GDPR web agency: le agenzie web sono imprese che hanno dipendenti e che trattano dati dei clienti.
Quindi rientrano tra le aziende che devono essere GDPR compliant.
Ma le web agency ricevono incarichi dai loro clienti, che vanno dal creare un sito utilizzando un CMS oppure progettando un sito proprietario, fino alla gestione di campagne di marketing e community management.
Le agenzie marketing quindi hanno il doppio ruolo di titolari e responsabili esterni del trattamento. In più sono tenute a costruire siti internet a norma di GDPR, anche se poi ne risponde legalmente il proprietario del sito, ossia il titolare del trattamento dati.
Nell’articolo analizziamo tutti gli aspetti relativi a GDPR web agency.
CONTENUTO DELL'ARTICOLO
GDPR web agency: il ruolo dell’agenzia
Guarda il video
Partiamo da un principio: di fronte alla legge è responsabilità del titolare del trattamento dei dati accertarsi che coloro che in concreto tratteranno i dati, lo facciano in conformità del GDPR.
Nel caso del GDPR per web agency la gestione della privacy è complessa perché si intersecano una serie di relazioni lavorative, per cui l’agenzia assume ruoli diversi:
è titolare del trattamento rispetto ai dati dei clienti
è responsabile del trattamento rispetto ai dati degli utenti del cliente
deve affidare i ruoli da autorizzati del trattamento ai dipendenti
spesso si avvale del supporto di collaboratori esterni a cui delega mansioni specifiche, dando loro il ruolo di sub-responsabili del trattamento
all’interno delle sue mansioni non può prescindere da una conoscenza del GDPR più approfondita rispetto ad altri professionisti web, perché se il titolare del trattamento, proprietario del sito o investitore pubblicitario, prende una sanzione a causa di una non corretta impostazione della privacy sul sito, l’agenzia non ci fa una bella figura.
GDPR web agency: i doveri dell’agenzia
Sfatiamo la falsa credenza per cui l’agenzia che ha solo il ruolo di web designer non è responsabile di niente perché il sito non è suo. Si può dire che non sorgono responsabilità per il GDPR, solo nel caso in cui il suo ruolo si limiti a creare il template e a venderlo.
Ma già dal momento in cui l’agenzia fornisce un servizio di web hosting, fino al momento in cui si occupa del back-up e della manutenzione del sito le responsabilità GDPR web agency ci sono.
E dal momento in cui l’agenzia web assume il ruolo di responsabile del trattamento, scatta l’obbligo sancito dall’art. 28 del GDPR:
il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.
Nel caso poi in cui l’agenzia offra servizi più estesi, occupandosi anche di gestire le campagne di marketing online per conto dei clienti, le responsabilità GDPR web agency si amplificano. L’agenzia deve infatti prendere in considerazione anche la gestione privacy di campagne di marketing online.
Corso sulla Privacy e Gdpr
24 lezioni teoriche e pratiche sul Gdpr
Con questo corso potrai imparare, tra l’altro:
- Tutti gli aspetti fondamentali del R.U. 679/2016
- Quali sono i dati personali e quali non rientrano nel GDPR
- Tipologie di dati personali e relative tutele
- I soggetti del GDPR e relative responsabilità
- Corretta gestione dei dati personali online e offline
Il nostro corso esclusivo su tutto quello che ti serve sapere gestire la privacy sui tuoi asset digitali in modo legale ma anche performante al fine di evitare multe salate e problemi con gli utenti e clienti.
GPDR web agency: il ruolo di titolare del trattamento
La web agency per il GDPR svolge il ruolo di titolare del trattamento dati nei confronti dei clienti e nei confronti dei dipendenti. L’agenzia web sarà quindi tenuta a rispettare i principi di privacy by design e privacy by default. Maggiori dettagli sulle responsabilità del titolare del trattamento le trovi nella nostra mini-guida.
Dovrà poi tenere un registro trattamento dati che sarà probabilmente in modalità semplificata, e redigere un’informativa privacy specifica per ogni tipologia di interessato al trattamento dati.
La web agency si avvale poi della collaborazione di autorizzati al trattamento, cioè i dipendenti. Quindi:
- deve dare istruzioni chiare e precise agli autorizzati al trattamento
- deve accertarsi che gli autorizzati al trattamento agiscano nei limiti delle istruzioni ricevute
- ha un obbligo di formazione dei dipendenti sulla corretta gestione sia dei dati personali, sia degli accessi riservati.
GDPR web agency: il ruolo di responsabile del trattamento
Dal momento in cui l’agenzia web offre il servizio di manutenzione del sito, ha la responsabilità come minimo di conservazione dei dati.
