Per “Web agency” deve intendersi l’attività prestata da parte di un’impresa, ma anche in forma autonoma da un libero professionista, che offre servizi quali: social media management, digital marketing, web marketing, SEO e SEM e campagne di ADV.
In merito a questo ultimo servizio bisogna prestare particolare attenzione.
Le campagne di advertising consistono nella realizzazione di pubblicità finalizzate a generare interesse per prodotti o servizi offerti.
In questo caso il ruolo della Web Agency è quello di creare pubblicità mirate per aumentare la conoscenza e la vendita dei prodotti e servizi del proprio cliente.
Quale è il ruolo privacy della Web Agency?
Quando una Web Agency offre il servizio di “realizzazione campagna di advertising” è importante comprendere che ruolo abbia dal punto di vista G.D.P.R.
Il G.D.P.R., infatti, identifica diversi ruoli: Titolare del trattamento, Responsabile del trattamento, Designato al trattamento, Autorizzato al trattamento, etc.
Ciascuno di questi ruoli porta con se una serie di compiti e adempimenti.
Sicuramente, si può sfatare il mito secondo cui: “è compito del Cliente adeguarsi al G.D.P.R.”.
A tal riguardo, il Cliente che commissiona alla Web Agency una campagna pubblicitaria sui social network è da configurarsi a tutti gli effetti come un “Titolare del trattamento”.
Mentre la Web Agency va configurata come “Responsabile del trattamento”.
Il responsabile del trattamento è colui il quale tratta dati personali per conto di un titolare del trattamento.
Nella fattispecie il Cliente (“Titolare del trattamento”) è colui il quale sottoscrivere un accordo di assistenza e fornitura relativa ad una campagna di marketing con la Web Agency (“Responsabile del trattamento”), la quale svolgerà un trattamento di dati personali- l’attività di advertising- per conto del Titolare.
Il Targeting
Una buona campagna di marketing deve essere in grado di individuare i clienti giusti.
Per farlo è necessario utilizzare gli strumenti di targeting offerti dai social network.
Infatti una sponsorizzata su un social network (es. “Facebook”) o su una piattaforma (es. “Youtube”) è di per se nulla se non accompagnata da implementazioni tecniche in grado di profilare/individuare consumatori specifici.
L’attività di targeting non è altro che un processo che mira a influenzare le scelte dei consumatori e si traduce nella consegna di messaggi specifici a individui iscritti sui social media o piattaforme.
Per perfezionare questo processo le Web Agency usufruiscono dei criteri di targeting forniti dal social network.
Il sesso, l’età, la situazione sentimentale, la professione, informazioni sui prodotti acquistati, i prodotti acquistati sono tutti esempi di criteri che permettono al social network di fornire informazioni dettagliate sui propri iscritti.
Il compito della Web Agency non è soltanto quello di pubblicizzare un prodotto o servizio ma cercare i consumatori interessati a quel prodotto o servizio. Per farlo è necessario testare continuamente il mercato, agendo direttamente sui criteri di target forniti dal Social.
Questa attività, come detto in precedenza, è riconducibile ad un servizio svolto per conto del “Titolare del trattamento”.
Dunque il ruolo della Web Agency è riconducibile a quello previsto dall’art. 28 del G.D.P.R., ovvero “Responsabile del trattamento”.
Cosa deve fare una Web Agency per essere G.D.P.R. compliant?
Per rispettare la normativa sulla protezione dei dati personali, sancita dal REG EU 2016/679 e dal Codice Privacy, ci sono una serie di adempimenti da rispettare.
Di seguito verranno elencati, per ragioni di opportunità, soltanto quelli relativi all’attività di “campagne di Advertising”.
Infatti sicuramente una Web Agency necessita di porre in essere tutti gli atti interni ed esterni funzionali al trattamento dei dati personali, come: registro dei trattamenti, informative, nomine interne ed esterne, etc.
Ma nello specifico, relativamente all’attività di advertising è necessario effettuare una cd. “D.P.I.A.” (Data Protection Impact Assessment).
La D.P.I.A. è una valutazione di impatto sulla protezione dei dati che si rende necessaria ogni qualvolta sussista un “rischio elevato”.
Come appunto accade nell’attività di “targeting” che,per espressa previsione dell’European Data Protection Board, si configura come altamente rischiosa in quanto può impattare sulle libertà individuali dei consumatori.
Va poi sciolta ogni riserva circa la nomina a responsabile del trattamento.
Infatti seppure l’art. 28 del G.D.P.R. prevede che sia il Titolare ad effettuare la nomina a responsabile del trattamento, se questi dovesse rimanere inerte sarà il Responsabile a dover sollecitare la propria nomina.
Sul punto il Garante Privacy si è espresso in diversi provvedimenti, prevedendo appunto che il responsabile del trattamento che non ha sollecitato la propria nomina non è esente da responsabilità.
Pertanto è assolutamente necessario che tutte le Web Agency forniscano direttamente ai propri clienti un format per la propria nomina a responsabile del trattamento.
In conclusione non va dimenticato che tutto l’impianto normativo del G.D.P.R. fonda le proprie basi sul principio di “accountability” e dunque di autonoma responsabilizzazione da parte di Titolari e Responsabili.
Dunque ragionare secondo la logica del “non era compito mio” è controproducente.
La normativa sulla privacy non è un ostacolo per chi fa marketing ma bensì un elemento attraverso il quale differenziarsi dalla concorrenza.
Se non vuoi differenziarti dalle altre impreso o professionisti che fanno “campagne di marketing” e soprattutto se non vuoi incorrere in sanzioni amministrative fino a 20 milioni di euro è necessario essere conformi al G.D.P.R. e al Codice Privacy.