Tech | Articoli

Email marketing: come rispettare il GDPR?

18 Agosto 2018
Email marketing: come rispettare il GDPR?

Come posso fare e-mail marketing per conto di un’azienda senza correre rischi legati al GDPR da parte della non conformità dell’azienda: sia con contratto (tirocinio),sia, secondariamente, come consulenza (ritenuta d’acconto)?

Le norme di legge introdotte con il Regolamento Europeo della Privacy n. 679/2016prevedono numerosi e diversi obblighi in capo ai soggetti che trattano dati di terzi, siano solo dati soggetti a trattamenti obbligatori per legge (ad esempio la gestione delle fatture per le registrazioni contabili) che dati soggetti a trattamenti non obbligatori per legge (ad esempio la raccolta e l’archiviazione di dati ricevuti spontaneamente da clienti che si registrano su un sito web o su un social network per interagire con aziende o associazioni).

Fra le diverse figure che vengono identificate, con diversi livelli di responsabilità, il Regolamento prevede quelle del:

− Titolare del trattamento dei dati, che in genere è l’imprenditore individuale oil legale rappresentante della società, soggetti all’obbligo di legge;

− Responsabile del trattamento dei dati, che in genere è qualsiasi soggetto cui venga affidata la gestione, totale o parziale, dei dati trattati dalla azienda del titolare (ad esempio se una società si affida ad un consulente del lavoro per l’elaborazione dei cedolini paga mensili quest’ultimo diventerà il Responsabile esterno del trattamento dei dati parziali, perchè relativi alla sola gestione dei dati dei dipendenti ai fini degli obblighi giuslavoristici) ed il legale rappresentante dell’azienda affidante dovrà effettuare la nomina basandola su un contratto di mandato professionale nel quale siano indicate le operazioni che dovranno essere svolte e come verranno trattati i dati scambiati fra i diversi soggetti coinvolti.

Non è escluso ovviamente che la qualifica di Responsabile del trattamento dei dati possa essere ricoperta anche da un dipendente o da un collaboratore dell’azienda.

Tuttavia le modalità di nomina del Responsabile e le responsabilità connesse al mandato assegnato sono sostanzialmente diverse fra una figura e l’altra.

Nel caso dello svolgimento di una attività, soggetta ad obbligo di nomina del Responsabile del trattamento, affidata dall’azienda ad un dipendente, seppure,tirocinante, la nomina dovrebbe essere, quanto meno, preceduta dall’assolvimento degli obblighi di formazione per i dipendenti, anche sotto forma di frequentazione di corsi specifici, in aula o in video, per i quali siano verificabili: il programma, il piano di formazione, le dispense, i materiali ed il test finale somministrato e superato.

Inoltre sarebbe importante che il contratto di lavoro contenesse la descrizione delle mansioni assegnate al dipendente (tirocinante) e le responsabilità assegnate con l’incarico affidato in modo da circoscriverle nel modo più preciso possibile.

Questi infatti sono gli elementi che vengono controllati in caso di verifica degli adempimenti previsti dalla norma: il contratto, di lavoro, di mandato o di prestazione servizi, che fa sorgere l’obbligazione al trattamento dei dati e l’adempimento agli obblighi di formazione, oltre che, naturalmente, il riscontro delle operazioni effettuate per limitare il rischio di mancata tutela dei dati gestiti o in qualunque modo scambiati e conservati.

Nel caso invece in cui l’attività venga affidata ad un soggetto esterno (collaboratore,prestatore occasionale, azienda, professionista, ecc.) la Responsabilità del trattamento sarà trasferita da un Responsabile all’altro sulla base di un contratto, di mandato odi prestazione servizi, o di altro documento giuridicamente valido nel quale vengano precisati i trattamenti trasferiti e le modalità di esecuzione dell’incarico.

In questo secondo caso sarà il lavoratore autonomo che dovrà ottemperare all’obbligo di tutelare i dati ricevuti nell’ambito della propria attività aziendale e secondo quanto indicato nel contratto sottoscritto, predisponendo quanto necessario per adempiere agli obblighi di protezione dei dati di terzi, detenuti e/o trattati, siano questi ultimi personali o sensibili, assoggettando la propria attività di impresa alle norme previste per legge.

Questi infatti sono gli elementi che vengono controllati in caso di verifica degli adempimenti previsti dalla norma: il contratto, di lavoro, di mandato o di prestazione servizi, che fa sorgere l’obbligazione al trattamento dei dati e l’adempimento agli obblighi di formazione, oltre che, naturalmente, il riscontro delle operazioni effettuate per limitare il rischio di mancata tutela dei dati gestiti o in qualunque modo scambiati e conservati.

Bisogna infine ricordare che, al momento, non sono ancora attuate le norme relative ai codici di condotta ed alle certificazioni temporanee triennali, (articoli 40 e 42 del Regolamento Ue).

Questi due strumenti, che potranno essere attivati dalle associazioni di categoria e rappresentative dei titolari e dei responsabili del trattamento dei dati – nel caso dei codici di condotta – e dalle autorità di controllo o da organismi abilitati – nel caso delle certificazioni triennali – potranno essere validamente utilizzati per dimostrare che i soggetti coinvolti hanno adempiuto al meglio agli obblighi di protezione dei dati raccolti, conservati e gestiti, nell’ambito della propria attività o nell’ambito della propria sfera di competenza responsabile.

Occorre infine precisare che anche l’adesione al codice di condotta o il possesso della certificazione triennale, sarà solo in grado di testimoniare oggettivamente che i titolari o i responsabili del trattamento dati hanno provveduto ad attuare tutti gli adempimenti in materia di obbligo di protezione dei dati trattati, ma non esenterà totalmente dalle responsabilità eventualmente riscontrabili.

Pertanto la risposta al quesito posto è la seguente:

La domanda posta attiene alla tutela dalle responsabilità legate agli adempimenti Gdpr, di un soggetto che operi in qualità di dipendente (tirocinante nella fattispecie) o, secondariamente, in qualità di consulente (lavoratore autonomo a ritenuta d’acconto) per conto di un’azienda che, a detto soggetto, deleghi l’attività di gestire il marketing via mail.

La domanda verte in particolare sulle responsabilità in cui incorrerebbe e dalla protezione che dovrebbe predisporre, il soggetto indicato, per evitare conseguenze patrimoniali connesse al mancato rispetto degli adempimenti privacy, in caso di non conformità dell’azienda, titolare del trattamento, che assegna l’incarico.

Richiamando tutto quanto indicato nell’esposizione precedente risulta evidente che,qualora l’azienda il cui rappresentante legale è titolare del trattamento, non si fosse conformata agli adempimenti obbligatori del Gdpr, sarebbe difficile che la nomina a responsabile del trattamento dati – seppure parziali – potesse evitare responsabilità in capo sia al titolare che al responsabile del trattamento, ritenendo che le qualifiche ricoperte dai soggetti suddetti siano comunque esposte alle sanzioni per il mancato rispetto di tutti gli altri adempimenti obbligatori non rispettati.

Pertanto, sebbene le responsabilità siano ben suddivisibili fra le parti coinvolte, nel senso che il titolare del trattamento resta responsabile per il mancato adempimento degli obblighi in relazione a tutti i dati trattati dall’azienda di cui assume la titolarità, mentre il responsabile del trattamento parziale è responsabile soltanto per la tutela e la conservazione dei dati – parziali – che gli vengono trasmessi al fine di eseguire la prestazione contrattuale concordata nell’ambito ben delineato nel contratto di nomina a responsabile del trattamento, di quei soli dati che entrano nella disponibilità di quest’ultimo tramite il contratto di servizi sottoscritto, in ogni caso l’articolo 28 del Regolamento Ue prevede che i responsabili del trattamento assistano<i titolari del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36...>.

Pertanto si ritiene che la non conformità al rispetto degli obblighi della privacy da parte dell’azienda titolare del trattamento, innanzi tutto si esplicherebbe nella mancanza della nomina di alcun responsabile del trattamento, costituendo così il primo fondamentale inadempimento.

In seguito, anche in caso di avvenuta nomina, si dovrebbe ritenere che il nominato responsabile non potrebbe quanto meno svolgere i propri compiti di assistenza al titolare nel garantire il rispetto delle norme vigenti, restandone responsabile, seppure in parte, mancando a monte l’invio di dati tutelati e trattati conformemente alla norma da parte del titolare del trattamento, inadempiente in proprio, che li invierebbe al responsabile privi della protezione necessaria e in assenza delle condizioni basilari per rispettare gli adempimenti.