Questa mansione le conferisce il ruolo di responsabile del trattamento. Il GDPR presume che il responsabile del trattamento sia un soggetto qualificato per assumere quel ruolo.
Come specificato nell’apposita mini-guida, non è necessaria una nomina contrattuale per diventare responsabile esterno del trattamento. Infatti il ruolo lo si assume per effettività della mansione svolta.
Questo vuol dire due cose:
- la web agency non può, attraverso il contratto di erogazione del servizio con il cliente, inserire una clausola di esenzione delle responsabilità con cui rifiuta la nomina a responsabile del trattamento;
- senza l’atto di nomina a responsabile del trattamento, sono a rischio di sanzione sia il titolare che il responsabile del trattamento.
In qualità di responsabile del trattamento, la web agency è tenuta, attraverso l’apposita clausola contrattuale, ad informare il titolare del trattamento se si avvale del supporto di collaboratori esterni per l’esecuzione del servizio, e se nel corso dell’esecuzione del contratto ci sarà un cambio di collaborazioni. I collaboratori esterni assumeranno il ruolo di sub-responsabili.
Il responsabile del trattamento/web agency è tenuto a:
- redigere un contratto di nomina a sub-responsabile con il collaboratore esterno, definendo in maniera chiara e specifica i dati personali che tratterà e come;
- accertarsi che il sub-responsabile sia GDPR compliant.
Per quanto riguarda le responsabilità della web agency GDPR per sito web, dal momento in cui l’agenzia si occupa di inserire la privacy policy, banner dei cookie, form contatti e modulo di pagamento, se è un e-commerce, occorre richiamare il principio per cui il responsabile del trattamento è tenuto ad avvisare il titolare de trattamento se ritiene che stia violando il GDPR.
In concreto questo significa che se il titolare del trattamento si avvale del supporto di un soggetto esterno per redigere l’informativa privacy, o chiede all’agenzia web di fare copia-incolla della privacy policy del competitor, oppure sceglie un cookie banner non a norma, l’agenzia web è tenuta ad informare il titolare del fatto che sta agendo in violazione del GDPR.
Quindi l’agenzia web è responsabile per la privacy policy del sito del suo cliente non conforme al GDPR. Per l’esattezza c’è una responsabilità in solido con il titolare del trattamento.
Nel caso in cui, come anticipato, la web agency si limita a creare un template di sito e a venderlo, le responsabilità sono limitate. Ma è opportuno essere molto chiari nell’oggetto del contratto con il cliente.
Ascolta il podcast
GDPR web agency: i doveri del cliente
Come già anticipato è onere del cliente, titolare del trattamento, accertarsi che i dati personali degli utenti siano trattati in conformità al GDPR.
Quindi il cliente dell’agenzia non può esonerarsi dalle sue responsabilità delegandole in toto alla web agency che crea il sito o gestisce il web marketing per suo conto.
Il cliente titolare dei dati degli utenti deve conoscere il GDPR per capire se il suo sito internet ne rispetta la normativa. Ma è tenuto a conoscere il GDPR, anche perché la normativa europea stabilisce che il titolare del trattamento dati deve affidare il ruolo di responsabile esterno, in questo caso la web agency, a figure che siano conformi ai requisiti richiesti dal regolamento privacy.
Cosa è tenuto a sapere il cliente?
- Chi tratta i suoi dati e i dati dei suoi utenti: responsabili esterni del trattamento ed eventuali sub-responsabili. Quindi sul contratto di collaborazione ci deve essere la clausola che escluda o includa l’utilizzo da parte della web agency di collaborazioni esterne;
- Se la web agency è GDPR compliant: il cliente non può accontentarsi delle parole dell’agenzia. Deve accertarsi del fatto che tutti i canali digitali utilizzati siano a norma del Regolamento Europeo ;
- Marketing privacy: il titolare del sito deve essere consapevole del tipo di marketing che effettua attraverso l’agenzia, perché cambiano gli adempimenti gdpr a seconda che venga svolta attività di:
- marketing diretto online, quindi profilazione,
- campagne di advertising,
- tracciamento delle azioni degli utenti con utilizzo di codici html
- marketing attraverso i social media;
- Conservazione dati: devono essere utilizzati software che garantiscano la massima sicurezza possibile da possibili data breach. Quindi il cliente ha tutto il diritto di chiedere delucidazioni in merito;
- Accessi ai dati: in qualità di titolare del trattamento, il cliente deve essere sempre messo nella condizione di poter accedere ai dati. Insieme all’agenzia va studiata la modalità più sicura per garantire l’accesso.
