GDPR for agencies - Documenti obbligatori agenzia - azienda

GDPR – I documenti obbligatori per la tua agenzia

In questo corso gratuito parliamo di GDPR. In particolare dal punto di vista delle Web Agency e dei Freelance. L’autore dei video è Fabio Carucci, amministratore del sito DATI360 Privacy Suite.

In questo quarto video rispondiamo alla domanda “quali sono i documenti obbligatori GDPR per la tua agenzia?”

Guarda il video o leggi la trascrizione qui sotto!

Se vuoi vedere i video precedenti prima, li trovi qui:

Quali sono i documenti obbligatori che devi avere nella tua agenzia?

Spesso alcuni credono che Privacy e Cookie Policy siano i documenti più importanti per il GDPR. Questo non è vero, perché ci sono tanti altri aspetti da tenere in considerazione.

Uno di questi, ad esempio, è il manuale GDPR.

Il manuale GDPR è costituito da un documento di circa 100 pagine con all’interno tanti documenti: registro trattamenti, nomine responsabili, informative, la gestione dell’audit, quindi ci sono tanti documenti che sono necessari a dimostrare che stai trattando in maniera responsabile i dati personali. Quindi non pensiamo al GDPR solo come la parte online, la parte digital, ma c’è un discorso importante che poi rappresenta il 95% della documentazione che è tutto il manuale GDPR.

Quindi se come agenzia credevi che mettendo Privacy e Cookie Policy all’interno del sito magari per te o per un tuo cliente a cui hai fatto l’ecommerce, hai fatto tutto per il GDPR, chiaramente questo non è vero perché per dimostrare che sei conforme devi realizzare questo manuale. Il manuale può essere chiaramente sia in formato digitale che cartaceo.

Nel nostro caso noi diamo al cliente, ad esempio, un box che è molto pratico per raccogliere tutta la documentazione, ma all’interno appunto troverai il registro dei trattamenti che è uno dei principali documenti da esibire.

Cosa c’è all’interno del registro trattamenti? C’è un organigramma, c’è tutta una serie di elenchi dove si capisce bene quali sono i dati che vai a trattare e come li tratti chi li tratta. Banalmente se all’interno dell’azienda, della tua web agency, gestisci curriculum, questo è un trattamento; se ci sono videocamere di sorveglianza è un trattamento, se hai dipendenti anche questo è un trattamento.

Quindi tutti questi aspetti vanno presi in considerazione all’interno del manuale.

Per realizzare il manuale in realtà, prima di tutto dobbiamo fare una gap analysis, quindi un’analisi iniziale di quali sono i dati che trattiamo, come li trattiamo. È importante anche la numerosità, che significa che se sono una piccola agenzia o una piccola azienda, perché ricordiamoci, il manuale deve averlo sia l’Agenzia ma anche l’azienda chiaramente l’analisi dei rischi le misure di sicurezza che dovrò adottare sono diverse rispetto ad aziende molto più strutturate.

Quindi all’interno dell’organigramma dovrò appunto vedere chi tratta i dati, quali trattamenti sono associati a chi li tratta e quindi gli autorizzati, ossia chi tratta i dati, dovranno poi essere nominati formalmente e appunto farli fare una formazione specifica. Vediamo ora una carrellata molto veloce di questi documenti.

Conosciamo tutti benissimo come web agency cosa sono le Privacy e Cookie Policy, ma in realtà esiste anche l’informativa privacy per i clienti. Banalmente se io sono all’interno di uno studio dentistico, lo studio è obbligato a tenere e ad avere la privacy, ossia come tratti i dati GDPR esposta al pubblico.

Stessa cosa per quanto riguarda il consenso: su internet siamo abituati a raccogliere consenso tramite form e la classica flag da spuntare, mentre se ad esempio sono a uno shot fotografico, il consenso potrei farmelo benissimo dare facendomi firmare un apposito modulo cartaceo.

Come dicevamo prima, chi tratta i dati deve essere nominato formalmente, e questo da una parte è un adempimento che richiede il GDPR, ma è anche qualcosa che ci aiuta, nel senso che se io ho un ragioniere o un impiegato che sta davanti al pc e lo nomino formalmente dicendogli che deve rispettare il GDPR, questo qui mi aiuta anche a proteggere la mia azienda da aspetti della sicurezza.

Che significa? Che sa che deve stare più attento e magari quando gli arriverà la prossima e-mail con il phishing che dice “clicca qui che hai vinto 1.000.000.” a quel punto magari gli si accende la lampadina e ci sta più attento e in questa maniera protegge tutto il sistema aziendale.

Altri documenti che sono necessari: la formazione obbligatoria bisogna dimostrarla con un attestato: tipicamente si fa un corso, online o offline, al termine del quale si deve rispondere a un semplice questionario. Tale questionario poi, se si risponde bene ti rilascia un certificato tipo questo. In questa maniera io posso dimostrare, in caso di controlli, che chi tratta i dati è stato nominato formalmente ed è stato appunto formato.