Occorre tuttavia precisare che la materia potrebbe riservare ulteriori sorprese, infatti si è ancora in attesa dei decreti di attuazione nell’ordinamento domestico della norma già introdotta dal Regolamento.

In particolare sulla nomina dei responsabili del trattamento vi è ancora parecchia confusione, soprattutto fra le categorie professionali i cui ordini e collegi stanno approntando proposte di soluzione alle problematiche che la normativa pone, ma che stanno anche sollevando dubbi e perplessità destinati a trovare risposte che non sono ancora ipotizzabili definitivamente.

Pertanto, sotto il profilo pratico, nel caso di svolgimento dell’attività come dipendente – anche se pare che un tirocinante difficilmente potrebbe essere nominato

responsabile di un trattamento a fronte della presumibile inesperienza data dal ruolo e dalla necessità di formazione professionale a favore del tirocinante stesso che non dovrebbe poter essere posto in condizione di assumere autonome responsabilità in materia così delicata – sarà necessario e/o opportuno che sia specificato nel contratto di lavoro ed in eventuali ordini di servizio, quali mansioni devono essere svolte e quali dati dovranno essere gestiti, nonché le procedure di gestione e le finalità dei trattamenti da eseguire.

Sarà opportuno anche ottenere dal titolare del trattamento una manleva da responsabilità patrimoniali personali che, ovviamente, non potrà proteggere invece da responsabilità penali.

Sarà necessario poi che il dipendente ponga sempre molta attenzione, nell’esecuzione della mansione affidata, a specificare che il trattamento dei dati avviene per conto del titolare che lo ha affidato solo parzialmente e solo per le mansioni svolte e nell’ambito delle procedure utilizzate per eseguire quelle mansioni contrattualizzate o indicate negli ordini di servizio.

In tal modo il responsabile del trattamento dovrebbe essere perseguibile solo in caso in cui commetta gravi inadempienze nel trattamento dei dati, imputabili esclusivamente al proprio comportamento negligente o doloso e comunque a inadempienze imputabili al solo ruolo che ha accettato di ricoprire.

Nel caso invece di svolgimento dell’attività come consulente o soggetto esterno,occorrerà stipulare un contratto di consulenza o di prestazione servizi che contenga le premesse fondamentali per il rispetto degli adempimenti, cioé l’indicazione dei dati trattati, delle procedure da utilizzare e delle finalità del trattamento.

Inoltre, ovviamente, il consulente o il prestatore di servizi dovrà conformarsi in proprio agli obblighi discendenti dal Regolamento Ue, implementandolo nella propria attività, a tutela sia dei dati trattati direttamente, in qualità di titolare, che dei dati ricevuti da terzi, da gestire come responsabile del trattamento parziale,specificatamente individuato nel contratto e/o in altri documenti utili allo scopo,compreso lo scambio di corrispondenza per mail certificata.

In quest’ultimo caso sarebbe comunque necessaria una delimitazione delle responsabilità reciproche, in quanto il responsabile del trattamento potrebbe essere sempre considerato come <assistente> a garantire gli adempimenti del titolare,pertanto anche in questo caso, una manleva da responsabilità patrimoniali nel caso di mancata conformità agli adempimenti da parte del titolare che conferisce la nomina al responsabile, nonché in relazione al rispetto della tutela dei dati che circolano fra le parti ma che esorbitano dalle possibilità di un intervento diretto del responsabile, nell’ambito della applicazione degli adempimenti, sarebbe comunque doveroso.

Articolo tratto dalla consulenza resa dal dott.Mauro Finiguerra



Sostieni LaLeggepertutti.it

La pandemia ha colpito duramente anche il settore giornalistico. La pubblicità, di cui si nutre l’informazione online, è in forte calo, con perdite di oltre il 70%. Ma, a differenza degli altri comparti, i giornali online non hanno ricevuto alcun sostegno da parte dello Stato. Per salvare l'informazione libera e gratuita, ti chiediamo un sostegno, una piccola donazione che ci consenta di mantenere in vita il nostro giornale. Questo ci permetterà di esistere anche dopo la pandemia, per offrirti un servizio sempre aggiornato e professionale. Diventa sostenitore clicca qui

Lascia un commento

Usa il form per discutere sul tema (max 1000 caratteri). Per richiedere una consulenza vai all’apposito modulo.

 


NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI

CERCA SENTENZA

Canale video Questa è La Legge

Segui il nostro direttore su Youtube