Marketing e GDPR: come scegliere i responsabili esterni?

La scelta del responsabile esterno deve essere consapevole

Secondo il GDPR, la scelta del responsabile esterno deve essere consapevole, anche per quanto riguarda il marketing.

Il titolare del trattamento non può non sapere quali sono gli strumenti social e gli strumenti marketing utilizzati per promuovere la sua organizzazione.

In parallelo, insieme al team marketing dell’azienda noi, come consulenti, dobbiamo avere un’idea chiara degli strumenti: quali sono quelli più usati, quali sono quelli più sicuri e quelli che pare siano meno attendibili. Il titolare invece è tenuto, ai sensi dell’articolo 28, a verificare le garanzie del responsabile esterno e poi eventualmente è tenuto a dimostrare di aver verificato tali garanzie. Dovremmo fornire al nostro responsabile esterno una checklist che ci consenta di verificare se è conforme al GDPR.

Questo è il quadro. Ma cosa succede nella pratica?

Scelta dei responsabili esterni marketing e social: cosa succede nella pratica? I due limiti nell’applicazione del GDPR

Il titolare è colui che deve dimostrare di aver fatto tutto il possibile per ridurre il rischio ed evitarlo, ai sensi del GDPR.

Quindi, nella scelta degli strumenti, deve:

  • saper selezionare i prodotti social (Google Analytics, Pixel di Facebook, Mailup, Mailchimp, Channel Manager, per esempio);
  • confrontarsi con il DPO (se presente);
  • revisionare e controllare: chiedere informazioni periodicamente o secondo la policy definita dall’azienda e svolgere audit nei confronti dei responsabili esterni.

Però, nella pratica, le cose si complicano, perché l’applicazione del Regolamento si scontra con due limiti:

  1. Fare audit ha un costo per il titolare e quindi molto spesso non si fanno perché fare audit seri – non solo mandare una checklist – può significare sostenere dei costi alti.
  2. Il titolare, molto spesso, soprattutto nelle realtà un po’ più piccole, è amico del responsabile esterno e quindi anche questa circostanza gli impedisce di andare a fare ispezioni, di andare a fare le pulci, a un soggetto che è commercialmente suo amico.

Cosa fare quando il responsabile esterno è una grande società con sede fuori dall’UE (magari negli USA)? Cosa fare?

  • Dobbiamo capire dove si trova il Data Processing Agreement

Ricordiamoci sempre questo: nell’ottica delle grandi realtà americane e anglosassoni difficilmente troveremo un Data Processing Agreement separato da un contratto.

Nella maggior parte dei casi lo troviamo infatti nei termini e nelle condizioni di servizio o nel contratto. Ma allo stesso tempo, ci sono altre realtà che lo pongono come Addendum e quindi possiamo trovarlo nell’accordo di protezione dati e nel Data Processing Agreement.

Nel momento in cui analizziamo questi provider dal punto di vista privacy, ricordiamoci che, se non troviamo l’Addendum e il Data Processing Agreement, molto probabilmente le informazioni saranno nel contratto. Questo è il primo aspetto a livello a pratico.

  • Dobbiamo considerare che, può capitare che alcune informazioni sullo stato della privacy del provider o del fornitore siano all’interno delle privacy policy, quindi nell’informativa privacy.

 

Per cui, andare ad analizzare se un fornitore è compliant al GDPR significa andare a verificare 3 documenti:

  1. Il contratto;

  2. Il Data Processing Agreement;

  3. Le privacy policy.

Consiglio:  Importante è che il titolare si avvalga di fornitori 100% conformi al GDPR, e sceglie diversamente è responsabilità sua, perché la responsabilità ricade comunque su di lui.

 

Una volta nominato il responsabile esterno, cosa succede?

Poniamo che individui un responsabile esterno. Fai tutte le verifiche obbligatorie e poi lo nomini. È finita qui? No. Il controllo del responsabile esterno non si limita all’ingaggio.

Il responsabile esterno va verificato periodicamente nel tempo, per vedere se è ancora adeguato oppure no.

Quindi, ogni quanto va controllato?

Ce le diamo noi le regole perché, quando abbiamo fatto un buon impianto del GDPR, possiamo iniziare a stabilirle.

Perché, appunto, il controllo non è solo a monte, ma anche ex-post:

  • ex-ante verifichiamo sulla carta
  • ed ex-post possiamo chiedere maggiori informazioni ed entrare in casa del nostro responsabile esterno.

La compliance al GDPR di alcuni Big: spesso quelli più usati dagli utenti sono i meno conformi e i meno trasparenti

Come già detto, però, alcuni fornitori di servizi che tutti gli utenti utilizzano, lato privacy, hanno ancora molto lavoro da fare. Quelli che piacciono molto al marketing, spesso, dal punto di vista della privacy non sono conformi o se sono conformi, non sono trasparenti, perché le informazioni ci sono, ma è davvero molto complicato trovarle e metterle insieme.

 

Fonte originale e ufficiale:  PrivacyLab