Secondo il GDPR, la scelta del responsabile esterno deve essere consapevole, anche per quanto riguarda il marketing. Il titolare del trattamento non può non sapere quali sono gli strumenti social e gli strumenti marketing utilizzati per promuovere la sua organizzazione.
In parallelo, insieme al team marketing dell’azienda noi, come consulenti, dobbiamo avere un’idea chiara degli strumenti: quali sono quelli più usati, quali sono quelli più sicuri e quelli che pare siano meno attendibili. Il titolare invece è tenuto, ai sensi dell’articolo 28, a verificare le garanzie del responsabile esterno e poi eventualmente è tenuto a dimostrare di aver verificato tali garanzie.
Però molto spesso il titolare (l’imprenditore) non sa che è nelle condizioni di poter svolgere degli audit. Siamo noi consulenti e DPO scelti e nominati dal titolare – per affiancarlo e consigliarlo affinché sia conforme al Regolamento – che, prima di andare a stipulare un contratto, per prassi, dovremmo fornire al nostro responsabile esterno una checklist che ci consenta di verificare se è conforme al GDPR.
Questo è il quadro. Ma cosa succede nella pratica?
Scelta dei responsabili esterni marketing e social: cosa succede nella pratica? I due limiti nell’applicazione del GDPR
Il titolare è colui che
deve dimostrare di aver fatto tutto il possibile per ridurre il rischio ed evitarlo, ai sensi del GDPR. Quindi, nella
scelta degli strumenti, deve:
- saper selezionare i prodotti social (Google Analytics, Pixel di Facebook, Mailup, Mailchimp, Channel Manager, per esempio);
- confrontarsi con il DPO;
- revisionare e controllare: chiedere informazioni periodicamente o secondo la policy definita dall’azienda e svolgere audit nei confronti dei responsabili esterni.
Però, nella pratica, le cose si complicano, perché l’applicazione del Regolamento si scontra con due limiti:
1 – Fare audit ha un costo per il titolare e quindi molto spesso non si fanno perché fare audit seri – non solo mandare una checklist – può significare sostenere dei costi alti.
2 – Il titolare, molto spesso, soprattutto nelle realtà un po’ più piccole, è amico del responsabile esterno e quindi anche questa circostanza gli impedisce di andare a fare ispezioni, di andare a fare le pulci, a un soggetto che è commercialmente suo amico.
Ma cosa dire dei responsabili esterni più grandi: i Big che offrono servizi di marketing, social e newsletter?
Con PrivacyLab abbiamo verificato una serie di responsabili esterni e fra questi anche alcuni Big. Abbiamo analizzato anche società come Google, Facebook, società che offrono servizi di maling, come Mailup e MailChimp, per vedere fino a che punto fossero compliant al GDPR, ma soprattutto se avessero pubblicato degli accordi di protezione dati ai sensi dell’art. 28 e che contenessero i principi dell’art. 28.
Quello che abbiamo scoperto è che non sempre i servizi più usati dagli utenti sono quelli più trasparenti e conformi. Ma andiamo per gradi e cerchiamo di capire quali documenti cercare e dove trovarli quando il nostro cliente vuole avvalersi di servizi offerti dai Big del web.
Cosa fare quando il responsabile esterno è una grande società con sede fuori dall’UE (magari negli USA)
Ora, poniamoci come consulenti o DPO: il cliente chiede un parere, una consulenza su un determinato fornitore, che è lontanissimo geograficamente e molto grande e noi non abbiamo contatti al suo interno. Ci chiede se secondo noi è conforme al GDPR, perché devono sottoscrivere una nomina a responsabile esterno.
Cosa fare?
1° – Dobbiamo capire dove si trova il Data Processing Agreement
Ricordiamoci sempre questo: nell’ottica delle grandi realtà americane e anglosassoni difficilmente troveremo un Data Processing Agreement separato da un contratto.
Nella maggior parte dei casi lo troviamo infatti nei termini e nelle condizioni di servizio o nel contratto. Ma allo stesso tempo, ci sono altre realtà che lo pongono come Addendum e quindi possiamo trovarlo nell’accordo di protezione dati e nel Data Processing Agreement.
Nel momento in cui analizziamo questi provider dal punto di vista privacy, ricordiamoci che, se non troviamo l’Addendum e il Data Processing Agreement, molto probabilmente le informazioni saranno nel contratto. Questo è il primo aspetto a livello a pratico.
2° – Dobbiamo considerare che, può capitare che alcune informazioni sullo stato della privacy del provider o del fornitore siano all’interno delle privacy policy, quindi nell’informativa privacy.
Per cui, andare ad analizzare se un fornitore è compliant al GDPR significa andare a verificare 3 documenti:
1) il contratto;
2) il Data Processing Agreement;
Consiglio: fatta l’analisi documentale è importante che tutti i nostri pareri come consulenti siano verbalizzati per iscritto, perché può succedere che un fornitore non sia conforme al GDPR e che però il titolare faccia di testa sua e firmi il contratto. È vero che è importante che il titolare si avvalga di fornitori 100% conformi al GDPR, ma se sceglie diversamente è responsabilità sua, perché la responsabilità ricade comunque su di lui.
Noi DPO non possiamo andare a scegliere il fornitore per conto del nostro titolare.
Una volta nominato il responsabile esterno, cosa succede?
Poniamo che individui un responsabile esterno. Fai tutte le verifiche obbligatorie e poi lo nomini. È finita qui? No. Il controllo del responsabile esterno non si limita all’ingaggio.
Il responsabile esterno va verificato periodicamente nel tempo, per vedere se è ancora adeguato oppure no.
Quindi, ogni quanto va controllato?
Ce le diamo noi le regole perché, quando abbiamo fatto un buon impianto del GDPR, possiamo iniziare a stabilirle. Quindi, come noi DPO ogni tanto facciamo degli audit al cliente, possiamo stabilire col cliente che ogni tanto è il caso di fare un audit al fornitore.
Una policy che si può introdurre è questa: nel momento in cui c’è da gestire un data breach, possiamo decidere di inviare una PEC e procedere con l’auditing all’interno del nostro fornitore.
Perché, appunto, il controllo non è solo a monte, ma anche ex-post:
- ex-ante verifichiamo sulla carta
- ed ex-post possiamo chiedere maggiori informazioni ed entrare in casa del nostro responsabile esterno.
La compliance al GDPR di alcuni Big: spesso quelli più usati dagli utenti sono i meno conformi e i meno trasparenti
Come già detto, però, alcuni fornitori di servizi che tutti gli utenti utilizzano, lato privacy, hanno ancora molto lavoro da fare. Quelli che piacciono molto al marketing, spesso, dal punto di vista della privacy non sono conformi o se sono conformi, non sono trasparenti, perché le informazioni ci sono, ma è davvero molto complicato trovarle e metterle insieme.
Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l’Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
Articolo pubblicato per gentile concessione del blog di PrivacyLab