Gestione degli eventi. E se il fornitore esterno non è a norma?

03 novembre 2021Ultimo aggiornamento 03 dicembre 2021
Tempo di lettura stimato: 5'
Torniamo a parlare di gestione degli eventi (online, offline, mix online-offline) a norma GDPR. Abbiamo visto quanto contino le procedure nella gestione dell’evento e come far sì che il cliente contatti il consulente privacy/DPO prima di organizzarlo, non quando le cose sono già state fatte (male, magari). In questo articolo vediamo un altro aspetto: cosa fare se il fornitore dell’evento non è a norma. Ne ho parlato in un LIVE di Raise Academy con l’Avvocato Francesca Bassa e Monica Perego, che si occupa, da più di 30 anni, di consulenza aziendale in ambito compliance.

Questo è solo un estratto, il resto è sulla Raise!

Nella gestione degli eventi ci affidiamo a fornitori esterni, ma spesso non sono a norma

Andrea Chiozzi: Una volta che abbiamo deciso di fare un certo tipo di attività, che abbiamo deciso di fare un certo tipo di campagna marketing, ci affidiamo spessissimo a dei fornitori esterni. La scelta del fornitore esterno diventa importante non solo per la qualità del servizio che mi dà (legato all’evento fisico o digitale), ma anche legato alla sua adeguatezza, nell’avere le procedure corrette e avere un’attenzione privacy-by-design e riuscirmi a sminare e a fornirmi un pacchetto “chiavi in mano”: non solo la gestione dell’evento, ma anche l’adeguatezza al GDPR. Il problema è che i fornitori sono scelti spesso prima di fare il tutto, non dopo. Come gestite questa cosa? 

Avvocato Bassa: La maggior parte dei fornitori - quindi delle agenzie di comunicazione e web agency - più piccoli e in provincia, spesso sono poco adeguati al GDPR o non hanno una nomina da DPO e lo si percepisce subito. 

Nelle aziende che seguo, una delle regole che ci diamo è che quando si decide di cambiare fornitore, il marketing deve comunicarlo a un referente della privacy.

Quando invece i miei clienti sono proprio le agenzie di comunicazione, dico sempre che per loro la privacy è un valore aggiunto imprescindibile, nel senso che è il loro biglietto da visita oggi. Se non hanno la privacy, dal mio punto di vista, da qui a un paio di anni, potrebbero essere addirittura fatte fuori dal mercato. Non si può gestire un cliente senza avere un adeguamento normativo privacy. 


Purtroppo, ci sono moltissime agenzie di comunicazione oggi che non tengono conto di questo e devono avere loro in primis la privacy e poi devono farla ai loro clienti. Devono sapere cosa significa fare un sito privacy-by-design, che è necessaria una scheda di realizzazione di progetto, devono conoscere anche solo delle terminologie: cosa sia un vulnerability assessment, per esempio, o un’analisi del rischio. E oggi purtroppo siamo ancora molto indietro.

Devo dire che invece nelle grandi città c’è un po’ più di sensibilità verso questo tema: le agenzie di comunicazione, quando ti propongono dei contratti, contengono la nomina a responsabile esterno o hanno delle clausole privacy ben costruite. Questa è la mia visione, per quanto riguarda la mia esperienza. 

Ma quel fornitore serve davvero o si può trovare un altro modo?

Andrea Chiozzi: Monica, tu cosa ne pensi? 
Monica Perego: Il fornitore è sicuramente un pezzo fondamentale di questo processo. Quando inizi a tirare dentro i fornitori, dovresti chiederti: quanto è necessario quel fornitore? Quanto è necessario dare a quel fornitore una valanga di dati?
Ti faccio un esempio. Qualche anno fa, in occasione di una fiera, un'azienda mio cliente mi dice: “Organizzo un evento. Faccio una pubblicazione che contiene l'invito all'evento, la destino a tutti i miei principali clienti (che sono persone fisiche). Mando tutto il database a un'azienda che prende il libro, l'invito, incellophana tutto, stampa l'elenco dei miei clienti, l'appiccica sopra e gestisce tutta la spedizione.” 

Dà all'azienda che fa questo servizio - che è a tutti gli effetti un'azienda manifatturiera - l'elenco dei suoi 300-400 più importanti clienti! 

