GDPR freelance: sei un libero professionista che lavora nel web marketing?
Allora il GDPR riguarda anche te. Il regolamento europeo sulla privacy si applica a tutte le imprese che raccolgono dati di persone fisiche, a prescindere dalle loro dimensioni.
Un freelance che si occupa di marketing, come ormai ce ne sono molti, tratta non solo i dati del committente ma anche quelli dei prospect, dei lead e dei clienti del committente stesso.
Ill GDPR non ha un grande impatto su un freelance che tratta solo l’indirizzo e la P. IVA dei clienti nel limite necessario per la collaborazione, e non svolge alcuna attività di autopromozione.
Sicuramente il libero professionista che raccoglie dati per sé stesso e per i suoi clienti, avrà adempimenti diversi e meno gravosi di una multinazionale. Ma anche dovrà comunque essere GDPR compliant. Non solo come titolare del trattamento dati, ma anche in qualità di responsabile del trattamento.
Vediamo quali sono i requisiti per rendere GDPR compliant l’azienda del piccolo imprenditore.
CONTENUTO DELL'ARTICOLO
GDPR freelance: cosa vuol dire
Guarda il video
Il GDPR ha rivoluzionato il mondo del trattamento dei dati personali, mettendo al centro della tutela il soggetto interessato al trattamento. Il Regolamento europeo stabilisce che l’interessato deve dare un consenso qualificato affinché i suoi dati possano essere trattati. E deve anche poter sempre gestire i dati chiedendone cancellazione e modifica, ed esercitando il diritto alla portabilità.
Ma non solo: il Regolamento disciplina anche le modalità con cui il titolare del trattamento può trattare i dati, lo responsabilizza, e attribuisce un ruolo attivo anche al responsabile del trattamento (data processor).
Il nostro focus è sul freelance che si occupa di web marketing perché tratta un numero elevato di dati e con ruoli differenti:
- è titolare del trattamento dati come chiunque abbia a che fare con clienti, fornitori, collaboratori;
- è responsabile del trattamento;
- tratta dati per finalità di marketing, sia per conto dei suoi clienti ma, spesso, anche per promuovere se stesso.
Sappiamo che il GDPR ha rivoluzionato il modo di organizzare l’impresa, che deve essere incentrata sulla privacy by design e la privacy by default: l’attività online deve essere progettata partendo dalla protezione dei dati personali. Il Regolamento Europeo ha introdotto nuove figure come il DPO; nuovi strumenti, come il registro dei trattamenti; e nuove procedure, come la valutazione del rischio.
La domanda è tutte queste novità sono applicabili tanto ad una grande impresa con 200 dipendenti, quanto ad un freelance?
La differenza la fa la quantità di dati che si trattano, e la loro tipologia, oppure la complessità della struttura aziendale?
Quando il GDPR ancora non era entrato in vigore ci si chiedeva come le imprese medio piccole avrebbero potuto metterlo in pratica, vista la sua portata rivoluzionaria sull’intera struttura aziendale.
Vediamo quali sono le direttive del GDPR a cui deve uniformarsi il professionista del web.
Ascolta il podcast
GDPR per freelance titolare del trattamento
Il freelance. come ogni impresa, è titolare del trattamento dati rispetto ai propri clienti/committenti.
E, come titolare d’impresa, se fa attività di marketing per promuovere la propria attività, è titolare del trattamento rispetto ai prospect ed ai lead che genera.
Se ha un sito web, il sito deve essere conforme al GDPR. Ne parliamo in maniera dettagliata nell’articolo dedicato al GDPR per siti web.
Riassumendo:
- obbligo di privacy policy, volta ad informare l’utente sull’uso dei dati;
- all’informativa si collega l’obbligo di avere la cookie policy attraverso cui si possono selezionare i cookie da attivare e quelli da disattivare;
- banner dei cookie con specifiche caratteristiche per richiedere il consenso libero ed esplicito ai cookie profilanti, ai cookie di marketing e a quelli di terze parti;
- eventuale form contatti in cui si esplicitano le finalità del trattamento;
- plugin del sito web a norma di GDPR, in particolare il CRM dove vengono conservati i dati e il software per la conservazione del consenso.
