Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
31/03/2022
Vuoi ottenere una nomina a responsabile del trattamento per ecommerce e web agency? Vuoi conoscere il contenuto di questo importante documento privacy richiesto dal GDPR?
Bene, in questo articolo ti spieghiamo il contenuto di questo documento legale, molto spesso essenziale nel rapporto ecommerce - web agency.
In base all'articolo 28 del GDPR il titolare del trattamento designa il responsabile del trattamento attraverso un contratto (o altro atto giuridico vincolate), non sulla base di una nomina meramente facoltativa, ma obbligatoria.
Ricordiamo che il GDPR è il Regolamento (UE) 679/2016 in materia di protezione dei dati personali. E' un Regolamento entrato in vigore a maggio 2018 e si applica a tutto il territorio europeo.
In base al GDPR, quindi, il responsabile del trattamento non può trattare dati personali del titolare senza aver prima sottoscritto una nomina a responsabile del trattamento.
Se il titolare del trattamento e il responsabile trattano dati in assenza di una nomina a responsabile, entrambi rischiano le pesanti sanzioni previste dal GDPR.
Nel nostro ambito digitale, chi assume la qualifica di titolare del trattamento. Chi è il responsabile?
La risposta è molto semplice. Il proprietario dell'ecommerce è il titolare del trattamento. La web agency è il responsabile.
Quindi, sarà onere dell'ecommerce incaricare la web agency responsabile del trattamento. Questa nomina deve avvenire appunto mediante la firma di una nomina a responsabile del trattamento.
Con specifico riferimento al rapporto tra una ecommerce e web agency , con questo termine si intende un accordo nel quale le parti definiscono le modalità di trattamento dei dati personali e della privacy dei clienti o potenziali clienti del merchant.
Di solito, rappresenta un allegato al contratto di assistenza o consulenza contestualmente o in precedenza sottoscritto tra la web agency e il sito di ecommerce. In alcuni casi, le clausole che disciplinano questo rapporto sono invece inserite nel medesimo accordo di consulenza.
Il nostro consiglio è quello di sottoscrivere la nomina a responsabile del trattamento come accordo separato rispetto al contratto di consulenza. Infatti, potresti aver necessità di far circolare la nomina a responsabile separatamente rispetto all'accordo economico (es.: nell'ambito di un controllo del Garante Privacy).
Il GDPR indica numerose operazioni che possono configurarsi come "trattamento di dati personali".
Senza in questa sede voler analizzare tutte queste operazioni, riteniamo opportuno informarti che nel rapporto web agency-sito di commercio elettronico sono quasi sempre coinvolte le seguenti operazioni: conservazione, consultazione, uso.
Pertanto, il nostro consiglio è quello di inserire queste operazioni nella nomina a responsabile del trattamento, chiarendo che la web agency potrà effettuare questo tipo di operazioni sui dati personali dei clienti o potenziali clienti del merchant. In questo modo il sito di commercio elettronico tutela la privacy dei clienti ed evita contestazioni.
La finalità del trattamento è quella di dare esecuzione all'accordo tra le parti. Pertanto, qualsiasi altro uso dei dati personali degli utenti del sito e-commerce dovrà ritenersi illecito e non dovrà essere seguito.
Le categorie di dati personali il cui trattamento è demandato alla web agency sono strettamente connesse ai dati che transitano attraverso il sito web. Questi dati di solito sono riferiti ai dati richiesti per registrarsi al sito, per effettuare l'acquisto di prodotti/servizi e per dare esecuzione al contratto intercorso con il cliente.
Pertanto, di solito i dati personali che saranno oggetto di trattamento da parte della web agency saranno i seguenti:
nome/cognome, indirizzo di residenza o domicilio, cap, e-mail, numero di telefono, nazione, codice fiscale.
Di solito non sono presenti i dati della carta di credito perchè questi dati non sono conservati presso il sito di commercio elettronico o la web agency, bensì presso il relativo istituto di pagamento o soggetto emittente la carta di credito.
Se la web agency effettua operazioni di profilazione con cookie o dati di navigazione, potrebbe essere necessario anche inserire tra i dati personali l'indirizzo IP degli utenti e i loro dati di navigazione.
Per tutelare la privacy dei clienti del sito di commercio elettronico, la web agency deve rispettare particolari obblighi. In particolare, nella nomina a responsabile del trattamento, la web agency si deve impegnare a :
Un tema privacy molto delicato è quello che riguarda la cancellazione dei dati personali da parte della web agency per l'ipotesi di cessazione dell'incarico ricevuto dal sito di commercio elettronico.
In questo contesto, è molto importante indicare nella nomina a responsabile come deve comportarsi la web agency, ciò per evitare ad esempio la cancellazione di importanti dati con conseguente azione di risarcimento del danno da parte del cliente.
Una possibile soluzione è quella di indicare nella nomina a responsabile il fatto che la web agency si obblighi a cessare il trattamento dei dati non appena l'accordo di consulenza è sciolto (per qualsiasi causa) e prevedere che la stessa web agency - in un termine magari di 15 giorni - si impegni, a scelta del sito di commercio elettronico, a:
La restituzione o l’invio devono essere accompagnati dalla cancellazione e/o distruzione di tutte le copie esistenti nei sistemi informativi del responsabile del trattamento, vale a dire il merchant. Una volta distrutti, la web agency dovrà giustificare per iscritto la distruzione: un ulteriore modo per il merchant di essere certo di aver tutelato la privacy dei clienti.
Questo documento è sempre necessario quando la web agency tratta dati personali dei clienti o potenziali clienti del sito di commercio elettronico. Ciò accade quando la web agency - dopo aver creato il sito - lo gestisce per conto del cliente.
Se la web agency si è limitata a creare il sito offline ma poi la gestione è continuata in autonomia dal sito e-commerce la nomina a responsabile non serve in quanto la web agency non tratta nessun tipo di dati personali dei clienti del merchant. In questo contesto non vi sono particolari tematiche privacy da tenere in considerazione.
Può succedere che il sito ecommerce o la web agency siano stranieri. Ad esempio, il titolare di un sito di commercio elettronico si affida a una web agency straniera. L'incarico affidato alla web agency sarà la manutenzione del sito.
Come abbiamo appena visto, la web agency (straniera) tratterà i dati personali degli utenti del sito internet.
La nomina a responsabile è obbligatoria anche in questo caso?
La risposta più frequente a questa domanda è positiva. La nomina a responsabile è obbligatoria anche qualora la web agency sia straniera.
Infatti, se il titolare del sito ecommerce oppure la web agency hanno sede in Europa, sono sottoposti al GDPR. Parimenti, il GDPR si applica anche qualora sia coinvolto il trattamento di dati personali di cittadini europei.
Pertanto, in un modo o nell'altro si arriva ad applicare il GDPR. E come abbiamo visto il Regolamento Europeo prevede l'obbligo della nomina a responsabile del trattamento.
Se il sito ecommerce e la web agency (entrambe con sede fuori dall'UE) trattano dati di cittadini non residenti in Europa, allora in questo caso si potrebbe ritenere non applicabile il GDPR.
In questo scenario, la nomina a responsabile del trattamento non sarebbe necessaria.
Una ipotesi molto rara nell'ecommerce italiano!
Ipotizziamo che sito ecommerce e web agency non firmino la nomina a responsabile del trattamento. Ci sono sanzioni? Se sì, di che tipo.
Sotto questo profilo bisogno sempre fare riferimento a quanto previsto dal GDPR.
Il Regolamento Privacy prevede sanzioni molto pesanti per il mancato rispetto degli obblighi previsti dalla legge: 20 milioni di euro oppure il 4 % del fatturato per le società.
L'Autorità che ha competenza in tema privacy è il Garante Privacy.
Il Garante Privacy ha ampia facoltà discrezionale nell'irrogare la sanzione. Pertanto, è molto improbabile che per ecommerce e web agency di piccole e medie dimensioni la sanzioni possa aumentare a milioni di euro ...
La sanzione è infatti proporzionata sia all'entità della violazione che al patrimonio dell'ecommerce e della web agency.
In ogni caso, anche con riferimento alle sanzioni irrogate dal Garante Privacy negli anni precedenti, si può ipotizzare una sanzione di almeno 10-20 mila euro per mancata firma della nomina a responsabile del trattamento.
Può capitare che la web agency non voglia firmare la nomina a responsabile. E' frequente anche il caso opposto: l'ecommerce non firma l'incarico.
Le ragioni sono molteplici. Molto spesso si tratta di incuranza alle tematiche privacy e GDPR. Come abbiamo visto al punto precedente, la mancata firma della nomina a responsabile può costare pesanti sanzioni sia all'ecommerce che alla web agency.
Di fatto, non si può "obbligare" l'altra parte a firmare un documento.
Il primo rimedio sarebbe quello di non trattare i dati personali.
Questa soluzione si presenta molto spesso alla web agency. Se il sito di commercio elettronico non vuole firmare la nomina a responsabile del trattamento, la web agency dovrebbe astenersi dal trattare i dati personali del cliente.
E' una soluzione ineccepibile dal punto di vista legale ma "antieconomica". Infatti, in questo caso si rischi di perdere un cliente o il lavoro.
Si può allora scrivere al cliente allegando la nomina a responsabile e, nelle email/PEC, evidenziare che il rapporto sarà in ogni caso disciplinato dal GDPR (art. 28 in particolare). Nella comunicazione si dovrà anche ricordare al cliente che in caso di sanzioni, il cliente stesso dovrà tenere indenne la web agency da qualsiasi responsabilità.
Medesime considerazioni valgono qualora sia la web agency a non firmare la nomina a responsabile del trattamento.
Il sito di commercio elettronico potrà inviare la nomina a responsabile comunicando alla web agency che essere sarà responsabile nel caso di eventuali sanzioni.
Come puoi immagine, la nomina a responsabile non è l'unico accordo che incontrerai nella tua avventura imprenditoriale. Infatti, questo documento rappresenta solo uno dei tanti tipo di contratti che coinvolgono un business digitale.
LegalBlink è il primo generatore di documenti legali specifico per ecommerce.
Tra i documenti legali che puoi generare c'è anche la nomina a responsabile tra ecommerce e web agency. Il documento può essere utilizzato:
E' efficace perchè le clausole sono state redatte da legali esperti in ecommerce. Inoltre, è specifico per il rapporto ecommerce e web agency.
Semplice perchè è sufficiente rispondere alle domande del generatore per ottenere subito una nomina a responsabile a norma GDPR.
Oltre alla nomina a responsabile, infatti, LegalBlink genera per te tutti i documenti legali necessari per vendere a norma di legge:
la privacy policy del sito
le condizioni generali di vendita
l'informativa cookie
Scegli il pacchetto Easy Merchant e proteggi il tuo business con LegalBlink.
Se vuoi pubblicare anche una privacy policy a norma, ti consigliamo di leggere la nostra guida sul generatore di privay policy.
Per qualsiasi richiesta di informazioni, contattaci!
Team LegalBlink