02.04.20
aggiornato al 07.04.22
Nils Möllers
0 commenti
Indice dei contenuti
Privacy per le agenzie

Protezione dei dati per agenzie e sviluppatori WordPress

Lo sviluppo del mercato digitale non è un problema nuovo per le aziende e i lavoratori autonomi. Purtroppo, lo stesso non si può necessariamente dire della privacy per le agenzie. Che cosa devono considerare le agenzie e i liberi professionisti in termini di legge sulla privacy? E per quanto riguarda WordPress l'elaborazione degli ordini? Una panoramica.

Il regolamento di base per la privacy (RGPD) è in vigore da quasi 2 anni - impiega anche tutti coloro che WordPress lavorano nell'ambiente di . Tuttavia, il tema della privacy esiste dal 1971 e vi è una crescente tensione tra la privacy e la digitalizzazione responsabile dei processi aziendali. È quindi tanto più importante conoscere le regole centrali.

Nota: questo articolo di base non sostituisce la consulenza legale. Per rivedere le tue misure e il tuo sito web, dovresti sempre rivolgerti a uno studio legale professionale per il diritto online e la protezione dei dati.

Quando un'agenzia deve nominare un responsabile della protezione dei dati?

Ci sono state accese discussioni in passato. Tuttavia, possiamo ora stabilire i seguenti punti chiave per le italiani agenzie:

  1. L'Agenzia impiega più di 20 membri del personale che trattano dati personali.
  2. L'Agenzia effettua trattamenti che devono essere valutati da una valutazione d 'impatto sulla privacy.
  3. L'agenzia opera nel campo delle ricerche di mercato o di opinione. 
  4. L'Agenzia tratta dati personaliparticolarmente sensibili

Con il desiderio di ridurre la burocrazia, i gruppi parlamentari CDU/CSU avevano chiesto che il limite dell'obbligo di nomina di un responsabile della privacy aziendali (sezione 38 BDSG) fosse aumentato a 50 persone. Alla fine, l'accordo è stato raggiunto a metà 2019 su un limite di 20 dipendenti.

Fondamentalmente, qui ci si chiede se l'innalzamento del limite sia stato ragionevole, dato che la privacy deve essere rispettata da ogni azienda. Anche da un'azienda di una sola persona.

Cosa bisogna considerare con il software dell'agenzia in termini di privacy?

Molte agenzie lavorano con software di agenzia, sistemi di ticket o gestione dei flussi di lavoro per automatizzare i processi e mantenere una visione d'insieme. In genere, i dati personali dei clienti e di altri partner vengono elaborati in queste soluzioni software. Pertanto, anche in questo caso si applicano le norme sulla protezione dei dati.

In linea di principio, le agenzie devono garantire che esista un livello adeguato di protezione per i prodotti software introdotti. Oltre a un concetto di autorizzazione e di cancellazione, devono essere rispettate ulteriori misure tecnico-organizzative (TOM) secondo l'articolo 32 RGPD per poter utilizzare il rispettivo software in modo conforme alla privacy.

È necessario prendere in considerazione l'adeguatezza economica. Ad esempio, il TOM di un'agenzia di piccole dimensioni non può soddisfare gli stessi standard in tutte le aree rispetto alle misure di una grande azienda a causa di aspetti economici.

Nella maggior parte dei casi, questo software è un servizio cloud. Questi sono, ad esempio, i seguenti:

  • monday.com.
  • Google Suite o
  • Atlassian Jira Service Desk

per citarne solo alcuni. Un accordo di trattamento contrattuale deve assolutamente essere concluso con questi fornitori, poiché gli strumenti elaborano i dati personali secondo le istruzioni.

Google RGPD
Google fornisce le proprie risorse per i suoi servizi cloud

Come parte della conclusione di un contratto di trattamento (prima dell'inizio della cooperazione) le agenzie o gli sviluppatori devono controllare queste misure tecniche e organizzative del servizio.

Il contratto di elaborazione dell'ordine deve contenere, tra l'altro, i seguenti argomenti: Servizi di supporto in caso di rivendicazioni dei diritti degli interessati, standard di qualità, esistenza di eventuali subappaltatori.

WordPress è l'elaborazione dell'ordine di sviluppo?

Molte agenzie si disperano nel valutare se trattano i dati come processori o come controllori (propri). In realtà, la valutazione è abbastanza semplice: il responsabile del trattamento è colui che determina le finalità e i mezzi del trattamento dei dati personali (articolo 4(7) RGPD). D'altra parte, un'agenzia agisce come incaricato del trattamento secondo l'articolo 4(8) RGPD se tratta dati personali per conto del cliente.

Ma il problema è che le agenzie e i freelance spesso offrono servizi olistici. In questo caso, non è sempre possibile verificare chiaramente se c'è una commistione di responsabilità. Attualmente l'opinione prevalente dei commissari per la protezione dei dati è che, in caso di dubbio, il trattamento commissionato sia concluso. Tra l'altro, in questo modo l'agenzia si trova in una posizione migliore in termini di responsabilità rispetto a chi non ha stipulato un contratto per l'elaborazione su commissione.

Cosa si dovrebbe cercare in WordPress hosting?

Il tema della privacy per le agenzie comprende anche il web hosting. Oltre alla disponibilità di un certificato SSL, è molto importante che l'hosting avvenga in un centro dati certificato, per esempio, secondo ISO/EN 27001. Per esempio, secondo ISO/EN 27001, perché qui si applica lo stesso requisito dell'articolo 32 RGPD: le agenzie e gli sviluppatori devono garantire la disponibilità, l'integrità e la riservatezza attraverso un adeguato livello di sicurezza.

Oltre alle misure preventive, è necessario implementare una strategia di backup adeguata. In pratica, i backup incrementali giornalieri e i backup completi settimanali, che vengono conservati per un massimo di 90 giorni, si sono dimostrati efficaci.

strategia di backup
I backup automatici aumentano la sicurezza

Tuttavia, i backup non dovrebbero essere conservati in una sola posizione. Di norma, i centri dati offrono la possibilità di ripiegare su diversi compartimenti antincendio.

Cosa deve rispettare un sito WordPress per la privacy?

In linea di principio, i siti web devono rispettare i principi del regolamento generale sulla privacy. Quindi applicare:

  • Il principio della minimizzazione dei dati
  • Il rispetto delle basi giuridiche per il trattamento dei dati personali
  • Allo stesso modo, l'osservanza di una finalità appropriata del trattamento

Classicamente, ogni sito web dovrebbe avere una politica sulla privacy completa e corretta, al fine di rispettare i requisiti di informazione.

WordPress Pagina sulla privacy
Imposta la pagina della politica sulla privacy in WordPress

Inoltre, devono essere create le basi legali per le varie operazioni di trattamento, soprattutto per quanto riguarda l'uso di fornitori terzicookie. Questo requisito può essere implementato molto facilmente con un Cookie Consent Manager. Per quanto riguarda WordPress , bisogna considerare i seguenti aspetti:

Allo stesso modo, per alcune operazioni di trattamento (registrazioni, moduli di contatto, ecc.), devono essere redatti moduli di consenso che rispettino le condizioni previste dall'articolo 7 RGPD .

WordPress Plugin Gestione
Pratico: aggiornare plugin e Themes centralmente nel back end di hosting

Protezione dei dati per le agenzie: quando è necessario il consenso?

Fondamentalmente, il regolamento generale sulla privacy deve essere inteso come un divieto con permesso. Questo significa che prima di tutto nessun dato personale può essere trattato. Tuttavia, poiché i dati personali devono spesso essere trattati, il legislatore europeo ha definito i cosiddetti criteri di autorizzazione - nell'articolo 6 (1) da a a f RGPD.

RGPD Testo
Il testo di RGPD su eur-lex.europa.eu

Il consenso è sempre richiesto se una delle circostanze ammissibili ai sensi dell'articolo 6 (1) da b) a f) RGPD non è rilevante. Tale consenso deve soddisfare le condizioni di cui all'articolo 7. Tra le altre cose, afferma:

  • "Se il trattamento si basa sul consenso, il responsabile del trattamento deve essere in grado di dimostrare che l'interessato ha acconsentito al trattamento dei suoi dati personali."
  • "L'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento effettuato sulla base del consenso fino alla revoca. L'interessato deve essere informato di ciò prima di dare il consenso. La revoca del consenso deve essere semplice come il suo rilascio".

Pertanto, il consenso deve essere sempre informato, trasparente, verificabile, volontario e revocabile.

Inoltre, c'è un cosiddetto considerando 32 a RGPD. Gli esempi citati sono destinati a facilitare la progettazione del consenso per la pratica commerciale. Tuttavia, le soluzioni sviluppate in proprio - così come l'associato WordPress plugin - dovrebbero essere regolarmente esaminate legalmente per la loro ammissibilità, per esempio da uno studio legale adatto.

Domande sulla privacy per le agenzie

Hai domande sulla protezione dei dati per agenzie e freelance? Sentiti libero di utilizzare la funzione di commento. Vuoi essere informato sui nuovi articoli sul tema del diritto online? Allora seguici su Twitter, Facebook o tramite la nostra newsletter.

Ti è piaciuto l'articolo?

Con la tua valutazione ci aiuti a migliorare ancora di più i nostri contenuti. Grazie!

Nils Möllers

Nils Möllers è il fondatore e l'amministratore delegato della Keyed GmbH di Münsterland - come responsabile certificato della privacy ed esperto di privacy nel marketing, nei gruppi aziendali e nei sistemi di franchising. Nils Möllers consiglia anche le aziende nell'area della sicurezza IT, accompagnando la ISO27001.

Scrivi un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati da *.