In questo corso gratuito parliamo di GDPR. In particolare dal punto di vista delle Web Agency e dei Freelance. L’autore dei video è Fabio Carucci, amministratore del sito DATI360 Privacy Suite.
In questo secondo video rispondiamo alla domanda “quali sono le figure di riferimento nel GDPR?”
Guarda il video o leggi la trascrizione qui sotto!
Se vuoi vedere il video precedente prima, lo trovi qui:
Quali sono le figure del GDPR?
Titolari, responsabili, interessati. Ma quali sono le figure del GDPR che ogni web agency deve conoscere? Ciao, sono Fabio Carucci, amministratore del sito DATI360, abbiamo sviluppato delle soluzioni che rendono semplice l’applicazione del GDPR.
Spesso le web agency credono che Privacy e Cookie Policy rappresentino il GDPR, quantomeno per la parte online. Questa cosa non è vera, come vedremo, perché in realtà ci sono tante figure e tanti soggetti sul GDPR che entrano a far parte dell’ecosistema della privacy.
Conoscere questi soggetti ci aiuta ad applicare meglio la privacy.
Il primo punto da precisare è che ci sono dati e dati.
Che significa? Quelli che sappiamo utilizzare più spesso sono i dati comuni, ossia mail, indirizzo IP, numero di telefono. Questi sono dati comuni che spesso sono presenti sugli e-commerce.
Quelli che sono invece i dati particolari sono quelli che rappresentano l’origine razziale, le opinioni politiche e l’appartenenza sindacale e altri. Questi dati particolari nel regolamento privacy precedente si chiamavano i dati sensibili, vanno trattati con degli accorgimenti decisamente maggiori. Nel nostro caso, nel 99% dei casi sull’e commerce, una web agency o con i suoi clienti dovrà trattare dati comuni.
Cosa significa trattare i dati?
Parliamo spesso di trattamento dei dati. Ma cosa significa trattare i dati? Trattare i dati in realtà significa qualsiasi cosa, nel senso che la semplice consultazione di un dato è un trattamento. Quindi di fatto, ad esempio un e-commerce, in un form di contatti che raccolgo i dati, li registro, li archivio, li vado a strutturare con altri dati, magari per fare una segmentazione o ancora di più una profilazione, il fatto che li vada a salvare su un foglio di Google Sheet piuttosto che Excel e quindi li vada a conservare, sono tutti trattamenti dei dati.
Quindi, quando parliamo di trattamento dei dati, significa che praticamente ogni volta che ho a che fare con un dato, sostanzialmente anche se semplicemente lo visualizzo, è un trattamento.
E dal momento che effettuo un trattamento devo applicare il GDPR.
Interessato, titolare, responsabile, persone autorizzate, DPO
Parlando delle figure coinvolte sul GDPR quali sono?
Quello che chiamiamo visitatore o utente del sito internet nel regolamento GDPR viene chiamato “interessato”.
Il titolare del trattamento, data controller, è l’azienda che gestisce i dati, quindi nel caso di un e-commerce, il titolare del trattamento è l’azienda che gestisce l’ecommerce.
Il responsabile del trattamento, i responsabili, perché in realtà solitamente ce ne sono diversi, sono quelli che trattano i dati per conto del titolare.
Ad esempio, se il mio sito è hostato su un un provider, su un hosting, la società di hosting tratterà comunque i dati e sarà un responsabile.
Chi mi gestisce il sito, direttamente o indirettamente, andrà a trattare i dati, anch’esso sarà un responsabile del trattamento.
Le persone autorizzate facendo invece sempre l’esempio dell’ecommerce, sono banalmente o il titolare stesso o i dipendenti dell’azienda che ad esempio vedono le mail, registrano l’ordine e processano l’ordine.
Queste persone autorizzate si chiamano così perché appunto il titolare deve autorizzarle a trattare i dati. Deve esserci una nomina formale. Deve esserci una formazione specifica per tutte le persone autorizzate al trattamento.
