L’INFLUENCER CON CUI COLLABORA LA TUA AZIENDA È GDPR COMPLIANT?

Hai la certezza che l'influencer con cui collabora la tua azienda sia GDPR compliance?
Sai che se manca il rispetto delle normative relative a GDPR e privacy, la tua azienda rischia multe e sanzioni?
Scopri nell'articolo qual è il comportamento corretto che ogni influencer deve rispettare per mantenere la compliance al GDPR.

L’ATTIVITÀ DEGLI INFLUENCER E I DATI PERSONALI

Il fenomeno degli influencer è ormai da tempo in forte espansione, ma spesso non si fa realmente caso ai danni che derivano dal successo di queste giovanissime star.

Il mondo digitale punta, tramite i giovani, a pubblicizzare prodotti e/o servizi e lo fa con maggiore velocità andando a incuriosire chi sta dall’altra parte del dispositivo calcolando e analizzando le preferenze di ogni singolo utente.

In particolare, una delle mode degli ultimi anni, riguarda la presenza dei bambini sui canali social che in molti fanno sì che dalla loro pubblicazione ne nasca una vera e proprie opportunità lavorativa.

Infatti, c’è da dire, che oggi aprendo un qualsiasi social network quasi tutti, se non la totalità delle persone, dedicano il proprio tempo alla visione di foto o video che riguardano adulti, bambini e indirettamente tutto ciò che sta dietro le loro sponsorizzazioni.

Questo elevato numero di informazioni personali, come le foto per l’appunto, ma anche video, dati anagrafici e di geolocalizzazione, che vengono costantemente pubblicate e condivise sui social network comporta su queste stesse piattaforme siano presenti un importante quantità di trattamenti di dati per molteplici finalità.

Tali trattamenti non sono effettuati solo dai social messi a disposizione per gli utenti, quali ad esempio Facebook ecc., ma anche da parti terze che possono essere tanto gli sviluppatori che vanno a realizzare applicazioni per il social stesso, tanto da professionisti di ogni settore che sfruttano l’operatività del social per potenziare le loro offerte tramite attività di marketing e comunicazione digitale al fine di interagire in maniera più diretta con il consumatore.

È quasi scontato, anche se non troppo, affermare dunque che vi sia un trattamento dei dati personali.

Ai sensi del GDPR, infatti, per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile, come ad esempio generalità anagrafiche, foto che la ritraggono, dati della sua ubicazione ecc. e tali dati sono sottoposti ad un vero e proprio trattamento che, sempre facendo riferimento a quanto disposto dal GDPR, consiste in qualsiasi operazione compiuta su quei dati quali la raccolta, la consultazione, registrazione o cancellazione degli stessi.

Ad esempio, se parliamo di Facebook possiamo dire che l’amministratore della pagina può già da sé consultare tutto l’elenco degli utenti iscritti e quindi il loro nome, cognome e foto, nonché consultare ed esportare gli insights della pagina per ottenere quei dati statistici sui visitatori della pagina stessa e sulle azioni compiute dagli utenti.

L’INFLUENCER E LE INFORMATIVE AI SENSI DELL’ART. 13 DEL GDPR

Visto quanto già dedotto è chiaro che pensare che il trattamento dei dati su Facebook, ma anche sugli altri social network, sia notizia e responsabilità solo dello sviluppatore della piattaforma è decisamente errato.

Sul tema è da tempo ormai già intervenuta la Corte di Giustizia dell’Unione europea, la quale ha dichiaratamente espresso che l’amministratore di una pagina Facebook è contitolare del trattamento dei dati personali degli utenti che la visitano insieme a Facebook stessa, in quanto entrambi determinano finalità e mezzi del trattamento.

Questo significa che l’amministratore della pagina è sempre tenuto a rispettare gli obblighi imposti dal GDPR ai sensi dell’art. 13, il quale pone in capo al titolare del trattamento l’obbligo di informazione agli interessati, con riferimento alle finalità per le quali quei determinati dati vengono trattati oltre che la durata del trattamento stesso.

L’influencer, dunque, nello svolgimento della sua attività sul web ha l’obbligo di informare i suoi follower circa tutte le informazioni individuate dall’art. 13 del GDPR tra cui: identità e i dati di contatto del titolare del trattamento, nel caso di specie quello dell’influencer; le finalità del trattamento per cui vengono trattati i dati personali nonché la base giuridica del trattamento ecc. Sarebbe quindi necessario il consenso al trattamento dei dati personali da parte dei follower.

Quando poi si parla di download di tutorial finalizzati al marketing, ove l’influencer opera nell’interesse di utilizzare le informazioni acquisite per poter inviare pubblicità o altro, dovrà ottenere il consenso espresso per tale finalità da parte dei follower, che dovranno avere in qualsiasi momento il diritto di esercitare il recesso, l’opposizione ecc… .

Distinta poi da questa suddetta finalità è l’utilizzo dei dati personali dei follower ai fini di marketing, per scopi di profilazione, al fine di trasmetterli alle aziende terze delle quali i prodotti/servizi sono per l’appunto sponsorizzati dall’influencer.

Qui è necessario uno specifico consenso informato, espresso, attivamente reso e libero.

COSA SUCCEDE QUANDO UNA AZIENDA SI AFFIDA ALLE AGENZIE DI MARKETING?

L’inquadramento dell’attività svolta dal social media manager ai fini del GDPR, dipende sostanzialmente dall’attività che va concretamente a svolgere, per conto di chi e in quale modo la svolge.

Sappiamo che il GDPR prevede due figure coinvolte nel trattamento dei dati, abbiamo il titolare del trattamento, necessariamente presente, cioè la persona fisica e giuridica che determina le finalità e i mezzi del trattamento, ed eventualmente il responsabile del trattamento, ovverosia il soggetto che tratta i dati per conto del titolare e secondo le sue indicazioni.

Quindi qualora la gestione del social network aziendali sia affidata a persone fisiche che operano all’interno dell’assetto organizzativo del titolare, quali a titolo di esempio i dipendenti, questi operano come designati al trattamento, autorizzati dal titolare stesso a svolgere specifici compiti e funzioni.

Quando, invece, la gestione dei canali social, come spesso avviene, è affidata a social media manager o web agency, che sono invece soggetti esterni all’assetto organizzativo del titolare, questi opereranno come responsabili del trattamento, ai sensi dell’art. 28 del GDPR, tutte le volte in cui lo svolgimento delle attività affidate comporterà trattamenti di dati personali.

Qualora quindi la gestione della pagina o dei profili social, invece di essere eseguita direttamente dal titolare o suoi designati, è affidata a soggetti esterni, quali social media manager o web agency, che operano come consulenti, anche per loro è stabilito un ruolo ben preciso che assolva a determinati obblighi ai fini del trattamento dei dati.

In questo senso le agenzie di marketing assumono, infatti, la qualità di responsabile del trattamento.

Ponendo il caso che un’influencer o un’impresa si avvalgano di un’agenzia di marketing che svolga per loro conto la rielaborazione dei dati dei follower, nonché degli utenti in generale, al fine di creare una statistica anonima di dati aggregati e comprendere così da quale target è maggiormente seguito l’influencer stesso o proprio il sito, l’agenzia dovrà stipulare direttamente con l’influencer o con l’impresa un contratto o altro atto giuridico che contenga tutto quanto richiesto dall’art. 28 del Regolamento n. 679/2016.

Nel trattare i dati per conto del titolare, il social media manager deve inoltre sempre attenersi alle indicazioni dettategli dal titolare del trattamento dei dati.

Le istruzioni devono, infatti, essere riportate sempre per iscritto così da individuare in maniera dettagliata le attività che devono essere effettivamente dal responsabile, questo perché a fronte di una eventuale violazione delle linee guida fornite sulla gestione dei dati a rispondere sarà, oltre al titolare, anche il responsabile del trattamento.

Non sempre il social media manager si ritrova a trattare dei dati personali.

In questo caso la sua operatività è limitata alla mera consulenza strategica sull’uso dei social network e quindi in questo caso non è necessaria la nomina quale responsabile.

COME ESSERE COMPLIANCE AI SENSI DEL GDPR

Chi si occupa di social media marketing deve sempre tenere in considerazione la compliance alla normativa sulla protezione dei dati, e questo per svariati motivi; le norme in materia sono infatti obbligatorie e il mancato rispetto delle stesse comporta l’applicazione di sanzioni amministrative e anche penali.

Di conseguenza, avendo chiarito in precedenza quale figura riveste il social media manager al momento del trattamento dei dati, ovvero responsabile del trattamento; avendo anche specificato come il responsabile del trattamento altro non risponde che al titolare del trattamento per il quale svolge il suo lavoro, ai sensi dell’art. 28 GDPR, possiamo affermare che qualora un’azienda e/o impresa decida di affidarsi ad influencer, così come anche ad agenzie di marketing, deve verificarne sempre le competenze in materia GDPR.

Ciò significa che un social media manager o web agency deve poter dimostrare: di aver implementato un sistema di compliance alla normativa privacy; che abbia una conoscenza di base della materia e che sia in grado di assicurare un trattamento dei dati nel rispetto dei principi previsti dal regolamento europeo ponendo particolare attenzione alla sicurezza degli stessi per diversi ordini di ragione.

In conclusione, l’influencer, in base al modo e al contesto in cui opera, dovrà considerare i rischi connessi ai trattamenti di dati da lui effettuati e ai sistemi informatici che impiega, adottando di conseguenza le giuste e adeguate misure di sicurezza per evitare possibili violazioni sui dati da lui gestiti e che potrebbero incidere negativamente sui diritti e le libertà delle persone.

Il GDPR fornisce quelle che sono le regole generali proprio in virtù del principio di responsabilizzazione e, considerata la mole di dati personali che un influencer o una società di digital marketing può arrivare a trattare, è opportuno prendere dimestichezza e acquisire consapevolezza sull’argomento, in virtù del fatto che un titolare del trattamento, quale può essere la tua azienda, che violi il GDPR può subire pesanti sanzioni oltre che essere chiamato dagli interessati, e quindi le persone cui i dati si riferiscono, a rispondere di risarcimento del danno in caso di torti subiti a causa di una violazione sui loro dati personali.

Come probabilmente ti sarà apparso leggendo questo articolo, affidarsi ad un influnecer o ad un agenzia di marketing non in regola con il GDPR, può comportare gravi rischi per la tua azienda.

Se vuoi essere sicuro di rispettare a pieno quanto prescritto dalla normativa reltiva a GDPR e privacy, contattaci subito.

Scrivici all’indirizzo di posta elettronica info@abinnovationconsulting.com, oppure compila il modulo seguente.