Privacy per agenzie e WordPress sviluppatori

Nils Möllers Ultimo aggiornamento 21.10.2020
5 Min.
Privacy per le agenzie
Ultimo aggiornamento 21.10.2020

Lo sviluppo del mercato digitale non è un problema nuovo per le aziende e i lavoratori autonomi. Purtroppo, lo stesso non si può necessariamente dire della protezione dei dati per le agenzie. Che cosa devono considerare le agenzie e i liberi professionisti in termini di legge sulla protezione dei dati? E per quanto riguarda WordPress l'elaborazione degli ordini? Una panoramica.

Il regolamento di base per la protezione dei dati (RGPD) è in vigore da quasi 2 anni - impiega anche tutti coloro che WordPress lavorano nell'ambiente di . Tuttavia, il tema della protezione dei dati esiste dal 1971 e vi è una crescente tensione tra la protezione dei dati e la digitalizzazione responsabile dei processi aziendali. È quindi tanto più importante conoscere le regole centrali.

Nota: questo articolo di base non sostituisce la consulenza legale. Per rivedere le tue misure e il tuo sito web, dovresti sempre contattare uno studio legale professionale per il diritto online e la protezione dei dati.

Quando un'agenzia deve nominare un responsabile della protezione dei dati?

Ci sono state accese discussioni in passato. Tuttavia, possiamo ora stabilire i seguenti punti chiave per le italiani agenzie:

  1. L'Agenzia impiega più di 20 membri del personale che trattano dati personali.
  2. L'Agenzia effettua trattamenti che devono essere valutati da una valutazione d 'impatto sulla protezione dei dati.
  3. L'agenzia è attiva nel campo delle ricerche di mercato o di opinione 
  4. L'Agenzia tratta dati personaliparticolarmente sensibili

Con il desiderio di ridurre la burocrazia, i gruppi parlamentari CDU/CSU avevano chiesto che il limite dell'obbligo di nomina di un responsabile della protezione dei dati aziendali (sezione 38 BDSG) fosse aumentato a 50 persone. Alla fine, l'accordo è stato raggiunto a metà 2019 su un limite di 20 dipendenti.

Fondamentalmente, qui ci si chiede se l'innalzamento del limite sia stato ragionevole, dato che la protezione dei dati deve essere rispettata da ogni azienda. Anche da un'azienda di una sola persona.

Cosa bisogna considerare con il software dell'agenzia in termini di protezione dei dati?

Molte agenzie lavorano con software di agenzia, sistemi di ticket o gestione del flusso di lavoro per automatizzare i processi e mantenere una visione d'insieme. Tipicamente, i dati personali dei clienti e di altri partner sono trattati in queste soluzioni software. Pertanto, le norme sulla protezione dei dati si applicano anche qui.

In linea di principio, le agenzie devono garantire che esista un livello adeguato di protezione per i prodotti software introdotti. Oltre a un concetto di autorizzazione e di cancellazione, devono essere rispettate ulteriori misure tecnico-organizzative (TOM) secondo l'articolo 32 RGPD per poter utilizzare il rispettivo software in modo conforme alla protezione dei dati.

L'adeguatezza economica deve essere presa in considerazione. Per esempio, il TOM di una piccola agenzia non può soddisfare gli stessi standard in tutte le aree delle misure di una grande società a causa di aspetti economici.

Nella maggior parte dei casi, questo software è un servizio cloud. Questi sono per esempio:

  • monday.com.
  • Google Suite o
  • Atlassian Jira Service Desk

per citarne solo alcuni. Un accordo di trattamento contrattuale deve assolutamente essere concluso con questi fornitori, poiché gli strumenti elaborano i dati personali secondo le istruzioni.

Google RGPD
Google fornisce le proprie risorse per i suoi servizi cloud

Come parte della conclusione di un contratto di trattamento (prima dell'inizio della cooperazione) le agenzie o gli sviluppatori devono controllare queste misure tecniche e organizzative del servizio.

Il contratto di elaborazione dell'ordine deve contenere, tra l'altro, i seguenti argomenti: Servizi di supporto in caso di rivendicazioni dei diritti degli interessati, standard di qualità, esistenza di eventuali subappaltatori.

WordPress è l'elaborazione dell'ordine di sviluppo?

Molte agenzie si disperano nel valutare se trattano i dati come processori o come controllori (propri). In realtà, la valutazione è abbastanza semplice: il responsabile del trattamento è colui che determina le finalità e i mezzi del trattamento dei dati personali (articolo 4(7) RGPD). D'altra parte, un'agenzia agisce come incaricato del trattamento secondo l'articolo 4(8) RGPD se tratta dati personali per conto del cliente.

Ma il problema è che le agenzie e anche i freelance spesso offrono servizi olistici. In questo caso, non è sempre possibile verificare chiaramente se c'è una mescolanza di responsabilità. L'opinione prevalente dei commissari per la protezione dei dati è attualmente che, in caso di dubbio, il trattamento su commissione è concluso. Per inciso, questo mette l'agenzia in una posizione migliore in termini di responsabilità che senza un contratto sull'elaborazione commissionata.

Cosa si dovrebbe cercare in WordPress hosting?

Il tema della protezione dei dati per le agenzie comprende anche il web hosting. Oltre alla disponibilità di un certificato SSL, è molto importante che l'hosting avvenga in un centro dati certificato, per esempio, secondo ISO/EN 27001. Per esempio, secondo ISO/EN 27001, perché qui si applica lo stesso requisito dell'articolo 32 RGPD: le agenzie e gli sviluppatori devono garantire la disponibilità, l'integrità e la riservatezza attraverso un adeguato livello di sicurezza.

Oltre alle misure preventive, si dovrebbe anche implementare un'adeguata strategia di backup. In pratica, i backup incrementali giornalieri e i backup completi settimanali, che sono conservati per un massimo di 90 giorni, hanno dato buoni risultati.

strategia di backup
I backup automatici aumentano la sicurezza

Tuttavia, i backup non dovrebbero essere conservati in una sola posizione. Di norma, i centri dati offrono la possibilità di ripiegare su diversi compartimenti antincendio.

Cosa deve rispettare un sito WordPress per la protezione dei dati?

In linea di principio, i siti web devono rispettare i principi del regolamento generale sulla protezione dei dati. Quindi applicare:

  • Il principio di minimizzazione dei dati
  • Il rispetto delle basi legali per il trattamento dei dati personali
  • Allo stesso modo, l'osservanza di uno scopo appropriato del trattamento

Classicamente, ogni sito web dovrebbe avere una politica sulla privacy completa e corretta, al fine di rispettare i requisiti di informazione.

WordPress  Pagina sulla privacy
Imposta la pagina della politica sulla privacy in WordPress

Inoltre, devono essere create le basi legali per le varie operazioni di trattamento, soprattutto per quanto riguarda l'uso di fornitori terzicookie. Questo requisito può essere implementato molto facilmente con un Cookie Consent Manager. Per quanto riguarda WordPress , bisogna considerare i seguenti aspetti:

Allo stesso modo, per alcune operazioni di trattamento (registrazioni, moduli di contatto, ecc.), devono essere redatti moduli di consenso che rispettino le condizioni previste dall'articolo 7 RGPD .

WordPress  Plugin  Gestione
Pratico: aggiornare Plugins e Themes centralmente nel backend di hosting

Protezione dei dati per le agenzie: quando serve il consenso?

Fondamentalmente, il regolamento generale sulla protezione dei dati deve essere inteso come un divieto con permesso. Questo significa che prima di tutto nessun dato personale può essere trattato. Tuttavia, poiché i dati personali devono spesso essere trattati, il legislatore europeo ha definito i cosiddetti criteri di autorizzazione - nell'articolo 6 (1) da a a f RGPD.

RGPD Testo
Il testo di RGPD su eur-lex.europa.eu

Il consenso è sempre richiesto se una delle circostanze ammissibili ai sensi dell'articolo 6 (1) da b) a f) RGPD non è rilevante. Tale consenso deve soddisfare le condizioni di cui all'articolo 7. Tra le altre cose, afferma:

  • "Quando il trattamento si basa sul consenso, il responsabile del trattamento deve essere in grado di dimostrare che l'interessato ha acconsentito al trattamento dei suoi dati personali"
  • "La persona interessata ha il diritto di ritirare il suo consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento effettuato sulla base del consenso fino alla revoca. La persona interessata sarà informata prima di dare il suo consenso. Il ritiro del consenso deve essere semplice come dare il consenso".

Quindi, il consenso deve essere sempre informato, trasparente, verificabile, volontario e revocabile.

Inoltre, c'è un cosiddetto considerando 32 a RGPD. Gli esempi citati sono destinati a facilitare la progettazione del consenso per la pratica commerciale. Tuttavia, le soluzioni sviluppate in proprio - così come l'associato WordPress Plugins - dovrebbero essere regolarmente esaminate legalmente per la loro ammissibilità, per esempio da uno studio legale adatto.

Domande sulla protezione dei dati per le agenzie

Avete domande sulla protezione dei dati per agenzie e freelance? Sentitevi liberi di usare la funzione di commento. Vuoi essere informato sui nuovi articoli sul tema del diritto online? Allora seguici su Twitter, Facebook o tramite la nostra newsletter.

Nils Möllers è il fondatore e l'amministratore delegato della Keyed GmbH di Münsterland - come responsabile certificato della protezione dei dati ed esperto di protezione dei dati nel marketing, nei gruppi aziendali e nei sistemi di franchising. Nils Möllers consiglia anche le aziende nell'area della sicurezza IT, accompagnando la ISO27001.

Articoli correlati

Commenti su questo articolo

Scrivi un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati con *.