La gestione privacy delle web agency

Le web agency forniscono servizi dedicati alle tecnologie del mondo digitale, esploso nell’ultimo decennio, in particolare gestiscono l’immagine delle aziende committenti e spesso le aiutano nell’aumentare il parco clienti grazie alle azioni di marketing; di conseguenza, il loro è uno dei lavori che più coinvolgono trattamenti di dati personali, anche se questi sono spesso non immediatamente evidenti.

Nel seguito dell’articolo saranno analizzati i trattamenti coinvolti nei servizi resi, quindi svolti come “responsabili del trattamento”; dal punto di vista dei trattamenti come “titolari”, che sono sostanzialmente quelli comuni a praticamente tutte le aziende come la contabilità, la gestione del personale, la gestione dei propri servizi web, non ci sono particolari attenzioni, se non l’eventuale ricorso al lavoro da remoto.

Gestione siti web

Riguardo ai siti web, i servizi possono essere vari, vediamo brevemente come essi coinvolgono dati personali e quali sono gli aspetti più importanti di cui tener conto.

Gestione sistemistica della piattaforma (server): possono essere presenti i log di sistema, i log degli accessi al sito, strumenti di analisi della navigazione, strumenti di profilazione, che raccolgono una pletora di dati personali (che sono solo apparentemente anonimi); apparentemente questi trattamenti non presentano rischi elevati, in realtà spesso svengono riutilizzati combinandoli con altri dati per affinare le attività di marketing.

Implementazione dei contenuti (testuali e grafici): questa attività potrebbe non coinvolgere dati personali, ma non è raro che i contenuti possanoo includere informazioni sul personale (contatti, immagini, informazioni sul tipo di lavoro) o su altri soggetti (utenti/clienti, albo pretorio o documenti per trasparenza amministrativa).

Sviluppo/integrazione di funzionalità aggiuntive: si intendono tutti qui moduli che raccolgono i dati direttamente dall’utente, oppure le aree riservate accessibili tramite credenziali personali, e che sono conservate dentro il sistema ed eventualmente trasmesse ad altri sistemi/soggetti; possibili altre funzionalità che raccolgono o riutilizzano dati, e per le quali bisogna anche fare attenzione ai dati (ri)utilizzati nei sistemi di sviluppo e test; le integrazioni con altri sistemi, del committente o meno, che determinano trasferimenti e/o elaborazioni di dati.

Vendita diretta (c.d. e-commerce): in questo caso è evidente la raccolta di tutti i dati necessari a permettere la vendita (data anagrafici, dati necessari ai pagamenti ed alla fatturazione, storico acquisti, assistenza post vendita, etc); questo genere di dati è da considerare ad alto rischio e di conseguenza le misure di sicurezza devono essere particolarmente elevate.

Monitoraggio ed assistenza: la necessità di identificare e poi intervenire per investigare e risolvere i problemi richiede quanto meno l’accesso (che può essere incidentale, saltuario, a richiesta, in affiancamento: non importa) ai dati contenuti nella piattaforma; in questo caso è necessario determinare (e documentare) bene le modalità di intervento e soprattutto i limiti di esso.

Come si vede, praticamente tutti questi servizi coinvolgono dati personali anche quando apparentemente può non sembrare così; di conseguenza, l’incarico che il committente (titolare del trattamento) conferisce all’agenzia (responsabile del trattamento) dovrà prevedere o affiancare un accordo (la “nomina”) che descriva piuttosto dettagliatamente i trattamenti coinvolti ed ovviamente le modalità, come previsto dalla normativa.

Particolare attenzione deve essere riservata alla questione della presenza dei cookies o degli altri strumenti di profilazione, poiché molto spesso succede che essi siano presenti inconsapevolmente per gli stessi gestori, per effetto di inclusione di librerie software o plug-in che estendono le funzionalità base della piattaforma, il che però non evita la responsabilità del committente e quindi dell’agenzia stessa. Al riguardo abbiamo già trattato il tema ricordando le linee guida del Garante italiano; sottolineiamo solo che in questo contesto l’agenzia ha il particolare dovere, ma anche l’opportunità, di svolgere opera di consulenza verso il titolare del sito. Sempre il Garante italiano ha ricordato la necessità di valutare attentamente se permettere, ed eventualmente fare il possibile per impedire, che i contenuti dei siti vengano utilizzati per l’addestramento delle intelligenze artificiali generative.

Gestione pagine social

Le piattaforme social costituiscono un contesto particolare dovuto al fatto che si è all’interno di un ambiente gestito con regole proprie, per cui il gestore è in generale titolare del trattamento per i dati di tutti gli utenti ed offre servizi a pagamento ad alcuni di essi, diventando a seconda dei casi contitolare o responsabile. Fintanto che la pagina social aziendale è una vetrina o una via di comunicazione, anche bidirezionale, con gli altri utenti, non si rilevano particolari criticità rispetto alla normativa sui dati personali ed i casi sono piuttosto semplici: un supporto di tipo puramente tecnico (amministrazione della pagina, gestione dei contenuti o della grafica) non coinvolge dati personali e quindi non c’è nemmeno la necessità di accordi come “responsabile del trattamento”; se invece il supporto previsto include la gestione delle interazioni con gli utenti (o i contenuti includono dati personali, analogamente a quanto detto per i siti web), allora i dati personali sono coinvolti e l’accordo è necessario, anche se piuttosto semplice.

Digital marketing

Le attività di marketing in ambiente digitale costituiscono probabilmente il contesto più complesso dal punto di vista della protezione dei dati personali. Infatti, anche se l’identità degli utenti destinatari delle comunicazioni spesso non è nota e nemmeno conoscibile, il solo fatto di usare criteri di selezione (siano essi basati sugli interessi o meno) che restringano la platea determina un trattamento di dati personali, peraltro basato sul consenso preventivo (ciò è affermato dal comitato europeo dei garanti nazionali, o EDPB, nelle linee guida adottate nel 2021). Conseguenza di ciò, è che l’agenzia che effettui servizi di digital marketing deve avere consapevolezza del ruolo e conoscenza approfondita dei limiti con cui può muoversi. L’accordo da responsabile del trattamento, sempre necessario, sarà di conseguenza non banale perché sarà necessario individuare correttamente i dettagli della specifica modalità di svolgimento delle campagne.

Ricordiamo che nel caso dei social media, il consenso alle attività di marketing è reso alla piattaforma stessa, che funge da intermediario tra il soggetto che determina la campagna promozionale e gli utenti (e per questo ruolo è da considerarsi contitolare); mentre negli altri casi, come per esempio le newsletter o altre forme di comunicazione diretta, il consenso va sempre richiesto e registrato correttamente in modo da non correre rischi di illiceità del trattamento.

Attenzione ai contitolari e subresponsabili extraUE

I servizi appena ricordati utilizzano normalmente su un significativo numero di strumenti forniti da aziende più o meno grandi o note, ma che in moltissimi casi sono basate al di fuori dello Spazio Economico Europeo, principalmente negli USA; per cui è necessario per ognuno di essi porsi il problema della loro conformità alla normativa europea. Questo problema non è quasi mai di soluzione immediata: infatti, spesso l’autodichiarata conformità non trova adeguata conferma nei fatti, ossia nella documentazione contrattuale (che magari è disponibile solo in inglese) e nelle funzionalità non sufficienti. Tipicamente, gli elementi che possono mancare sono:

una dichiarazione di agire come “responsabile del trattamento”, o la mancanza di una parte delle clausole/informazioni che devono essere obbligatoriamente presenti secondo l’art. 28 del GDPR;
non fornire all’utilizzatore dei servizio le funzionalità necessarie a permettergli di adempiere agli obblighi in tema di misure di sicurezza, esercizio dei diritti o di indagine per i data breach;
non dare evidenza degli ulteriori utilizzi dei dati raccolti con la fornitura dei servizi, e/o del loro trasferimento ad ulteriori soggetti, o ancora la raccolta di ulteriori dati per scopi propri;
la mancanza o il non rispetto dell’opzione di conservare i dati entro i confini dell’UE (o di altri stati riconosciuti adeguati).

a cui si aggiunge, nel caso specifico delle aziende degli Stati Uniti, il potenziale ma concreto problema del basare il trasferimento sulla decisione di adeguatezza che fa riferimento all’accordo tra Commissione Europea e governo USA (denominato “Data Protection Framework”), su cui pende un ricorso alla Corte di Giustizia Europea che, se accolto (come già successo in entrambi casi precedenti…), potrebbe rendere illecito l’utilizzo dei servizi da un giorno all’altro.

Questi problemi non sono teorici: basta vedere la storia delle sanzioni comminate in questi anni soprattutto ai giganti del settore, le conseguenze dell’avvento dei sistemi di addestramento delle intelligenze artificiali, le forti perplessità di molti esperti sia dell’ambito legale che tecnico.

Conclusioni

Ricapitolando, per una corretta conformità, propria e (per la parte di competenza) dei committenti, alla normativa sui dati personali, una web agency deve: conoscere e applicare le disposizioni riguardanti le attività di marketing; conoscere ed applicare le disposizioni relative ai trattamenti nei siti web, in particolare cookies ed altri strumenti di tracciamento; scegliare consapevolmente, verificandone l’adeguatezza sia in termini di funzionalità che documentale, degli strumenti da utilizzare; concordare, predisporre e (se previsto) monitorare tutte le misure di sicurezza, adeguate al rischio complessivo del trattamento.

Dal punto di vista formale/documentale, deve predisporre e tenere aggiornate:

la documentazione “base” (registro dei trattamenti, nomine interne ed esterne, informative);
il modello di accordo ex art. 28, in quanto responsabile del trattamento, da inglobare nella documentazione contrattuale (da adattare volta per volta in base ai servizi effettivamente concordati);
le procedure interne per la gestione delle richieste di esercizio dei diritti e dei data breach.

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

La gestione privacy delle web agency

Condividilo nel tuo Social

Post correlati

Disciplina del safeguarding, aspetti privacy

Copie dei documenti d’identità: si possono richiedere?

App e siti di interazione con i medici: indicazioni del Garante

Privacy by Design per la videosorveglianza

Sito web e posta elettronica: informazioni obbligatorie