura stimato: 5'
Secondo il GDPR, la scelta del responsabile esterno deve essere consapevole, anche per quanto riguarda il marketing. Il titolare del trattamento non può non sapere quali sono gli strumenti social e gli strumenti marketing utilizzati per promuovere la sua organizzazione.
In parallelo, insieme al team marketing dell’azienda noi, come consulenti, dobbiamo avere un'idea chiara degli strumenti: quali sono quelli più usati, quali sono quelli più sicuri e quelli che pare siano meno attendibili. Il titolare invece è tenuto, ai sensi dell'articolo 28, a verificare le garanzie del responsabile esterno e poi eventualmente è tenuto a dimostrare di aver verificato tali garanzie.

Però molto spesso il titolare (l'imprenditore) non sa che è nelle condizioni di poter svolgere degli audit. Siamo noi consulenti e DPO scelti e nominati dal titolare - per affiancarlo e consigliarlo affinché sia conforme al Regolamento - che, prima di andare a stipulare un contratto, per prassi, dovremmo fornire al nostro responsabile esterno una checklist che ci consenta di verificare se è conforme al GDPR.

Questo è il quadro. Ma cosa succede nella pratica?

Scelta dei responsabili esterni marketing e social: cosa succede nella pratica? I due limiti nell’applicazione del GDPR 

Il titolare è colui che deve dimostrare di aver fatto tutto il possibile per ridurre il rischio ed evitarlo, ai sensi del GDPR. Quindi, nella scelta degli strumenti, deve: 
  • saper selezionare i prodotti social (Google Analytics, Pixel di Facebook, Mailup, Mailchimp, Channel Manager, per esempio);
  • confrontarsi con il DPO;
  • revisionare e controllare: chiedere informazioni periodicamente o secondo la policy definita dall’azienda e svolgere audit nei confronti dei responsabili esterni.
Però, nella pratica, le cose si complicano, perché l’applicazione del Regolamento si scontra con due limiti:
1 - Fare audit ha un costo per il titolare e quindi molto spesso non si fanno perché fare audit seri - non solo mandare una checklist - può significare sostenere dei costi alti.
2 - Il titolare, molto spesso, soprattutto nelle realtà un po' più piccole, è amico del responsabile esterno e quindi anche questa circostanza gli impedisce di andare a fare ispezioni, di andare a fare le pulci, a un soggetto che è commercialmente suo amico. 


Ma cosa dire dei responsabili esterni più grandi: i Big che offrono servizi di marketing, social e newsletter?

Con PrivacyLab abbiamo verificato una serie di responsabili esterni e fra questi anche alcuni Big. Abbiamo analizzato anche società come Google, Facebook, società che offrono servizi di maling, come Mailup e MailChimp, per vedere fino a che punto fossero compliant al GDPR, ma soprattutto se avessero pubblicato degli accordi di protezione dati ai sensi dell'art. 28 e che contenessero i principi dell’art. 28.


Quello che abbiamo scoperto è che non sempre i servizi più usati dagli utenti sono quelli più trasparenti e conformi. Ma andiamo per gradi e cerchiamo di capire quali documenti cercare e dove trovarli quando il nostro cliente vuole avvalersi di servizi offerti dai Big del web. 


Cosa fare quando il responsabile esterno è una grande società con sede fuori dall’UE (magari negli USA)

Ora, poniamoci come consulenti o DPO: il cliente chiede un parere, una consulenza su un determinato fornitore, che è lontanissimo geograficamente e molto grande e noi non abbiamo contatti al suo interno. Ci chiede se secondo noi è conforme al GDPR, perché devono sottoscrivere una nomina a responsabile esterno.


Cosa fare?


1° - Dobbiamo capire dove si trova il Data Processing Agreement

Ricordiamoci sempre questo: nell’ottica delle grandi realtà americane e anglosassoni difficilmente troveremo un Data Processing Agreement separato da un contratto
Nella maggior parte dei casi lo troviamo infatti nei termini e nelle condizioni di servizio o nel contratto. Ma allo stesso tempo, ci sono altre realtà che lo pongono come Addendum e quindi possiamo trovarlo nell'accordo di protezione dati e nel Data Processing Agreement.
Nel momento in cui analizziamo questi provider dal punto di vista privacy, ricordiamoci che, se non troviamo l'Addendum e il Data Processing Agreement, molto probabilmente le informazioni saranno nel contratto. Questo è il primo aspetto a livello a pratico.