L’azienda manifatturiera è un responsabile del trattamento a tutti gli effetti, ma non è assolutamente preparata per fare questo tipo di attività, perché il suo lavoro è un altro e quando le dici: “Guarda che sei un responsabile del trattamento” Quella ti risponde: “Ma cosa stai dicendo? Io sono una che incellophana un libro e che ci appiccica un’etichetta sopra”.


Poi i dati vengono cancellati?

Monica Perego: La vera domanda è: “È proprio necessario fare tutto questo? Se andassimo noi ad etichettare e non gli dessimo il database?” Perché il problema non è che non gli voglio dare il database, ma poi quel data base lì, che fine fa? Che garanzie ho che poi venga cancellato? 

Attenzione! Questo problema potrebbe averlo anche l’agenzia di comunicazione che si rivolge ad un fornitore di questo tipo, per conto del suo cliente o di un suo subfornitore. A questo punto tu hai bisogno di selezionare i fornitori guardando alla loro capacità di gestire correttamente i dati, soprattutto dopo l’evento: come gestiscono le cancellazioni. Perché l’evento in sé ha un tempo di gestazione tutto sommato piuttosto breve. Quindi il vero punto è chiedersi come questi cancelleranno le informazioni raccolte. 

È questo tipo di valutazioni che bisogna compiere, su questo ultimo miglio. 

Poi succede che queste aziende che gestiscono rilegano e spediscono ti dicono “No, guarda, ma io ho il database dell’anno passato. Se vuoi ci aggiungiamo i contatti, perché l’ho già tutto elaborato…” 

Ricordiamoci poi che un evento è un’occasione per lanciare qualcosa. Spesso qualcosa di riservato a un gruppo ristretto, da tenere nascosto alla concorrenza. Parliamo del know how dell’azienda. Quindi è la tutela di un pacchetto di dati, in cui i dati personali sono un di cui
Andrea Chiozzi: Chiarissimo. E se all’evento sono presenti dei VIP? E se uno dei VIP ha accordi in esclusiva con altri, viene fotografato e pubblicato su internet? Come gestire le immagini dei partecipanti? E quelle delle standiste? E se Peppino viene ripreso con l’amante e mandato in streaming? Come si gestire situazioni del genere?

Nel LIVE di Raise “La gestione degli eventi e dei social network: aspetti GDPR e procedurali” trovi le risposte a queste domande e alcuni casi pratici. 

Questo era solo un assaggio!

La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

PARTNER BD LEGAL - STUDIO LEGALE

Studi:
Laurea in Legge presso l’Università Bocconi, Business Law specializzazione in diritto internet, Milano. Tesi: “La tutela della privacy e tecniche di pubblicità online”.
Master Universitario di II livello in “Sicurezza delle informazioni e Informazione strategica” (SIIS) presso l’Università La Sapienza (dipartimento di ingegneria informatica) conseguito con borsa di studio della Presidenza del Consiglio. Tesi: “Il funzionamento e la privacy nei CERTs italiani ed esteri”.
Master Federprivacy in “Privacy Officer e Consulente della privacy”, Roma.
Lawful Interception Academy presso la Scuola di Polizia Tributaria, Roma.

Attività Professionale:
Francesca è Avvocato e Partner dello Studio bd LEGAL di Milano, esperienza ultra decennale in diritto delle tecnologie, in particolar modo per quanto riguarda la compliance della protezione dei dati personali, opera in questo settore fin dal conseguimento della laurea.
Si occupa di assistenza stragiudiziale. Ha iniziato il suo percorso professionale lavorando prima in Telecom Italia a Roma, presso il dipartimento Antitrust e poi nel team legale di Google a Milano, dove si è occupata prevalentemente di diritto all’oblio e di rimozioni online. Durante gli anni a Roma, ha collaborato con il Ministero dello Sviluppo Economico nell’ambito della cybersecurity (presso l’ISCOM – CERT nazionale) e su progetti di educazione digitale. A Milano ha lavorato presso una prestigiosa società di consulenza legale.

Assiste primarie società italiane di stampo internazionale su tutto il territorio nazionale, coordinando progetti di compliance GDPR e di adeguamento normativo, offrendo assistenza anche come DPO esterno.

È membro della Comunità SIIS dell’ Università La Sapienza. È Delegato dell’Associazione di Federprivacy e membro del network “Idraulici della Privacy”. È Privacy Officer e Consulente della Privacy certificato TUV Italia con licenza cdp_240 dal 2015. Ha vissuto e studiato in Canada.

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy