Essendo molto probabile che un’agenzia tratti dati personali per conto dei propri clienti, è bene prendere alcune precauzioni al fine di limitare il più possibile l’insorgenza di eventuali controversie.
Qualora si trovasse nella posizione di responsabile esterno del trattamento, l’agenzia deve:
- sottoscrivere un contratto ad hoc (chiamato “Data processing agreement”, “Contratto ex art. 28 del Regolamento 679/2016” o “Atto di nomina del responsabile”, qui trovi maggiori informazioni e un template da scaricare) con ogni titolare del trattamento (ovvero il cliente), e
- agire in modo trasparente e pro attivo, così da poter dimostrare in caso di controlli di aver fatto tutto correttamente.
Qual è la differenza tra titolare e responsabile del trattamento?
Con il termine “titolare del trattamento” si intende una qualsiasi persona fisica o giuridica che determina le finalità e i mezzi del trattamento di dati personali dei propri utenti. In sostanza è colui che stabilisce “perché” e “come” devono essere trattati i dati personali raccolti, di solito lo stesso titolare del sito/applicazione (in questo caso, il cliente).
Con il termine “responsabile del trattamento” si intende una qualsiasi persona fisica o giuridica che tratta dati personali per conto del titolare del trattamento. È il caso – ad esempio – di un’agenzia che cura newsletter o campagne di marketing per i propri clienti.
I doveri dell’agenzia
Questi gli obblighi del responsabile del trattamento (agenzia) nei confronti del titolare (cliente) secondo il GDPR:
- L’agenzia è tenuta a trattare i dati personali solo su istruzione documentata del cliente. Questo significa che l’agenzia deve attenersi rigorosamente alle istruzioni di trattamento fornite dal cliente, in genere definite per la maggior parte nel contratto di nomina accennato in precedenza. Le istruzioni del cliente accompagneranno l’intero ciclo di trattamento dei dati, quindi dalla raccolta alla cessazione del trattamento. Ne consegue che, una volta terminata la prestazione dei servizi relativi al trattamento, l’agenzia dovrà cancellare o restituire i dati personali al cliente, a seconda della scelta effettuata da quest’ultimo.
- I dati personali vanno trattati con la massima riservatezza: per garantire ciò l’agenzia deve fare in modo che il trattamento avvenga solo tramite personale autorizzato, tenuto a (o vincolato giuridicamente da) un obbligo di riservatezza. Quest’obbligo viene solitamente assolto tramite delle istruzioni di trattamento fornite ai dipendenti in forma scritta. Tali istruzioni contengono clausole dedicate alle modalità di trattamento dei dati e norme che vincolano alla riservatezza nel corso delle operazioni di trattamento.
- L’agenzia deve poi garantire l’adozione di tutte le misure di sicurezza richieste e non può ricorrere ad altri responsabili senza previa autorizzazione scritta del cliente.
- Fondamentali sono gli obblighi di assistenza e cooperazione dell’agenzia: tramite l’adozione di misure tecniche e organizzative adeguate, l’agenzia deve infatti assistere il cliente nel dare seguito alle richieste di esercizio dei diritti da parte degli utenti. Supponiamo ad esempio che un utente richieda la rettifica del proprio indirizzo email presente in una banca dati usata per fare DEM: se l’agenzia che si occupa della manutenzione di tale banca dati e dell’invio di tali email riceve la richiesta dell’interessato, essa, in qualità di responsabile, dovrà immediatamente darne notizia al titolare/cliente e procedere secondo le istruzioni fornite.
- L’agenzia deve assistere il cliente nell’adempimento degli obblighi derivati da un data breach, nel caso si rendesse necessaria una valutazione d’impatto sulla protezione dei dati o durante l’eventuale procedura di consultazione preventiva presso la competente autorità garante.
- L’agenzia deve mettere a disposizione del cliente tutte le informazioni in proprio possesso e che sono necessarie per dimostrare la conformità di quest’ultimo agli obblighi di legge. Nel farlo non potrà ostacolare in alcun modo eventuali attività di revisione (ispezioni comprese) realizzate direttamente dal cliente o da qualche altro soggetto incaricato.
Manleva e software iubenda
È bene sottolineare che una manleva esonera l’agenzia dalle responsabilità inerenti la “bontà” dei prodotti di iubenda, non da ogni genere di responsabilità.
Esempio: se l’agenzia inserisce nella privacy e cookie policy la clausola di Google Analytics e il link alla privacy policy del fornitore è errato, chiaramente questa è responsabilità di iubenda. Se l’agenzia inserisce Google Analytics ma il sito usa un altro servizio, in questo caso la responsabilità ricade sull’agenzia, a meno che questa dia prova di essere esente (ad esempio se il cliente ha approvato i documenti oppure ha esplicitamente richiesto l’inserimento di quella clausola).
I doveri del cliente e dell’agenzia in caso di danni agli utenti
L’art. 82 del GDPR è la norma cardine sulla responsabilità civile nel trattamento dei dati personali e sul conseguente diritto al risarcimento, e specifica che:
Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
Mentre il titolare (cliente) risponde per il danno causato dal trattamento che viola il GDPR, il responsabile (agenzia) risponde per il danno causato dal trattamento solo se:
- non ha adempiuto agli obblighi previsti dal GDPR, oppure
- ha agito in modo difforme o contrario rispetto alle istruzioni (legittime) del cliente.
L’agenzia potrebbe rispondere nei casi in cui:
- trasgredisce le istruzioni del cliente (anche eccedendo i limiti di propria competenza, nel qual caso il GDPR prevede che esso si assuma la responsabilità di titolare autonomo);
- non fornisce assistenza al cliente (ad esempio per le violazioni dei dati o la valutazione di impatto);
- non mette a disposizione del cliente le informazioni necessarie in proprio possesso;
- non informa il cliente che una sua istruzione è in violazione della normativa;
- pur essendovi obbligato, non nomina il DPO (Data Protection Officer);
- nomina un sub-responsabile non precedentemente autorizzato;
- nomina un sub-responsabile che non offre garanzie sufficienti;
- non tiene il registro dei trattamenti.
Le condizioni di esonero dalla responsabilità
Il cliente o l’agenzia possono essere esonerati da responsabilità solo se riescono a dimostrare che il danno non è in alcun modo imputabile a loro (ad esempio se deriva da un trattamento che non viene proprio svolto da loro).
Responsabilità solidale
Qualora il danno sia imputabile a più titolari o responsabili (o a entrambi), ciascuno di essi è responsabile in solido per l’intero ammontare del danno. In questo caso il soggetto che ha risarcito il danno per intero ha il diritto di richiedere agli altri titolari o responsabili coinvolti un risarcimento corrispondente alla loro parte di responsabilità.
Scopri come adeguare i siti e le app dei tuoi clienti con le soluzioni iubenda
Leggi anche