Privacy e siti web: fare lo struzzo non è una strategia
Indice dei contenuti
Introduzione
È arrivato questo messaggio a una mia cliente, da parte del consulente che ha realizzato e gestisce il loro sito WordPress:
“Per prassi non compilo né firmo moduli/questionari sulla privacy di terzi… Non posso assumermi responsabilità legali sui dati personali trattati dal vostro sito: la titolarità e la responsabilità del trattamento restano in capo al Titolare (la vostra società) e agli eventuali provider/hosting.”
Un’affermazione apparentemente ineccepibile: il Titolare del trattamento è l’azienda, non il consulente. Ma il punto non è questo.
Il punto è che chiunque tratti dati personali per conto del Titolare è un Responsabile del trattamento (art. 4, par. 8 e art. 28 GDPR). E questo ruolo non si attiva o disattiva “per prassi”, né in base alla firma di un modulo. È la sostanza dell’attività svolta a determinare l’obbligo di designazione, non la volontà soggettiva del fornitore.
Il ruolo del consulente
Chi gestisce un sito web aziendale – soprattutto se ne amministra backend, plugin, backup, aggiornamenti di sicurezza, cookie e posta elettronica – sta trattando dati personali per conto del Titolare.
Nel caso specifico, non parliamo di un consulente estemporaneo, ma di un soggetto che:
- gestisce l’hosting, che ha peraltro scelto, e il dominio del sito;
- fornisce e amministra le caselle di posta elettronica aziendali;
- accede direttamente alla piattaforma WordPress con credenziali personali;
- svolge interventi di manutenzione e sicurezza;
- opera sulla base di un contratto annuale continuativo.
Tutto questo rientra pienamente nella definizione di Responsabile del trattamento. Nessun disclaimer, né abitudine contrattuale, può esonerare dagli obblighi previsti dal GDPR quando si ha accesso, controllo e operatività sui dati personali per conto di un Titolare.
“Non firmo per prassi” non è una scusa valida
Rifiutare la designazione con giustificazioni generiche (“non controllo l’hosting”, “non mi assumo responsabilità”, “non firmo moduli”) non esonera dalle responsabilità di legge.
Il GDPR è chiaro, non importa se il rischio non è “zero”, non importa se l’infrastruttura tecnica è condivisa con l’hosting. La mancata designazione espone entrambe le parti a rischi significativi, sia in termini di sanzioni, sia di gestione delle responsabilità in caso di violazioni.
Cosa dovrebbe fare un consulente serio?
- Affrontare correttamente il ruolo di responsabile del trattamento, che gli compete in quanto svolge attività per conto del Titolare che lo richiedono ai sensi dell’art. 28 GDPR;
- Fornire un elenco chiaro delle operazioni svolte, dei dati accessibili e inserire tali attività nel proprio registro dei trattamenti, come previsto dall’art. 30, par. 2 del GDPR;
- Concordare con il Titolare misure tecniche e organizzative adeguate.
Un contratto di designazione è una tutela per entrambe le parti. Delimita le responsabilità, chiarisce i compiti, formalizza i limiti. Chi si rifiuta di firmare non si sottrae alla responsabilità: semplicemente, la lascia senza regole.
Inquadrare correttamente i responsabili del trattamento
Che siate fornitori di servizi o aziende che li utilizzano, vale la pena fermarsi un momento e chiedersi:
- Chi gestisce il sito web, l’hosting o la posta elettronica aziendale è stato formalmente designato come responsabile del trattamento?
- Se sei tu quel fornitore, hai ricevuto e sottoscritto una nomina da parte del Titolare?
Se la risposta è no, è il momento di rivedere i contratti e regolamentare in modo corretto il rapporto, come richiesto dal GDPR.
Per chiarimenti specifici o per strutturare correttamente i rapporti tra azienda e fornitori i miei contatti sono qui.
