La formazione e l’assistenza a tutela di webmaster, informatici e addetti al marketing riguardo ai titolari dei trattamenti in tema di corretta applicazione del Gdpr
Nell’ultimo webinar organizzato dalla nostra associazione riguardante questo tema si è evidenziato un clima di insicurezza sulle precauzioni da adottare per questa tipologia di rapporto di lavoro. La risposta emersa è stata una, e cioè che la chiarezza nei rapporti fra committente o datore di lavoro e compiti del tecnico o dell’incaricato ai trattamenti, piuttosto che del responsabile interno o esterno che sia, come previsto dal regolamento deve essere normata da appositi contratti chiari ed inequivocabili.
I webmaster molto spesso ci chiedono come si devono comportare nei riguardi dei loro clienti, in quanto nel lavoro di webmaster o comunque di addetto alla creazione, al mantenimento e alla gestione di siti web, molto spesso – se non quasi sempre – si ha a che fare con i dati trattati dai propri clienti attraverso i siti di cui questi ultimi sono titolari.
Si verificano poi situazioni particolari dove il titolare del sito nomina aziende esterne quali responsabili dei trattamenti, ma di solito questo succede in situazioni nelle quali il titolare normalmente è una grande organizzazione con varie diramazioni o rami di azienda, gruppi di aziende, ecc.
Ma torniamo alla questione responsabilità del webmaster nel trattamento dei dati: chi realizza un sito internet e magari poi ne cura anche la manutenzione e l’aggiornamento, come abbiamo visto ha la possibilità – se non la necessità – di entrare nei cms di gestione dei siti (wordpress joomla o altri cms) per operare, venendo così in contatto con i dati degli iscritti se non addirittura, in molti casi, si occupano di alcune fasi di trattamento come backup, download o trasmissione a software crm o software necessari al digital marketing, alla profilazione e a tutte le altre operazioni di lead generation e conseguenti.
A questo punto la domanda nasce spontanea: chi lavora nella filiera di produzione e gestione di siti internet, quali responsabilità ha in tema di trattamento dei dati, trasmissione, divulgazione, diffusione e comunicazione degli stessi?
La risposta che vi diamo è altrettanto spontanea: Dipende!
Dipende dalla forma contrattuale con la quale state eseguendo il lavoro, prestando il servizio o svolgendo l’appalto rispettivamente per il vostro datore di lavoro, o il vostro cliente.
La contrattualistica in questo ambito è determinante per mettere al sicuro la vostra attività e per non assumervi responsabilità oltre al dovuto e soprattutto per essere in grado di mantenere un rapporto conforme al regolamento sulla privacy (gdpr) Regolamento (UE) 2016/679 rispetto al titolare del trattamento per il quale state lavorando e gli interessati di cui vedete o trattate i dati anche se in maniera limitata o occasionale ed in ogni caso quando il tipo di autorizzazione all’accesso al cms è di tipo amministrativo.
Diverso è se invece siete magari degli addetti alla parte blog, in questo caso dovrete avere un accesso limitato solo all’area che vi consente di scrivere e pubblicare senza venire in contatto con i dati.
Le aziende di grandi dimensioni (grandi portali, e-commerce, agenzie di pubblicità o di marketing digitale o convenzionale attraverso gli strumenti online) di solito questo tema lo hanno già affrontato anche con parecchio dispendio di denaro per l’attivazione di specialisti e/o legali che hanno analizzato le varie situazioni ed i vari processi di lavoro producendo disciplinari, guide di lavoro ed ovviamente le informative e la contrattualistica necessaria per informare e dare prova di una corretta applicazione del regolamento U.E. e del dlgs 101 che è intervenuto per armonizzare il dlgs 196/2003 con il GDPR.
In generale le azione di software hanno messo in sicurezza le loro procedure sotto il profilo del carico di responsabilità derivante dalla conoscenza e dall’obbligo del rispetto del regolamento europeo e della privacy in generale.