2° - Dobbiamo considerare che, può capitare che alcune informazioni sullo stato della privacy del provider o del fornitore siano all'interno delle privacy policy, quindi nell'informativa privacy.
Per cui, andare ad analizzare se un fornitore è compliant al GDPR significa andare a verificare 3 documenti
1) il contratto;
2) il Data Processing Agreement;
3) le privacy policy.

Consiglio: fatta l’analisi documentale è importante che tutti i nostri pareri come consulenti siano verbalizzati per iscritto, perché può succedere che un fornitore non sia conforme al GDPR e che però il titolare faccia di testa sua e firmi il contratto. È vero che è importante che il titolare si avvalga di fornitori 100% conformi al GDPR, ma se sceglie diversamente è responsabilità sua, perché la responsabilità ricade comunque su di lui. 
Noi DPO non possiamo andare a scegliere il fornitore per conto del nostro titolare.
A questo proposito potrebbe interessarti leggere anche: come fare (bene) il DPO


Una volta nominato il responsabile esterno, cosa succede?

Poniamo che individui un responsabile esterno. Fai tutte le verifiche obbligatorie e poi lo nomini. È finita qui? No. Il controllo del responsabile esterno non si limita all'ingaggio
Il responsabile esterno va verificato periodicamente nel tempo, per vedere se è ancora adeguato oppure no. 


Quindi, ogni quanto va controllato?
Ce le diamo noi le regole perché, quando abbiamo fatto un buon impianto del GDPR, possiamo iniziare a stabilirle. Quindi, come noi DPO ogni tanto facciamo degli audit al cliente, possiamo stabilire col cliente che ogni tanto è il caso di fare un audit al fornitore.
Una policy che si può introdurre è questa: nel momento in cui c'è da gestire un data breach, possiamo decidere di inviare una PEC e procedere con l'auditing all'interno del nostro fornitore. 
Perché, appunto, il controllo non è solo a monte, ma anche ex-post: 
  • ex-ante verifichiamo sulla carta 
  • ed ex-post possiamo chiedere maggiori informazioni ed entrare in casa del nostro responsabile esterno.

La compliance al GDPR di alcuni Big: spesso quelli più usati dagli utenti sono i meno conformi e i meno trasparenti

Come già detto, però, alcuni fornitori di servizi che tutti gli utenti utilizzano, lato privacy, hanno ancora molto lavoro da fare. Quelli che piacciono molto al marketing, spesso, dal punto di vista della privacy non sono conformi o se sono conformi, non sono trasparenti, perché le informazioni ci sono, ma è davvero molto complicato trovarle e metterle insieme


Questo era solo un assaggio!

La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

PARTNER BD LEGAL - STUDIO LEGALE

Studi:
Laurea in Legge presso l’Università Bocconi, Business Law specializzazione in diritto internet, Milano. Tesi: “La tutela della privacy e tecniche di pubblicità online”.
Master Universitario di II livello in “Sicurezza delle informazioni e Informazione strategica” (SIIS) presso l’Università La Sapienza (dipartimento di ingegneria informatica) conseguito con borsa di studio della Presidenza del Consiglio. Tesi: “Il funzionamento e la privacy nei CERTs italiani ed esteri”.
Master Federprivacy in “Privacy Officer e Consulente della privacy”, Roma.
Lawful Interception Academy presso la Scuola di Polizia Tributaria, Roma.

Attività Professionale:
Francesca è Avvocato e Partner dello Studio bd LEGAL di Milano, esperienza ultra decennale in diritto delle tecnologie, in particolar modo per quanto riguarda la compliance della protezione dei dati personali, opera in questo settore fin dal conseguimento della laurea.
Si occupa di assistenza stragiudiziale. Ha iniziato il suo percorso professionale lavorando prima in Telecom Italia a Roma, presso il dipartimento Antitrust e poi nel team legale di Google a Milano, dove si è occupata prevalentemente di diritto all’oblio e di rimozioni online. Durante gli anni a Roma, ha collaborato con il Ministero dello Sviluppo Economico nell’ambito della cybersecurity (presso l’ISCOM – CERT nazionale) e su progetti di educazione digitale. A Milano ha lavorato presso una prestigiosa società di consulenza legale.

Assiste primarie società italiane di stampo internazionale su tutto il territorio nazionale, coordinando progetti di compliance GDPR e di adeguamento normativo, offrendo assistenza anche come DPO esterno.

È membro della Comunità SIIS dell’ Università La Sapienza. È Delegato dell’Associazione di Federprivacy e membro del network “Idraulici della Privacy”. È Privacy Officer e Consulente della Privacy certificato TUV Italia con licenza cdp_240 dal 2015. Ha vissuto e studiato in Canada.

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy