0

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Nomina a responsabile del trattamento per ecommerce e web agency

30/04/2019

Nomina a responsabile del trattamento per ecommerce e web agency


Vuoi ottenere una nomina a responsabile del trattamento per ecommerce e web agency? Vuoi conoscere il contenuto di questo importante documento privacy richiesto dal GDPR?


Bene, in questo articolo ti spieghiamo il contenuto di questo documento legale, molto spesso essenziale nel rapporto ecommerce - web agency.

 

Il GDPR e l'obbligo della nomina a responsabile del trattamento


In base all'articolo 28 del GDPR il titolare del trattamento designa il responsabile del trattamento attraverso un contratto (o altro atto giuridico vincolate), non sulla base di una nomina meramente facoltativa, ma obbligatoria.


Ricordiamo che il GDPR è il Regolamento (UE) 679/2016 in materia di protezione dei dati personali. E' un Regolamento entrato in vigore a maggio 2018 e si applica a tutto il territorio europeo.


In base al GDPR, quindi, il responsabile del trattamento non può trattare dati personali del titolare senza aver prima sottoscritto una nomina a responsabile del trattamento.


Se il titolare del trattamento e il responsabile trattano dati in assenza di una nomina a responsabile, entrambi rischiano le pesanti sanzioni previste dal GDPR.

 

I ruoli dell'ecommerce e della web agency


Nel nostro ambito digitale, chi assume la qualifica di titolare del trattamento. Chi è il responsabile?


La risposta è molto semplice. Il proprietario dell'ecommerce è il titolare del trattamento. La web agency è il responsabile.


Quindi, sarà onere dell'ecommerce incaricare la web agency responsabile del trattamento. Questa nomina deve avvenire appunto mediante la firma di una nomina a responsabile del trattamento.

 

Cos'è la nomina a responsabile del trattamento


Con specifico riferimento al rapporto tra una ecommerce e web agency , con  questo termine si intende un accordo nel quale le parti definiscono le modalità di trattamento dei dati personali e della privacy dei clienti o potenziali clienti del merchant.


Di solito, rappresenta un allegato al contratto di assistenza o consulenza contestualmente o in precedenza sottoscritto tra la web agency e il sito di ecommerce. In alcuni casi, le clausole che disciplinano questo rapporto sono invece inserite nel medesimo accordo di consulenza.


Il nostro consiglio è quello di sottoscrivere la nomina a responsabile del trattamento come accordo separato rispetto al contratto di consulenza. Infatti, potresti aver necessità di far circolare la nomina a responsabile separatamente rispetto all'accordo economico (es.: nell'ambito di un controllo del Garante Privacy).


Operazioni e finalità del trattamento


Il GDPR indica numerose operazioni che possono configurarsi come "trattamento di dati personali". 


Senza in questa sede voler analizzare tutte queste operazioni, riteniamo opportuno informarti che nel rapporto web agency-sito di commercio elettronico sono quasi sempre coinvolte le seguenti operazioni: conservazione, consultazione, uso.


Pertanto, il nostro consiglio è quello di inserire queste operazioni nella nomina a responsabile del trattamento, chiarendo che la web agency potrà effettuare questo tipo di operazioni sui dati personali dei clienti o potenziali clienti del merchant. In questo modo il sito di commercio elettronico tutela la privacy dei clienti ed evita contestazioni.


La finalità del trattamento è quella di dare esecuzione all'accordo tra le parti. Pertanto, qualsiasi altro uso dei dati personali degli utenti del sito e-commerce dovrà ritenersi illecito e non dovrà essere seguito.

 

Categorie di dati personali da indicare nella Nomina a Responsabile del trattamento


Le categorie di dati personali il cui trattamento è demandato alla web agency sono strettamente connesse ai dati che transitano attraverso il sito web. Questi dati di solito sono riferiti ai dati richiesti per registrarsi al sito, per effettuare l'acquisto di prodotti/servizi  e per dare esecuzione al contratto intercorso con il cliente.


Pertanto, di solito i dati personali che saranno oggetto di trattamento da parte della web agency saranno i seguenti: 


nome/cognome, indirizzo di residenza o domicilio, cap, e-mail, numero di telefono, nazione, codice fiscale.


Di solito non sono presenti i dati della carta di credito perchè questi dati non sono conservati presso il sito di commercio elettronico o la web agency, bensì presso il relativo istituto di pagamento o soggetto emittente la carta di credito.


Se la web agency effettua operazioni di profilazione con cookie o dati di navigazione, potrebbe essere necessario anche inserire tra i dati personali l'indirizzo IP degli utenti e i loro dati di navigazione.


I principali obblighi della web agency


Per tutelare la privacy dei clienti del sito di commercio elettronico, la web agency deve rispettare particolari obblighi. In particolare, nella nomina a responsabile del trattamento, la web agency si deve impegnare a :
 

  • trattare i dati personali per la finalità indicate nella nomina e per dare esecuzione all'accordo di consulenza con il sito ecommerce;
  • non comunicare, diffondere, rivelare, in qualsiasi modo, i dati personali a terzi, ad eccezione dei responsabili ulteriori del trattamento, qualora designati dal responsabile del trattamento e delle persone autorizzate al trattamento dei dati personali sotto l’autorità del responsabile trattamento;
  • trattare i dati personali conformemente alle istruzioni eventualmente fornite dal sito di commercio elettronico.


La cancellazione dei dati personali


Un tema privacy molto delicato è quello che riguarda la cancellazione dei dati personali da parte della web agency per l'ipotesi di cessazione dell'incarico ricevuto dal sito di commercio elettronico.


In questo contesto, è molto importante indicare nella nomina a responsabile come deve comportarsi la web agency, ciò per evitare ad esempio la cancellazione di importanti dati con conseguente azione di risarcimento del danno da parte del cliente.


Una possibile soluzione è quella di indicare nella nomina a responsabile il fatto che la web agency si obblighi a cessare il trattamento dei dati non appena l'accordo di consulenza è sciolto (per qualsiasi causa) e prevedere che la stessa web agency - in un termine magari di 15 giorni - si impegni, a scelta del sito di commercio elettronico, a:
 

  • distruggere e/o cancellare tutti i dati personali, in modo irreversibile e permanente e, comunque, sulla base delle istruzioni del client; o
  • restituire tutti i dati personali; o
  • inviare i dati personali a un diverso responsabile del trattamento indicato dal merchant.


La restituzione o l’invio devono essere accompagnati dalla cancellazione e/o distruzione di tutte le copie esistenti nei sistemi informativi del responsabile del trattamento, vale a dire il merchant. Una volta distrutti, la web agency dovrà giustificare per iscritto la distruzione: un ulteriore modo per il merchant di essere certo di aver tutelato la privacy dei clienti.


La nomina a responsabile del trattamento non è sempre necessaria


Questo documento è sempre necessario quando  la web agency tratta dati personali dei clienti o potenziali clienti del sito di commercio elettronico. Ciò accade quando la web agency - dopo aver creato il sito - lo gestisce per conto del cliente.


Se la web agency si è limitata a creare il sito offline ma poi la gestione è continuata in autonomia dal sito e-commerce la nomina a responsabile non serve in quanto la web agency non tratta nessun tipo di dati personali dei clienti del merchant. In questo contesto non vi sono particolari tematiche privacy da tenere in considerazione.


Il rapporto ecommerce e web agency stranieri


Può succedere che il sito ecommerce o la web agency siano stranieri. Ad esempio, il titolare di un sito di commercio elettronico si affida a una web agency straniera. L'incarico affidato alla web agency sarà la manutenzione del sito.


Come abbiamo appena visto, la web agency (straniera) tratterà i dati personali degli utenti del sito internet.


La nomina a responsabile è obbligatoria anche in questo caso? 


La risposta più frequente a questa domanda è positiva. La nomina a responsabile è obbligatoria anche qualora la web agency sia straniera.


Infatti, se il titolare del sito ecommerce oppure la web agency hanno sede in Europa, sono sottoposti al GDPR. Parimenti, il GDPR si applica anche qualora sia coinvolto il trattamento di dati personali di cittadini europei.


Pertanto, in un modo o nell'altro si arriva ad applicare il GDPR. E come abbiamo visto il Regolamento Europeo prevede l'obbligo della nomina a responsabile del trattamento.


L'eccezione


Se il sito ecommerce e la web agency (entrambe con sede fuori dall'UE) trattano dati di cittadini non residenti in Europa, allora in questo caso si potrebbe ritenere non applicabile il GDPR.


In questo scenario, la nomina a responsabile del trattamento non sarebbe necessaria.


Una ipotesi molto rara nell'ecommerce italiano! 

 

Le sanzioni 


Ipotizziamo che sito ecommerce e web agency non firmino la nomina a responsabile del trattamento. Ci sono sanzioni? Se sì, di che tipo.


Sotto questo profilo bisogno sempre fare riferimento a quanto previsto dal GDPR.


Il Regolamento Privacy prevede sanzioni molto pesanti per il mancato rispetto degli obblighi previsti dalla legge: 20 milioni di euro oppure il 4 % del fatturato per le società.


L'Autorità che ha competenza in tema privacy è il Garante Privacy.


Il Garante Privacy ha ampia facoltà discrezionale nell'irrogare la sanzione. Pertanto, è molto improbabile che per ecommerce e web agency di piccole e medie dimensioni la sanzioni possa aumentare a milioni di euro ...


La sanzione è infatti proporzionata sia all'entità della violazione che al patrimonio dell'ecommerce e della web agency.


In ogni caso, anche con riferimento alle sanzioni irrogate dal Garante Privacy negli anni precedenti, si può ipotizzare una sanzione di almeno 10-20 mila euro per mancata firma della nomina a responsabile del trattamento.


Il cliente non vuole firmare la nomina a responsabile del trattamento


Può capitare che la web agency non voglia firmare la nomina a responsabile. E' frequente anche il caso opposto: l'ecommerce non firma l'incarico.


Le ragioni sono molteplici. Molto spesso si tratta di incuranza alle tematiche privacy e GDPR. Come abbiamo visto al punto precedente, la mancata firma della nomina a responsabile può costare pesanti sanzioni sia all'ecommerce che alla web agency.


Come comportarsi in questo caso?


Di fatto, non si può "obbligare" l'altra parte a firmare un documento. 


Il primo rimedio sarebbe quello di non trattare i dati personali. 


Questa soluzione si presenta molto spesso alla web agency. Se il sito di commercio elettronico non vuole firmare la nomina a responsabile del trattamento, la web agency dovrebbe astenersi dal trattare i dati personali del cliente.


E' una soluzione ineccepibile dal punto di vista legale ma "antieconomica". Infatti, in questo caso si rischi di perdere un cliente o il lavoro.


Si può allora scrivere al cliente allegando la nomina a responsabile e, nelle email/PEC, evidenziare che il rapporto sarà in ogni caso disciplinato dal GDPR (art. 28 in particolare). Nella comunicazione si dovrà anche ricordare al cliente che in caso di sanzioni, il cliente stesso dovrà tenere indenne la web  agency da qualsiasi responsabilità.


Medesime considerazioni valgono qualora sia la web agency a non firmare la nomina a responsabile del trattamento.


Il sito di commercio elettronico potrà inviare la nomina a responsabile comunicando alla web agency che essere sarà responsabile nel caso di eventuali sanzioni.


Non è l'unico contratto in ambito digitale


Come puoi immagine, la nomina a responsabile non è l'unico accordo che incontrerai nella tua avventura imprenditoriale. Infatti, questo documento rappresenta solo uno dei tanti tipo di contratti che coinvolgono un business digitale.
 

Con LegalBlink ottieni la nomina a responsabile del trattamento in modo veloce e professionale.

 

LegalBlink è il primo generatore di documenti legali specifico per ecommerce. 


Tra i documenti legali che puoi generare c'è anche la nomina a responsabile tra ecommerce e web agency. Il documento può essere utilizzato:
 

  • dall'ecommerce che genera i documenti legali per il suo shop online e che vuole incaricare la propria web agency
  • dalla web agency che ha pubblicato i documenti legali e che vuole farsi incaricare responsabile del trattamento.


E' uno strumento efficace e semplice da usare


E' efficace perchè le clausole sono state redatte da legali esperti in ecommerce. Inoltre, è specifico per il rapporto ecommerce e web agency. 


Semplice perchè è sufficiente rispondere alle domande del generatore per ottenere subito una nomina a responsabile a norma GDPR.


Con LegalBlink proteggi il tuo ecommerce


Oltre alla nomina a responsabile, infatti, LegalBlink genera per te tutti i documenti legali necessari per vendere a norma di legge:

  • la privacy policy del sito

  • le condizioni generali di vendita

  • l'informativa cookie

  • il modulo sul recesso.


Scegli il pacchetto Easy Merchant e proteggi il tuo business con LegalBlink.


Per qualsiasi richiesta di informazioni, contattaci!


Team LegalBlink