Se si utilizza la strategia di marketing che prevede la lead generation, nel form contatti vanno chiesti solo i dati necessari per la finalità specifica, e devono essere esplicitate le modalità di trattamento e le finalità. Bisogna poi dare la possibilità all’utente di poter sempre cancellare i dati, modificarli e disiscriversi dalle liste.
Per quanto riguarda i clienti a cui non si è richiesto un consenso per finalità di marketing ricordiamo che i dati, come la mail, possono essere utilizzati solo per comunicazioni informative o, al limite, per il c.d. soft spam: e-mail commerciali con cui si promuovono servizi collegati a quello già acquistato.
Non dimentichiamo poi che come per ogni titolare del trattamento, vige il principio di accountability, quindi il freelance deve essere in grado di dimostrare di essere GDPR compliant.
Corso sulla Privacy e Gdpr
24 lezioni teoriche e pratiche sul Gdpr
Con questo corso potrai imparare, tra l’altro:
- Tutti gli aspetti fondamentali del R.U. 679/2016
- Quali sono i dati personali e quali non rientrano nel GDPR
- Tipologie di dati personali e relative tutele
- I soggetti del GDPR e relative responsabilità
- Corretta gestione dei dati personali online e offline
Il nostro corso esclusivo su tutto quello che ti serve sapere gestire la privacy sui tuoi asset digitali in modo legale ma anche performante al fine di evitare multe salate e problemi con gli utenti e clienti.
GDPR freelance titolare del trattamento: cosa non è tenuto a fare
Quali sono gli obblighi che il GDPR prevede solo per aziende strutturate e che trattano dati particolari?
#1. Nomina del DPO:
uno specialista esterno che supporta le imprese che trattano dati su larga scala o che trattano dati sensibili, ad organizzare l’azienda in modo che sia GDPR compliant. Quindi il suo intervento parte dalla scelta degli strumenti per raccogliere e conservare i dati, fino alla formazione di tutti coloro che tratteranno i dati. La nomina di questa figura è obbligatoria solo per aziende di grandi dimensioni e Pubbliche Amministrazioni. In base alle indicazioni del Garante non si è tenuti alla nomina del DPO nei casi di:
trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti
#2. Tenuta del registro dei trattamenti
È sempre consigliato avere un registro dei trattamenti aggiornato. Ma è obbligatorio solo per le aziende con più di 250 dipendenti. Noi, come studio legale specializzato in GDPR, consigliamo di tenere il registro ogni qualvolta l’impresa tratta i dati in maniera non occasionale. Insomma, è un adempimento non obbligatorio ma caldamente raccomandato.
#3. Valutazione del rischio
Questo documento è obbligatorio per le imprese che abbiano almeno un dipendente. Quindi solo chi gestisce la propria attività in autonomia è esonerato: liberi professionisti, ditte individuali, imprese familiari senza collaboratori.
La valutazione del rischio o d’impatto viene fatta prima di decidere quali dati trattare, se è necessario trattarli, e come trattarli e conservarli. Il GDPR parte dal presupposto che il trattamento dei dati ha comunque insito il rischio di violazione. Con la valutazione d’impatto si va ad analizzare il rapporto rischio- finalità del trattamento. È quel processo che serve a capire se il titolare del trattamento ha fatto di tutto per agire in conformità del regolamento europeo e ha agito nel rispetto del principio della minimizzazione dei dati.
“In che modo recensire uno Studio Legale che non parla in legalese, che anticipa ogni tuo dubbio e che ha al suo interno degli Avvocati strepitosi in termini di competenza, gentilezza e professionalità?Non saprei, 5 stelle a me sembrano poche.”
Roberta Nubile
Social media specialist freelance
GDPR freelance responsabile del trattamento
Abbiamo detto più volte, soprattutto quando ci occupiamo della redazione dei contratti per freelance, che il freelance che si occupa di marketing digitale è responsabile del trattamento dati per conto del committente.
Il GDPR stabilisce che il titolare del trattamento/committente è tenuto a verificare che il responsabile del trattamento/marketer sia GDPR compliant.
Spesso questo ruolo viene sottovalutato dal libero professionista, tant’è che non di rado nei contratti di collaborazione manca la nomina a responsabile del trattamento. Tuttavia senza nomina scritta è a rischio di sanzione tanto quanto il titolare del trattamento.
Il responsabile del trattamento ha un ruolo attivo ed ha questi obblighi:
- utilizzare strumenti che siano a norma di GDPR
- allertare il titolare del trattamento per eventuali data breach
- trattare i dati degli interessati con le stesse modalità con cui è tenuto a trattarli il titolare del trattamento
Il freelance che si occupa del remarketing è tenuto a sapere se i dati presenti nella lista e-mail che gli ha passato il committente sono stati raccolti in conformità alla normativa della privacy.
Guida gratuita GDPR
39 pagine formative gratuite sul GDPR
SFOGLIA L’ANTEPRIMA
Una Guida esclusiva di 39 pagine per adeguarti al GDPR, evitare sanzioni e aumentare le tue performance legali.
Lo strumento gratuito migliore per affacciarsi al mondo del GDPR!
Quali responsabilità deve non assumersi il freelance per il GDPR?
Il freelance non può prendersi le responsabilità in sostituzione del committente che gli affida il lavoro. Ad esempio il web master non è tenuto a sapere se il cookie banner scelto dal titolare del sito è conforme alla normativa per la privacy. Normalmente ci si rivolge ad un legale per questo scopo, che lavorerà in stretto contatto con il web master per mettere il sito a norma. Però è nell’interesse del web master scegliere plugin conformi al GDPR, perché se il titolare del sito poi prende una sanzione, sicuramente non lascerà una buona recensione.
Il freelance in teoria non è tenuto ad attivarsi per avere la nomina di responsabile del trattamento, ma di fatto, se non ce l’ha, è a rischio di sanzione anche lui.
Conclusioni GDPR per freelance
Come vedi il GDPR riguarda anche te che sei un libero professionista. Ma questa non è l’unica normativa che ti coinvolge.
Ecco perché il nostro studio legale ha creato la Legal for Digital Academy: una community dedicata agli imprenditori digitali in cui puoi trovare contenuti che accresceranno le competenze legali di cui hai necessità per blindare il tuo business, e che ti servono per accrescere la tua professionalità.
Da marzo 2022 la Legal for Digital Academy è diventata MyAcademy: una piattaforma a cui si accede con abbonamento annuale e dove trovi tante stanze virtuali ciascuna dedicata ad ogni professionista che ha le mani in pasta nel web. Una community in cui puoi interagire con i tuoi colleghi e con noi, che ogni settimana postiamo contenuti per la tua nicchia, video-corsi per mettere subito in pratica le skill che acquisisci, facciamo live e rispondiamo alle tue domande.
Non diventerai un avvocato, ma acquisirai competenze che ti proteggono da possibili sanzioni e che ti permettono di avere un plus che ti posiziona uno scalino più in alto rispetto ai tuoi competitor.
Brunella Martino
Avvocato specializzato in privacy e proprietà intellettuale con 18 anni di esperienza, DPO, arbitro in materia societaria, autrice Flaccovio Editore, formatrice aziendale, socia FederPrivacy, già componente Aiga nazionale Dipartimento Diritto delle nuove tecnologie, Founder Legal for Digital studio dell'anno per il Sole 24 Ore e Corriere della Sera
⚖️ Strategia di lead generation a norma di GDPR
11 Dicembre 2021Lead generation e profilazione sono gli strumenti che hanno rivoluzionato il marketing, permettendo di far arrivare il messaggio giusto alle persone giuste.Finché il GDPR ha posto un freno sia alle modalità di raccolta contatti, sia alla profilazione dei contatti stessi.
Leggi altro
⚖️ Privacy hotel, il trattamento dei dati personali nelle locazioni turistiche
9 Gennaio 2023L’hotel raccoglie numerosi dati personali, tra cui dati bancari. Inoltre i soggetti che trattano i dati possono essere i più svariati. Ecco perché le strutture ricettive devono essere particolarmente attente al rispetto del GDPR
Leggi altro
Come impostare il cookie banner a norma di legge
31 Marzo 2023In questo articolo cambiamo l’approccio al banner dei Cookie da didattico a strategico: se lavori nell’ambito del marketing e della comunicazione – come titolare di una web agency o come libero professionista – devi sapere in che modo connettere il GDPR al marketing.
Leggi altro