Nella maggior parte dei casi il contratto con il cliente è gestito dalla web agency, e contiene già anche la nomina a responsabile del trattamento dell’agenzia.
In realtà sarebbe compito del cliente/ titolare del trattamento provvedere con un suo contratto alla nomina dell’agenzia come responsabile del trattamento. Questo perché gli permetterebbe di definire lui stesso quali misure di sicurezza deve adottare la web agency, i limiti entro cui può gestire i dati degli utenti.
Nella realtà questo non avviene perché chi chiede la costruzione di un sito web per la propria attività normalmente sono PMI che ancora non sono state educate al GDPR, anzi lo hanno come ultimo pensiero. Quindi si mettono totalmente nelle mani della web agency per ogni adempimento.
Guida gratuita GDPR
39 pagine formative gratuite sul GDPR
SFOGLIA L’ANTEPRIMA
Una Guida esclusiva di 39 pagine per adeguarti al GDPR, evitare sanzioni e aumentare le tue performance legali.
Lo strumento gratuito migliore per affacciarsi al mondo del GDPR!
GDPR web agency i documenti da tenere: check-list
- Una tipologia di informativa privacy per ciascun tipo di interessato al trattamento: dipendenti, clienti, fornitori, candidati e dipendenti;
- 2 registri per il trattamento: uno in qualità di titolare del trattamento, l’altro in qualità di responsabile del trattamento. La tenuta del registro non è sempre obbligatoria, ma il GDPR ne raccomanda l’uso per essere in grado di dimostrare che si agisce in conformità del principio di privacy by design;
- NDA: non è direttamente richiesto dal GDPR. Ma un accordo di riservatezza da far firmare ai dipendenti è necessario, visto che i dipendenti come incaricati del trattamento, trattano dati personali e password. L’NDA è quindi uno strumento per agire in conformità del principio di privacy by design;
- Documenti che consentano di verificare la corretta raccolta e conservazione dei consensi
- Nomine ad autorizzato e sub-responsabili
Ma soprattutto ogni documento deve essere aggiornato in tempo reale, e si deve essere consapevoli di qual è la ratio di ognuno.
Dove si conservano questi documenti?
Meglio su cloud sicuri e protetti.
GDPR web agency: conclusioni
La web agency non è un legale ma si trova spesso a dover redigere documenti che hanno valore legale, soprattutto se tratta siti e-commerce.
Il cliente dell’agenzia si aspetta, giustamente, di avere on-line un sito web a norma di legge.
Se la web agency si affida ai format che trova su Internet, non ha certezza che siano a norma di legge. Ma soprattutto no avendo competenze legali spesso non sarà in grado di valutare caso per caso cosa ci vuole al cliente.
L’adeguamento al GDPR presuppone conoscenze legali approfondite e analisi specifica di ogni situazione. Quindi è opportuno che l’agenzia web sia per l’adeguamento in qualità di titolare del trattamento, sia per i suoi clienti si affidi ad uno studio legale specializzato in GDPR, e ancor meglio che abbia anche competenze digitali, visto che sono strettamente legate.
Brunella Martino
Avvocato specializzato in privacy e proprietà intellettuale con 18 anni di esperienza, DPO, arbitro in materia societaria, autrice Flaccovio Editore, formatrice aziendale, socia FederPrivacy, già componente Aiga nazionale Dipartimento Diritto delle nuove tecnologie, Founder Legal for Digital studio dell'anno per il Sole 24 Ore e Corriere della Sera
⚖️ Responsabile esterno del trattamento GDPR: linee guida
6 Maggio 2020Il regolamento europeo, all’art. 28, definisce il responsabile esterno del trattamento dati come la persona fisica o giuridica, autorità pubblica o organismo che tratta i dati per conto del Titolare del trattamento.
Leggi altro
⚖️ CRM privacy: come essere a norma di GDPR
3 Aprile 2021Che si tratti di un CRM utilizzato ai fini di marketing, o un CRM in cui si monitorano i rapporti con i fornitori, oppure un CRM per l’assistenza clienti: anche se cambiano le finalità del trattamento dei dati siamo comunque nell’ambito del trattamento dei dati personali.
Leggi altro
GDPR trasferimento dati extra UE: come gestirlo in modo conforme e performante
26 Settembre 2025Comprendere come trasferire legalmente i dati personali extra UE non è solo una questione di conformità al GDPR, ma un tassello strategico nella gestione dei fornitori e nella tutela del proprio business.
Leggi altro