Open in app

Sign in

Write

Sign in

Cosa chiedere alla tua agenzia digital: le domande giuste per prepararsi al GDPR

Andrea Storchi
Webranking
Published in
8 min readApr 17, 2018

--

di Andrea Storchi, in collaborazione con il dipartimento ICT&IP dello Studio legale DGRS

L’entrata in vigore del GDPR è sempre più vicina e i temi connessi con la pubblicità digitale e i rapporti con le agenzie media sono centrali in tutto questo, fosse anche solo per la complessità che introducono all’interno di una gestione dei dati che spesso non è del tutto chiara. Non è chiara all’investitore online ma a volte neanche alle agenzie digitali che si trovano nella difficile posizione di intermediari: a metà fra i mezzi (fra i quali anche i publisher) e il loro cliente finale, l’investitore pubblicitario.

Per questo abbiamo raccolto una serie di domande e risposte che possono essere utili per fare un po’ di chiarezza sui ruoli, le situazioni e i possibili sviluppi. Per farlo abbiamo chiesto la collaborazione di uno studio legale specializzato in questi temi: DGRS.

I temi sono affrontati in modalità Q&A partendo da quello che ci sentiamo chiedere più spesso dai nostri clienti.

Aggiorneremo periodicamente questo post, introducendo nuove tematiche che dovessero emergere e ci piacerebbe farlo anche grazie al tuo contributo e ai tuoi commenti a questo post. Grazie!

Come facciamo a sapere se abbiamo correttamente definito i nostri rapporti (fra investitore e agenzia media digital), in particolare i “ruoli privacy”?

In realtà questa è una domanda che occorre autoporsi. Se si è titolari del trattamento e l’agenzia tratta alcuni dei nostri dati (ad esempio in caso di pianificazione pubblicitaria in programmatic o anche solo su AdWords), allora l’agenzia dovrà essere nominata Responsabile del trattamento con un apposito atto di nomina, collegato al contratto. Questo significa che è possibile costruire una estensione ad hoc di un contratto già in essere.

È sempre onere del titolare assicurarsi che tali rapporti siano formalizzati e ben definiti: deve essere infatti lui a vigilare sull'operato del Responsabile e a fornirgli tutte le istruzioni per svolgere il trattamento in compliance con la normativa.

Riassumendo: come investitore pubblicitario o come azienda che opera online nella maggior parte dei casi sei considerato il titolare del trattamento e hai la responsabilità di costruire (o far costruire) una serie di estensioni contrattuali che formalizzino come le agenzie con cui lavori devono trattare i dati secondo le finalità e i mezzi che hai l’impegno di fissare.

Come faccio a sapere se la mia agenzia è GDPR compliant?

Diffidate di chi vi risponde subito «Sì, siamo al 100% compliant». Le autorità — sia europee che nazionali — stanno infatti ancora emanando indicazioni, suggerimenti e linee guida. Anzi, per analogia con situazioni passate (ad es. nel caso della cookie policy) ci possiamo aspettare che alcune indicazioni possano emergere anche dopo l’entrata in vigore della norma. Nel corso di un convegno sul tema, uno dei principali attori di questo mercato ha dichiarato che si aspetta di avere un quadro chiaro (purtroppo) solo dopo aver visto le motivazioni di una prima eventuale sanzione. Tutti i materiali che stanno uscendo — e che usciranno — contengono elementi fondamentali per l’implementazione del Regolamento. Quindi difficilmente possono esserci già soggetti totalmente in regola.

Come faccio a capire che genere di trattamento dei miei dati viene fatto da un’agenzia nell’ambito dei servizi che svolge per me?

Ogni titolare (cioè probabilmente tu che mi leggi) ha il dovere di controllare come i Responsabili trattano i suoi dati, partendo da una “mappatura” dei flussi. Ad es. in che modo vengono raccolti i dati, dove vengono salvati/tenuti e come vengono svolte le varie attività di trattamento per l’erogazione dei servizi pubblicitari.

Nell’ambito del digital advertising si introduce un ulteriore elemento di complessità: non è detto che l’agenzia utilizzi solo i dati del cliente/titolare. Molto spesso anzi, sono coinvolti dati di terzi. Come possiamo gestire queste situazioni? Dobbiamo fare qualcosa? Certo che sì, è sempre onere del cliente (investitore pubblicitario) richiedere all'agenzia che le sue campagne siano erogate su database “adeguatamente consensati” (es.: email marketing) o su piattaforme e/o network affidabili.
Approfondiamo questi punti. Nel caso dell’e-mail marketing, i diversi indirizzi email che vengono utilizzati dall'agenzia (o da terzi ai quali l’agenzia si rivolge) devono aver ottenuto il consenso ai sensi della normativa. Quindi i fornitori di questo tipo di dati devono garantire che la raccolta sia stata fatta a norma di legge (quella nuova). Se non possono farlo — ad esempio perché i dati sono stati raccolti in diversi momenti, con diverse normative e forme dell’autorizzazione e poi salvati nello stesso database senza possibilità di ricostruire la storia di un consenso — non è possibile né consigliabile proseguire con quel fornitore, perché non ha i requisiti minimi per il trattamento del dato.

Nel caso di campagne in Paid Search, Programmatic o Affiliation, è altrettanto necessario richiedere questo tipo di trattamento. Per farlo è consigliabile avvalersi di network affidabili che siano in grado di garantire le modalità attraverso le quali hanno raccolto e gestiscono i dati.

Come coinvolge i fornitori dell’agenzia?

Un punto molto importante che abbiamo toccato sopra è legato alla filiera della fornitura che, anche in ambito digitale, va tenuta in considerazione o quantomeno compresa. Il titolare deve essere a conoscenza di quali sono tutti i soggetti che trattano i suoi dati e deve o (i) nominarli direttamente responsabili esterni del trattamento oppure (ii) l’agenzia può nominarli sub-responsabili del trattamento.

Questo punto è molto interessante perché forza gli investitori (finalmente) a occuparsi di chi-fa-cosa con i loro soldi. Meno brutalmente: quali sono i terzi — molto spesso trascurati — che gestiscono dati del cliente finale di un’agenzia, spesso senza essere neanche dichiarati o conosciuti dal committente.

Devo interessarmi di quali piattaforme usa l’agenzia?

L’agenzia per conto del cliente molto spesso utilizza piattaforme di digital advertising ed è buona norma per il cliente tenere traccia di tali utilizzi e di richiedere all'agenzia di rassicurarlo sul funzionamento e/o la sicurezza di tali servizi. Più concretamente, è importante sapere che piattaforme vengono utilizzate e verificare che la loro compliance (anche in termini di security) sia garantita. Questo significa che sarà più facile e conveniente lavorare con piattaforme internazionali solide e conosciute piuttosto che avvalersi di fornitori più piccoli o destrutturati. In questo senso, molti opinionisti hanno fin da subito evidenziato che il GDPR avrebbe “fatto pulizia” di tantissime micro-soluzioni di adtech che sono proliferate in questi ultimi anni. Il legislatore nei fatti ha portato a una maggiore polarizzazione verso gli OTT rispetto a quanto ci si poteva aspettare (o, forse, era nelle sue intenzioni).

Sono ancora validi i consensi che abbiamo raccolto prima del GDPR?

Lo stesso GDPR, al considerando 171, prevede: «Qualora il trattamento si basi sul consenso a norma della direttiva 95/46/CE, non occorre che l’interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alle condizioni del presente regolamento, affinché il titolare del trattamento possa proseguire il trattamento in questione dopo la data di applicazione del presente regolamento».