Dei trattamenti ne abbiamo parlato qui li vediamo un po’ più in dettaglio come li genera il nostro programma ad esempio dati360 quindi c’è il trattamento cliente, il fornitore, il dipendente, il trattamento web quindi il sito internet è uno dei 10/15 trattamenti che esiste all’interno del manuale GDPR, sistemi di videosorveglianza, newsletter e ce ne sono appunto altri.

L’aspetto fondamentale GDPR è analizzare i rischi e adottare le opportune misure di sicurezza. I rischi sono quelli che conosciamo tutti che banalmente il comportamento dell’operatore, come dicevamo prima, è un rischio.

Per mitigare questo rischio come devo fare? Devo banalmente formarlo e in questa maniera riduco drasticamente il rischio che l’operatore con il suo comportamento crei dei problemi all’interno dell’organizzazione.

Quindi abbiamo parlato di misure di sicurezza che vanno adottate all’interno di ogni organizzazione.

Sul sito internet quali sono le misure di sicurezza? Sono il backup,  l’aggiornamento dei plugin di WordPress, le password sicure. Quindi sono tutti piccoli aspetti che poi sono quelli che realmente va a sanzionare il garante perché ad esempio recentemente su un sito internet dove non c’era un certificato https, quindi di protezione, è stata un’azienda sanzionata per 15.000€, quindi non pensiamo che ci sia solo o sia solo un aspetto cartaceo o formale, in realtà è un aspetto molto pratico perché è molto più semplice tenere aggiornati i plugin, installare solo quelli strettamente necessari ed essere tranquilli sia noi che il nostro cliente, piuttosto che poi andare a togliere i virus all’interno del sito che diventa sicuramente complicato e anche agli occhi del cliente non facciamo una bella figura.

Un modo per essere certi che tutto funziona correttamente sono gli audit: sono delle verifiche che vengono fatte al sistema aziendale. In questo caso spesso è necessario l’apporto di una terza parte, quindi o uno specialista informatico per la Cyber Security su aziende più strutturate o sicuramente un legale che vede quello che ho fatto e mi dà delle segnalazioni su cosa posso andare a migliorare.

In questa maniera ho creato tutto l’apparato documentale e tramite gli audit vado a sistemare i singoli punti. Non servono giornate, servono gli strumenti giusti che ci semplificano la vita.

Ad esempio con dati360, nella modalità Wizard che è quella utilizzata da chi non conosce il GDPR, in soli 60 minuti facendo tutte le schermate passo passo, quindi facendo la gap analisi iniziale come abbiamo visto, quindi rispondi alle domande “quali dati tratto? Ho la newsletter?” e quant’altro, indicando quali sono i responsabili che trattano i dati personali, quindi la società di hosting piuttosto che altri servizi che utilizzo, rispondendo a queste semplici domande, in meno di 60 minuti, il sistema mi darà appunto il manuale di 100 pagine con tutte le informazioni necessarie.

Quindi non crediamo che sia così complicato. Sicuramente se lo vado a fare senza gli strumenti giusti è difficile, ma fatto utilizzando gli strumenti opportuni è molto molto più semplice. Chiaramente come dicevamo c’è la rappresentazione in forma cartacea del box del manuale ma banalmente vanno benissimo anche nella forma digitale. Addirittura con dati360, una volta che io ho inserito tutte le informazioni, con un semplice click aspetto 60 secondi e mi da uno zip con tutti i documenti GDPR, quindi non crediamo che sia così complicato.

La verità è che sia la tua agenzia sia i tuoi clienti devono sicuramente fare il loro manuale. Ci sono dei generatori di manuali come ci sono dei generatori di Privacy e Cookie Policy che rendono tutto questo molto, molto semplice.

In meno di 60 minuti si riesce a fare il documento principale e poi nel tempo si andrà a ottimizzare. Ricordiamo che in caso di controlli da parte del Nucleo speciale della Guardia di Finanza non chiedono la Privacy Policy o la Cookie Policy, chiedono il manuale, l’organigramma, il registro trattamenti se sono state fatte le formazioni. Questi sono gli aspetti importanti che devi tenere in considerazione per la tua agenzia e per i tuoi clienti.

Per questo video è tutto, puoi vedere il prossimo video qui:

GDPR for agencies – calcola il Legal Score della tua agenzia


Se ti interessano questi argomenti e, in particolare, i Tool e le Strategie di Digital Marketing puoi:
🔸 iscriverti al canale YouTube: https://go.lifetimedeals.it/youtubechannel
🔸 entrare nel Gruppo Facebook: https://go.lifetimedeals.it/fbgroup​
🔸 entrare nel Gruppo LinkedIn: https://go.lifetimedeals.it/linkedin
🔸 iscriverti al canale Telegram: https://go.lifetimedeals.it/telegram
🔸 seguirci su Instagram: https://go.lifetimedeals.it/instagramprofile
🔸 seguimi su Twitter: https://go.lifetimedeals.it/twitterprofile

Condividi il Post

Ricevi le migliori offerte Lifetime via Email

Compila il modulo per non perdere le migliori occasioni!

Non perderti nessuna offerta... Parliamone!

small_c_popup.png

Non perdere le migliori occasioni...

Scopri le offerte Lifetime di Tool di Digital Marketing!