Guida privacy al Registro dei trattamenti per web agency
In questa nuova
guida privacy dedicata a chi gestisce una web agency vediamo
quando è obbligatorio generare il Registro dei trattamenti e come ottenerlo con LegalBlink
.
Il Registro è un documento privacy molto importante e richiesto dal
GDPR per tutte le aziende che effettuato il
trattamento di dati personali in modo "non occasionale".
Pertanto, se gestisci una web agency è molto probabile che tratti dati personali (in modo non occasione) ad esempio dei tuoi dipendenti o degli utenti dei tuoi clienti. Per tale motivo dei generare un registo dei trattamenti.
Di cosa si tratta? Scoprilo in questa guida dedicata alle web agency.
Se vuoi essere informato sulle novità legali del mondo e-commerce seguici sui nostri social:
Facebook,
LinkedIn e
YouTube! Oppure iscriviti alla nostra
newsletter.
SOMMARIO
Cos'è il registro dei trattamenti e a cosa serve
Quando la web agency agisce in qualità di Responsabile del trattamento
Accedi al tuo account di LegalBlink
Rispondi alle domande del generatore
Categoria di trattamento
Trasferimenti in Paesi extra-UE
Misure di sicurezza
Come conservare il Registro dei trattamenti
Si può utilizzare il modello per Titolari del trattamento?
Quando aggiornare il Registro dei trattamenti
Assistenza legale su come generare il Registro dei trattamenti per web agency?
Come abbiamo anticipato, il registro dei trattamenti è un documento richiesto dal
GDPR in tutti i casi in cui il trattamento dei dati personali
non avvenga in modo occasionale. Ci sono altri casi in cui questo documento è obbligatorio ma nel contesto digitale quello appena descritto è sicuramente il più frequente.
Pertanto, è
molto probabile che una web agency sia obbligata ad avere un Registro dei trattamenti in quanto si trova nella posizione di trattare dati personali in modo "non occasionale".
Dal punto di vista
privacy e del GDPR, la web agency può trattare i dati personali in qualità di "Titolare del trattamento" oppure di "Responsabile del trattamento".
Se vuoi approfondire questi temi puoi consultare la nostra guida sul
GDPR, dove spieghiamo in modo approfondito il significato di questi termini.
In questa guida vogliamo solo ricordare che:
- il Titolare del trattamento è colui che sceglie i mezzi e le finalità del trattamento
- il Responsabile è colui che tratta i dati personali per conto del Titolare del trattamento
Tipici "
Titolari del trattamento" in ambito digitale sono figure quali: il proprietario del sito web, il datore di lavoro (
anche la web agency, se ha dipendenti), il gestore di un e-commerce.
Invece, il ruolo di "
Responsabile del trattamento" lo troviamo in figure come la
web agency o la società che cura campagne marketing per conto del proprio cliente.
Come hai visto, la
web agency può figurare sia come Titolare del trattamento che come Responsabile del trattamento. Questo implica che la web agency può essere tenuta a generare e a conservare due tipologie di Registro dei trattamenti, quello per Titolare del trattamento e quello per Responsabile del trattamento.
Della prima tipologia di Registro nei abbiamo parlato nella guida su
come generare il Registro dei trattamenti. Pertanto, puoi consultare questa guida per vedere come generare il Registro dei trattamenti in qualità di Titolare del trattamento.
Qui invece vediamo
come generare il Registro dei trattamenti in qualità di Responsabile del trattamento.
Prima di vedere come generare questo documento è importante sapere
quando la web agency agisce in qualità di Responsabile del trattamento. Come abbiamo scritto all'inizio di questa guida, il Responsabile del trattamento è colui che tratta i dati personali per conto del Titolare del trattamento.
Nel rapporto cliente - web agency, è il
cliente a rivestire la qualifica di Titolare del trattamento in quanto è lui che decide i mezzi e le finalità del trattamento.
La
web agency riveste il ruolo di Responsabile del trattamento se tratta i dati personali "dei clienti - utenti" del proprio cliente. Ad esempio quando:
- effettua la manutenzione del sito web del proprio cliente
- gestisce le campagne social
- gestisce i profili social del proprio cliente
Ovviamente in tutti questi casi l'
elemento privacy essenziale è che la web agency tratti i dati personali dei clienti - utenti del cliente.
Ad esempio, la web agency che crea il sito web per il cliente e poi lascia gestire il sito a quest'ultimo non assume il ruolo di Responsabile del trattamento. Infatti non tratta i dati personali per conto del proprio cliente. Non sono quindi coinvolti temi privacy e non è richiesto di generare il Registro dei trattamenti.
Adesso che abbiamo visto quando la web agency è obbligata a generare il Registro dei trattamenti in qualità di Responsabile del trattamento, scopriamo come generare questo importante documento privacy con LegalBlink.
Per prima cosa accedi al tuo account e scegli il
template Registro dei trattamenti (web agency). Questo infatti è il modello di Registro dei trattamenti da utilizzare per i soggetti che trattano dati personali per conto del Titolare del trattamento (
Fig. 1).
Fig. 1
Una volta aperto il template per il Registro dei trattamenti del Responsabile del trattamento è sufficiente rispondere alla domande del generatore per ottenere il documento. Il modello è stato creato dai
legali di LegalBlink (tutti esperti in privacy) sulla base del fac-simile proposto dal
Garante Privacy.
Sebbene le domande poste siamo intuitive in quanto riferite alla operatività della stessa web agency, abbiamo ritenuto opportuno pubblicare alcuni suggerimenti su come rispondere alle domande del generatore.
Questa sezione permette di indicare
quali categorie di trattamento far comparire nel Registro. Le categorie sono state ovviamente riprese dalla definizione di "trattamento di dati personali" prevista dal GDPR.
In sostanza bisogna indicare quali attività vengono effettuate sui dati personali degli utenti-clienti del cliente della web agency.
Di seguito le attività più frequenti:
- Conservazione
- Estrazione
- Uso
- Cancellazione
- Consultazione
- Comunicazione
Se in occasione del trattamento dei dati personali la web agency trasferisce questi dati personali in un Paese che non appartiene all'Unione europea, di questa circostanza bisogna darne menzione nel Registro dei trattamenti.
Il caso più frequente è quando vengono utilizzati tool che conservano dati personali su server allocati in Paesi extra-UE.
In questa sezione del generatore si devono indicare
il modo con cui la web agency protegge i dati personali degli utenti-clienti del proprio cliente.
E' possibile scegliere tra molte opzioni. Ovviamente, se non si dovesse trovare una o più opzioni riferite al proprio caso è sempre possibile contattarci per farla inserire.
Il tema privacy è sempre quello connesso alla protezione di dati personali. Eventuali misure di sicurezza non riferibili alla protezione di dati personali sono irrilevanti ai fini della generazione del Registro dei trattamenti.
Ad esempio, le misure di protezione di un locale (es. i bagni) che non contiene dati personali non devono essere indicate nel Registro dei trattamenti.
La web agency deve generare un Registro dei trattamenti per Responsabile del trattamento con riferimento a ogni cliente per il quale tratta dati personali.
Per questo motivo il template del Registro dei trattamenti è presente in ogni account. Così la web agency può accedere all'account del proprio cliente e generare il documento. Il Registro sarà conservato presso l'account del cliente, sui server di LegalBlink (server gestiti da AWS in Italia).
Ogni modifica al Registro dei trattamenti viene salvata con la data di modifica. In questo modo
Ovviamente è possibile copiare il documento e salvarlo in locale.
Il template riflette il modello proposto dal Garante Privacy nelle proprie FAQ. Ciò non toglie ovviamente che si possa utilizzare il modello di Registro per il Titolare del trattamento, quale prevede una descrizione più dettagliata dei trattamenti.
Per sapere come generare questo Registro, puoi consultare la guida.
Come abbiamo visto, il Registro dei trattamenti deve essere redatto per ogni cliente per il quale la web agency tratta i dati personali.
Pertanto, il Registro di riferimento deve essere modificato quando anche una sola delle voci indicate nel documento subisce una modifica.
Parimenti, il documento deve essere aggiornato quando:
- vengono effettuate nuove modalità di trattamento dei dati personali
- vengono applicate nuove misure di sicurezza
- i dati vengono collocati su server in Paesi non appartenenti all'Unione europea
Come già detto, se utilizzi LegalBlink per generare il Registro dei trattamenti la modifica viene salvata in automatico dal sistema, con la relativa data di modifica. La versione aggiornata del Registro sarà quella che verrà sempre mostrata per ultima.
Contattaci per email. I nostri consulenti legali e avvocati esperti in privacy sono a tua disposizione per generare il Registro dei trattamenti per la tua web agency.
Team LegalBlink