Privacy per agenzie e WordPress sviluppatori

Nils Möllers Aggiornato il 21.10.2020
5 Min.
Privacy per le agenzie
Ultimo aggiornamento il 21.10.2020

Lo sviluppo del mercato digitale non è un problema nuovo per le aziende e i lavoratori autonomi. Purtroppo, lo stesso non si può necessariamente dire della protezione dei dati per le agenzie. Che cosa devono considerare le agenzie e i liberi professionisti in termini di legge sulla protezione dei dati? E per quanto riguarda WordPress l'elaborazione degli ordini? Una panoramica.

Il regolamento di base per la protezione dei dati (RGPD) è in vigore da quasi 2 anni - impiega anche tutti coloro che WordPress lavorano nell'ambiente di . Tuttavia, il tema della protezione dei dati esiste dal 1971 e vi è una crescente tensione tra la protezione dei dati e la digitalizzazione responsabile dei processi aziendali. È quindi tanto più importante conoscere le regole centrali.

Nota: Questo articolo di base non sostituisce la consulenza legale. Per verificare le vostre misure e il vostro sito web, dovreste sempre contattare uno studio legale specializzato in diritto online e protezione dei dati.

Quando un'agenzia deve nominare un responsabile della protezione dei dati?

Ci sono state accese discussioni in passato. Tuttavia, possiamo ora stabilire i seguenti punti chiave per le italiani agenzie:

  1. L'Agenzia impiega più di 20 dipendenti che trattano i dati personali
  2. L'Agenzia effettua le operazioni di trattamento Valutazione d'impatto sulla protezione dei dati devono essere valutati
  3. L'agenzia è attiva nel campo della ricerca di mercato o di opinione 
  4. L'Agenzia, in particolare, elabora dati personali sensibili

Con il desiderio di ridurre la burocrazia, i gruppi parlamentari CDU/CSU avevano introdotto nella consultazione legislativa la richiesta di aumentare a 50 persone il limite dell'obbligo di nominare un responsabile della protezione dei dati aziendali (art. 38 BDSG). Infine, a metà del 2019 è stato raggiunto un accordo su un limite di 20 dipendenti.

La questione fondamentale in questo caso è se l'innalzamento del limite sia stato ragionevole, poiché la protezione dei dati deve essere rispettata da ogni azienda. Anche una compagnia di una sola persona.

Cosa deve essere osservato in termini di legge sulla protezione dei dati per i software delle agenzie?

Molte agenzie lavorano con software di agenzia, sistemi di ticketing o di gestione del flusso di lavoro per automatizzare i processi e mantenere una visione d'insieme. In genere, queste soluzioni software trattano i dati personali dei clienti e di altri partner. Pertanto, anche in questo caso si applicano le norme sulla protezione dei dati.

In linea di principio, le agenzie devono garantire un livello di protezione adeguato per i prodotti software importati. Oltre a un concetto di autorizzazione e di cancellazione, inoltre misure tecnico-organizzative (TOM) ai sensi dell'articolo 32RGPD, al fine di utilizzare il software in modo conforme alla protezione dei dati.

Si deve tener conto dell'adeguatezza economica. Ad esempio, i TOM di una piccola agenzia non possono, per motivi economici, soddisfare in tutti i settori gli stessi standard delle misure di una grande impresa.

Nella maggior parte dei casi, questo software è un servizio cloud. Questi sono per esempio:

  • lunedì.com
  • Google Suite o
  • Atlassian Jira Service Desk

per citarne solo alcuni. L'elaborazione del contratto deve essere definitivamente conclusa con questi fornitori, in quanto i dati personali sono trattati dagli strumenti secondo le istruzioni.

Google RGPD
Google fornisce le proprie risorse per i propri servizi cloud

Quando si conclude l'elaborazione di un ordine (prima dell'inizio della cooperazione), le agenzie o gli sviluppatori devono misure tecniche e organizzative del servizio.

Il contratto di elaborazione dell'ordine dovrebbe contenere, tra l'altro, anche i seguenti argomenti: assistenza nell'affermazione dei diritti degli interessati, standard di qualità, eventuali subappaltatori.

Lo WordPress sviluppo è un'elaborazione degli ordini?

Molte agenzie si disperano nel valutare se stanno elaborando i dati in qualità di incaricati del trattamento per conto di un cliente o come (auto)responsabile. La valutazione è infatti molto semplice: il responsabile del trattamento è la persona che determina le finalità e le modalità del trattamento dei dati personali (articolo 4, comma 7RGPD). D'altro canto, un'agenzia agisce in qualità di incaricato del trattamento ai sensi dell'articolo 4, paragrafo 8RGPD, quando tratta dati personali per conto del committente.

Ma il problema è che le agenzie e i liberi professionisti spesso offrono servizi integrati. In questi casi, non è sempre possibile verificare molto chiaramente se non vi sia un misto di responsabilità. L'opinione prevalente dei responsabili della protezione dei dati è attualmente che, in caso di dubbio, l'elaborazione di un ordine viene completata. Per inciso, ciò pone l'agenzia in una posizione migliore in termini di responsabilità rispetto all'assenza di un contratto per l'elaborazione commissionata.

Cosa si deve considerare quando si WordPress ospita?

Anche il web hosting fa parte della protezione dei dati per le agenzie. Oltre alla disponibilità di un certificati SSL è molto importante che l'hosting avvenga in un centro dati certificato. Ad esempio, ISO/EN 27001, perché qui si applica lo stesso requisito dell'articolo 32RGPD: le agenzie e gli sviluppatori devono garantire la disponibilità, l'integrità e la riservatezza attraverso un adeguato livello di sicurezza.

Oltre alle misure di prevenzione, un'adeguata Strategia di backup può essere implementato. In pratica, i backup incrementali giornalieri e i backup completi settimanali, che vengono memorizzati fino a 90 giorni, si sono dimostrati efficaci.

Strategia di backup
I backup automatici aumentano la sicurezza

Tuttavia, i backup non devono essere memorizzati in un unico luogo. Di norma, i centri dati offrono la possibilità di accedere a diversi compartimenti antincendio.

Cosa deve soddisfare una WordPress pagina per la protezione dei dati?

In linea di principio, i siti web devono rispettare i principi della normativa di base sulla protezione dei dati. Pertanto si applica:

  • Il principio della minimizzazione dei dati
  • Il rispetto delle basi giuridiche per il trattamento dei dati personali
  • Lo stesso vale per il rispetto di uno scopo ragionevole del trattamento

Tradizionalmente, ogni sito web dovrebbe avere una dichiarazione sulla privacy completa e accurata per soddisfare i requisiti di informazione.

WordPress  Pagina sulla privacy
Imposta la pagina dell'informativa sulla privacy inWordPress

Inoltre, devono essere stabilite le basi legali per le varie operazioni di trattamento, in particolare per quanto riguarda l'utilizzo di operazioni di trattamento di terzicookie. Questo requisito può essere implementato molto facilmente con un Cookie Consent Manager. A tale proposito, occorre considerare i seguenti aspettiWordPress :

Allo stesso modo, per determinate operazioni di trattamento (registrazioni, moduli di contatto, ecc.) Dichiarazioni di consenso che soddisfano le condizioni di cui all'articolo 7RGPD.

WordPress  Plugin Direzione
Pratico: Pluginse aggiornare Themescentralmente nel backend di hosting

Protezione dei dati per le agenzie: quando è necessario il consenso?

In linea di principio, il regolamento di base sulla protezione dei dati va inteso come un divieto soggetto ad autorizzazione. Ciò significa che in primo luogo non possono essere trattati dati personali. Tuttavia, poiché i dati personali devono spesso essere trattati, il legislatore europeo ha definito i cosiddetti reati basati sul consenso - in Articolo 6, primo comma illuminato da a a f RGPD.

RGPD Testo
Il testo del RGPDsito eur-lex.europa.eu

Il consenso è sempre richiesto se uno dei reati consentiti dall'articolo 6, comma 1, lettere da b) a f), non RGPDè rilevante. Tale consenso deve soddisfare le condizioni di Articolo 7 soddisfare. Tra le altre cose, specifica:

  • "Se il trattamento si basa sul consenso, il responsabile del trattamento deve poter dimostrare che l'interessato ha acconsentito al trattamento dei suoi dati personali
  • "L'interessato ha il diritto di ritirare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento effettuato sulla base del consenso fino alla revoca. L'interessato deve essere informato prima di dare il consenso. La revoca del consenso è semplice come la concessione del consenso".

Il consenso deve quindi essere sempre informato, trasparente, verificabile, volontario e revocabile.

Inoltre c'è un cosiddetto Considerando 32 al RGPD. esempi in esso riportati hanno lo scopo di facilitare la redazione di un consenso per la pratica commerciale. Tuttavia, le soluzioni sviluppate internamente - così come le soluzioni associate WordPress Plugins- dovrebbero essere regolarmente controllate legalmente per verificarne l'ammissibilità, ad esempio da un adeguato studio legale.

Domande sulla protezione dei dati per le agenzie

Avete domande sulla protezione dei dati per agenzie e liberi professionisti? Si prega di utilizzare la funzione di commento. Volete essere informati sui nuovi articoli sul tema del diritto online? Poi seguiteci su Twitter, Facebook o nella nostra Newsletter.

Nils Möllers è il fondatore e amministratore delegato della Keyed GmbH della regione del Münsterland - in qualità di responsabile certificato della protezione dei dati e di esperto per la protezione dei dati nel marketing, nei gruppi aziendali e nei sistemi di franchising. Nils Möllers fornisce consulenza anche alle aziende nel settore della sicurezza informatica, accompagnando la ISO27001.

Articoli correlati

Commenti su questo articolo

Scrivi un commento

Il tuo indirizzo mail non sarà pubblicato. I campi obbligatori sono contrassegnati con * marcato.