Infine c’è la figura del DPO, che è una figura un po’ nuova sulla privacy e questo va nominato in realtà in pochi casi, quindi nel 95% dei casi se vogliamo non sarà applicabile, perché lo devo nominare quando ho a che fare con enti pubblici, quando lavoro con aziende molto grandi con più di 250 dipendenti oppure quando vado a trattare i dati sensibili o particolari, come dicevamo prima. Quindi generalmente il DPO soprattutto su piccoli e-commerce o piccole organizzazioni non è presente.
L’organigramma di un’azienda che tratta il GDPR
Qual è l’organigramma di un’azienda che tratta il GDPR?
Una precisazione è questa: che spesso si parla di privacy e cookie policy e sito web, ma la realtà è che, nel caso di controlli da parte del Nucleo Speciale della Guardia di Finanza, la prima cosa che viene chiesta è “chi fa cosa?”
E quindi chi va a vedere e controllare se i dati sono trattati in maniera responsabile vuole capire chi sono le persone che trattano i dati.
Per indicare quali sono le persone che trattano i dati bisogna avere un organigramma.
All’interno dell’organigramma dovrà essere indicato il titolare del trattamento, che poi è quello che viene sempre indicato anche sull’informativa, sulla privacy Policy del sito internet, l’eventuale cotitolare del trattamento, il responsabile della protezione dei dati (DPO) che generalmente come abbiamo visto non è presente, i responsabili esterni, quindi chi gestisce il sito web, videosorveglianza, eventuale sicurezza sul lavoro, chi ci fa magari assistenza informatica, chi effettua la formazione per la privacy e poi tutti quelli che sono gli autorizzati quindi gli impiegati, i ragionieri, gli amministrativi, i commerciali che trattano i dati dell’azienda.
Queste sono le figure che vanno prese in considerazione per il GDPR.
Che succede? Che all’interno del manuale dovrò appunto fare una sorta di organigramma dove l’azienda dice se ha nominato o meno il DPO e se non lo ha nominato bisogna indicare per quale motivo, se ci sono contitolari, quali sono i responsabili del trattamento e i soggetti autorizzati. Questo è l’esempio di un organigramma e le figure tipicamente coinvolte all’interno di un sistema di protezione dei dati personali.
Adempimenti necessari
Gli adempimenti dell’agenzia e dei freelancer, quindi sono:
avere un registro da titolare dove all’interno avrò l’organigramma quindi ci sarà il nome dell’azienda, l’elenco degli eventuali dipendenti che collaborano con l’azienda e l’elenco delle aziende che trattano i dati per conto del titolare.
Dal momento che sono web agency molto probabilmente sarò anche responsabile dei dati dei miei clienti, quindi se andrò a gestire ad esempio il sito e-commerce o l’hosting per conto di un mio cliente, ci sarà un atto di nomina come responsabile.
In questi casi è importante definire bene quali sono i limiti di applicazione dei dati che vado a trattare, ma soprattutto, come vedremo nei prossimi video, le agenzie devono mettersi nelle condizioni di potersi tutelare, nel senso che, se all’azienda a cui vado a fare l’ecommerce per qualsiasi motivo ha delle dei problemi con la privacy, io devo mettermi nelle condizioni di avere informato il cliente e avere una sorta di lettera di manleva, di liberatoria dove io chiaramente non vengo coinvolto su problemi che di fatto non possono essere fatti ricadere sull’agenzia.
Per questo video è tutto, puoi vedere il prossimo video qui:
GDPR for agencies – I documenti obbligatori per il tuo sito web
Se ti interessano questi argomenti e, in particolare, i Tool e le Strategie di Digital Marketing puoi:
🔸 iscriverti al canale YouTube: https://go.lifetimedeals.it/youtubechannel
🔸 entrare nel Gruppo Facebook: https://go.lifetimedeals.it/fbgroup
🔸 entrare nel Gruppo LinkedIn: https://go.lifetimedeals.it/linkedin
🔸 iscriverti al canale Telegram: https://go.lifetimedeals.it/telegram
🔸 seguirci su Instagram: https://go.lifetimedeals.it/instagramprofile
🔸 seguimi su Twitter: https://go.lifetimedeals.it/twitterprofile