Sono moltissimi i casi nei quali da parte dei committenti non c’è presa di coscienza sul fatto che anche i siti internet sono strumenti di raccolta e trattamento di dati personali a partire dagli indirizzi IP fino alla raccolta di iscrizioni per le varie finalità. Sono moltissimi quindi i casi di una gestione approssimativa, se non addirittura del tutto trascurata, di questa fonte di raccolta e trattamento dati personali con conseguente rischio di esporsi a rilievi, provvedimenti e multe da parte degli organi di controllo ad esempio il Garante per la privacy.
In mezzo a tutto ciò di solito il webmaster, il web designer, il social media manager (quando gestisce programmi di lead generation) o più semplicemente l’informatico di turno, si trova spesso da una parte ad essere costretto ad assecondare il committente poco ligio al dovere perché non sensibile a curare l’aspetto di cui stiamo parlando, cioè l’aspetto della conformità al regolamento europeo in tema di trattamento, conservazione e protezione dei dati personali e degli interessati cui i dati si riferiscono, e dall’altra la necessità dell’operatore che deve sì lavorare, ma lo deve fare in sicurezza sotto il profilo formale e delle responsabilità.
Stiamo assistendo al verificarsi dei primi casi nei quali il titolare che non ha curato molti aspetti della catena dei trattamenti, fra i quali quello di cui stiamo parlando che rientra nel novero delle formalità da espletare per essere “compliance” al GDPR, nei riguardi dei collaboratori, fornitori di servizi web e ovviamente nei riguardi degli interessati, stiamo assistendo appunto alle prime situazioni dove il titolare del trattamento che è chiamato a rispondere sotto il profilo civilistico ha diritto – o anche nei casi in cui non lo ha -, tenta di rivalersi sull’operatore il quale in molti caso è quasi stato “costretto” per guadagnarsi la pagnotta a lavorare in condizioni di poca chiarezza ed in mancanza di un contratto che regoli il compito da lui svolto sotto l’aspetto della privacy e del trattamento dei dati.
Per evitare il verificarsi di situazioni incresciose, come ad esempio quella cui abbiamo accennato sopra, la soluzione è solo una: l’operatore deve essere informato e deve informare i titolari sensibilizzandoli preventivamente sul tema e dare prova di aver informato.
Quindi tutti i rapporti di lavoro, di prestazione di servizi o in regime di appalto che vanno ad interessare il trattamento dei dati personali di qualsiasi tipo e con qualsiasi modalità raccolti e trattati o conservati, devono essere regolati da un contratto che precisi quali sono le aree di intervento e quali sono le reciproche responsabilità.
Il titolare del trattamento è il primo nella catena delle responsabilità e delle garanzie da fornire agli interessati in tema di trattamento dati personali, ma anche chi in questa catena è coinvolto ha delle responsabilità delle quali deve essere cosciente e deve poterle accettare in sicurezza, nel senso che devono essere chiare e regolate a priori, in forma scritta in modo da evitare malintesi o di essere vittime, come spesso accade, di titolari dei trattamenti un po’ distratti che poi puntualmente al verificarsi di incidenti dovuti alla poca organizzazione e chiarezza dei ruoli tentato di scaricare colpe sugli altri o di recuperare eventuali spese per pagamento di penali da chi è coinvolto a qualsiasi titolo nella catena dei trattamenti o nella gestione delle piattaforme informatiche.
La nostra associazione su questo tema ha approntato un programma di assistenza , formazione operativa ed individuale, pertanto i tesserati che svolgono queste attività (web master, informatici, addetti al digital marketing, ecc…) hanno a disposizione un esperto e dei legali convenzionati che sono in grado di fornire delle risposte chiare, assisterli nella contrattualistica e nell’impostazione professionale ed aziendale sotto questo profilo, oltre a fornire modulistica di base e di riferimento per la stesura di contratti da redigere ad hoc, caso per caso.
Partecipare a questo programma non è costoso basta essere tesserati dell’Associazione Modus e muniti della tessera di tipo “A1” o “A2”; è previsto un piccolo contributo per il mantenimento del programma stesso.
Per ulteriori informazioni contattate l’Associazione Modus o andate all’approfondimento>>>
Articolo di Emanuele Conte www.emanueleconte.it