Questo vuole dire che se i consensi sono stati raccolti ai sensi del Codice della Privacy (che è l’applicazione italiana della direttiva 95/46/CE) e sono in linea con quanto prevede il GDPR in materia di consenso, non occorre ri-raccoglierli. Questa è una buonissima notizia. Il problema può sorgere — come già evidenziato poco sopra — quando non sia possibile ricostruire la stratificazione dei consensi di un database di email raccolte negli anni con diverse modalità.

Come possiamo gestire i trasferimenti di dati?

In relazione a questo tema se ne stanno vedendo di tutti i colori: CRM interi che viaggiano via mail in file non criptati, così come dati semplicemente copiati e incollati e così via. Il GDPR su questo punto è molto chiaro: è onere del titolare (cliente investitore) — e per quanto di sua competenza anche del responsabile (agency)- ridurre al minimo i rischi di dispersione dei dati, così come quelli di data breach. Con questo termine si identificano tutte le possibili violazioni dei dati, a partire da possibili attacchi informatici volti a sottrarli. È evidente che modalità di copia o invio non sicuro siano estremamente rischiose e quindi in violazione della normativa.

Si consiglia quindi di utilizzare modalità sicure: ad esempio trasferimenti criptati sfruttando strumenti di file sharing con licenze a pagamento che, a differenza delle loro versioni gratuite, garantiscono che il servizio non effettuerà alcun accesso ai materiali condivisi. In questo campo ci sono due fattori da tenere in considerazione: la sicurezza intrinseca del file (che può essere criptato) ma soprattutto — e sempre sottovalutato — la sicurezza del mezzo utilizzato per il trasferimento. L’e-mail non è un canale sicuro, il semplice file sharing neanche. Persino un CD/DVD con i dati in chiaro salvati dentro che viene spedito via corriere non lo è. È quindi importante che il canale/strumento utilizzato sia compliant.

A tutto questo si collega il tema ben più ampio dello storage dei dati interni.

Come possiamo controllare e organizzare gli accessi ai dati dell’agenzia?

Nell’ambito dei servizi offerti dell’agenzia, quando questa tratti dati di titolarità del cliente, quest’ultimo in qualità di titolare dovrà avere sempre il diritto di accesso ai propri dati. Pertanto, l’agenzia dovrà sempre garantire un accesso al cliente e le parti dovranno studiare insieme la modalità migliore per gestire e tenere sotto controllo questa attività. In virtù di quanto detto al punto precedente, le modalità devono impedire che i dati siano violati durante gli accessi quindi i sistemi utilizzati devono essere sicuri.

Dobbiamo chiederci quali misure di sicurezza applica l’agenzia?

Certo. Sempre nella sua veste di titolare, il cliente/investitore deve preoccuparsi che l’agenzia possa offrire adeguate garanzie dal punto di vista di sicurezza nella gestione dei suoi dati e può senz’altro chiedere delucidazioni sul punto. Questo è uno dei vari punti sui quali potrebbe vedersi una differente velocità di adempimento della normativa da parte dei diversi soggetti coinvolti. Questo significa che l’agenzia potrebbe non essere pronta quando il cliente chiede risposte. Resta il fatto che nei prossimi mesi entrambi i soggetti dovranno arrivare a una soluzione condivisa su questo e gli altri punti toccati dal GDPR.

Non ci aspettiamo che questa sia una guida omnicomprensiva ma siamo contenti di aver iniziato a fare chiarezza su diversi punti. Aggiorneremo questo elenco nelle settimane a venire, anche grazie agli spunti che dovessero emergere dal mercato e dai commenti che potrai lasciarci… e per i quali ti ringraziamo fin d’ora.

GLOSSARIO:

  1. Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
  2. Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
  3. Definizione di data breach del Garante.

Questo post è stato scritto per il blog di Webranking.

Webranking offre consulenza strategica di digital marketing per i più importanti brand italiani e internazionali attraverso attività di media planning, experience design e data intelligence ed è la maggiore search agency indipendente italiana.

Privacy
Gdpr

--

--

Andrea Storchi
Webranking

Written by Andrea Storchi

12 Followers

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams