Lo sai che un Social Media Manager è un Responsabile esterno del Trattamento Dati?
Quella del Social Media Manager (SMM), uno dei nuovi lavori nati con Internet 2.0, vale a dire l’Internet dinamico che permette agli utenti di interagire online tra di loro e con le aziende, è una figura allo stato non oggetto di una disciplina che ne delinei ambiti, compiti, qualifiche e responsabilità. Ciò non toglie che anche il SMM sia sottoposto a obblighi di legge che, purtroppo, sembra non siano sempre osservati. E le conseguenze possono essere pesanti.
Facciamo una premessa- Il GDPR, il regolamento europeo per il trattamento e la protezione dei dati personali, si applica a tutti quei soggetti che trattano dati in proprio o per conto terzi. Ad esempio, il commercialista e il consulente del lavoro trattano i dati dei clienti e dei lavoratori dei propri clienti. Seconda premessa: per dati non si intendono solo quelli identificativi di una persona ma anche quelli che possono portare alla sua identificazione. Non solo, quindi, nome e cognome, ma anche fotografie, preferenze, preferenze gastronomiche o sessuali, allergie, malattie e tutto ciò che, ai sensi della normativa europea, potrebbe portare all’identificazione di una persona (detta interessato dal Regolamento.
Ovviamente coloro che mettono a disposizione piattaforme social sono consapevoli di ciò e, pertanto, predispongono privacy policy abbastanza rigorose che lo salvaguardano; ad esempio Facebook avverte i suoi utenti che Se i contenuti e le informazioni vengono raccolti direttamente dagli utenti, il gestore della Pagina, del gruppo o dell’evento deve specificare chiaramente di essere lui (e non Facebook) l’esecutore della raccolta dei dati, fornendo agli utenti un avviso chiaro e ottenendo il consenso dell’utente per l’uso e il trattamento dei contenuti e delle informazioni raccolti. A prescindere dalla modalità di raccolta dei contenuti e delle informazioni degli utenti, il gestore della Pagina, del gruppo o dell’evento è tenuto a ottenere tutte le autorizzazioni necessarie per il riutilizzo dei contenuti e delle informazioni.”
È immaginabile la quantità e qualità di dati che, pertanto, possono passare tramite i social ai creatori di pagine e profili a coloro che li usano per promuovere attività e prodotti, organizzare eventi, manifestazioni o altro. Non solo il nome e cognome dell’utente dal quale si potrebbe risalire ad altro profilo social o ad altri dati personali e, se non nascosti, alla mail o il cellulare del profilo, ma anche informazioni sensibili. Basti immaginare chi nei commenti dichiara di partecipare ad un evento “solo se ho una scelta vegetariana” oppure non potesse partecipare “perché ho una gamba rotta.”
Di tutto ciò se ne è resa conto la Corte di Giustizia dell’Unione Europea la quale ha stabilito che l’amministratore di una pagina Facebook è contitolare del trattamento dei dati personali degli utenti che la visitano insieme a Facebook stessa, in quanto entrambi determinano finalità e mezzi del trattamento. Chissà in quanti, in tal senso, hanno predisposto un avviso sulla loro pagina su come saranno trattati i dati, sorge spontanea la domanda su che cosa deve essere fatto quando i dati sono trattati da terzi per conto del Titolare. Ergo, i Social Media manager sono coinvolti nella filiera della privacy e del trattamento dati?
La risposta è affermativa. Ovviamente dipende dalle modalità con cui il SMM ha accesso ai dati e che cosa deve fare, ma è innegabile che questa moderna figura professionale abbia a disposizione quantomeno il nome e cognome dei follower o di chi si limita a lasciare un like. Inoltre, non è improbabile che il SMM con il ruolo di editor, ha la possibilità di interagire con messaggi o commenti, visualizzare i dati di insight, gestire offerte di lavoro o altre attività che possono portare anche alla gestione di newsletter e mailing list. Ergo, tutte attività che costituiscono forma di trattamento dati che può essere svolta solo in presenza di un contratto o altro atto giuridico idoneo con il quale il Titolare del trattamento nomina il SMM Responsabile Esterno indicando ben precisi limiti (e magari le modalità di svolgimento dell’attività) al suo SMM.
Di conseguenza laddove la figura professionale sia in qualsiasi maniera inserita in una struttura organica o gerarchica (web agency o collaboratore esterno), anche i rapporti interni dovranno essere disciplinati. E, si badi bene, non possono essere usate policy standard o formulari copia-incolla; ogni attività è diversa e customizzata sulle esigenze dell’azienda o del personaggio per il quale lavora un SMM. Un politico ha bisogno di dati diversi rispetto ad un ristorante o un’azienda di riparazione cellulari).
In sintesi, al momento della conclusione di un contratto con un Social Media Manager, questi dovrà essere nominato sempre e comunque responsabile esterno del trattamento con una lettera di incarico appositamente costruita sulla base della qualità e tipologia dei dati con cui verrà in contatto e dell’attività che dovrà svolgere. Eventualmente si dovranno poi disciplinare, sempre con atto scritto, i ruoli e le responsabilità di altri soggetti (es community manager e organizzatori di eventi).
La mancanza di questa nomina scritta cosa può comportare per il Titolare e il SMM? Che verrebbe a porre in essere un’attività di trattamento dati senza autorizzazione, senza titolo e, magari, senza avere informato l’utente sui soggetti che eseguono i trattamenti, sulle modalità degli stessi e, non ultimo, l’esercizio dei suoi diritti quale Interessato. Il rischio? Una sanzione economica da parte del Garante che potrebbe essere anche a cinque zeri, oltre a una serie di altre imposizioni che possono andare dalle comunicazioni ai singoli interessati fino al divieto di trattamento dati.
Ribadiamolo. Queste sanzioni sarebbero emesse sia nei confronti del cliente che è Titolare del Trattamento, sia nei confronti del Social Media Manager che è il Responsabile Esterno.
Ecco perché ogni azienda dovrebbe affidarsi a agenzie web e Social Media Manager che, anche con l’ausilio di avvocati specializzati, sappiano come evitare queste sanzioni che ben potrebbero toccare anche i loro clienti nei confronti dei quali si assumono precise responsabilità.
Gianni Dell’Aiuto
Avvocato – Data Protector Officer