GDPR e social media in pillole
19 maggio 2021Ultimo aggiornamento 11 novembre 2024Tempo di lettura stimato: 6'
Parliamo di GDPR e social media e cerchiamo di capire quali sono le cose importanti da tenere a mente, quando usiamo i social per motivi di business. Occhio, però, che per social media non intendiamo solo i social network – Facebook, Instagram, Twitter e così via – ma anche tutti quegli strumenti che si usano per trattare dati personali in un’organizzazione aziendale. Quindi ci mettiamo dentro anche gli strumenti per gestire le newsletter, quelli per fare profilazione, quelli per gestire un e-commerce e così via.
Il GDPR si applica quando:
1) C’è un titolare - o un responsabile - che ha uno stabilimento all’interno dell’Unione Europea. Cioè si applica a qualsiasi attività che è effettiva e reale e che avviene all’interno del territorio dell’Unione Europea, indipendentemente dal fatto che il trattamento poi avvenga fuori dall’UE.
La tua azienda ha una sede all’interno dell’Unione Europea?
Si applica il GDPR, anche se poi i dati vengono trattati a Singapore.
2) Il GDPR si applica anche quando il titolare – o il responsabile - non hanno una sede all’interno dell’Unione Europea, ma tratta dati personali di interessati che sono all’interno dell’Unione Europea.
Quindi si applica a chi eroga servizi o beni anche gratuitamente e per farlo tratta, salva, legge o sposta dati personali ed anche a chi monitora utenti, ovvero fa attività di profilazione, geo-localizzazione, attività di marketing, tracciamento anche attraverso i cookie.
La tua azienda è in Kazakistan e vende anche in Europa interessati Europei?
Si applica il GDPR.
Queste 4 cose importanti da ricordare sono:
1 – La maggior parte dei social media vengono dagli Stati Uniti e quindi:
a) usano un linguaggio molto semplice e lontano dal nostro (perché sono anglosassoni);
b) hanno una concezione della privacy completamente diversa dalla nostra e così, quando andiamo a leggere i termini e le condizioni del servizio o l’informativa privacy di questi strumenti, è facile perdersi.
2 – Bisogna capire quando si applica il GDPR e se vengono fatti dei trattamenti di dati personali di cittadini europei, al di fuori dell’Unione Europea. Per esempio, alcuni social, come MailUp, che si usa per inviare le newsletter, sono in UE. Mailchimp, invece, no.
Stessa funzione, strumento simile, Paese diverso.
3 – Quali sono i soggetti che nella pratica utilizzano i social all’interno dell’azienda.
Quindi non sono tanto i soggetti previsti dal GDPR – titolare, responsabile esterno, interessato – ma, per esempio, sono i Peppino, che inviano le newsletter e le Giulia, che gestiscono la sezione lavora con noi del sito.
E quindi è importante capire chi fa cosa all’interno dell’organizzazione.
4 - La co-titolarità. Nel caso dei social media può succedere che si presenti questa situazione: un gruppo di imprese raccoglie i dati delle stesse persone e invia le newsletter, fa selezione del personale, fa delle promozioni dedicate… e visto che queste aziende comunicano tra loro e si passano questi dati, è bene che regolamentino i loro rapporti definendo se sono co-titolari o responsabili esterni.
Queste solo nel 4 cose importanti da tenere a mente.
Bene.
Quindi, i titolari del trattamento, anche nella scelta dello strumento, devono capire se questo è adeguato o meno e come vengono trattati i dati personali degli interessati.
Nel caso dei social media, come facciamo a capire se lo strumento che usiamo tratta bene i dati oppure no? Prima ancora di andare a leggere i termini e le condizioni, basta guardare la missione di questi social – il loro motto - per farci drizzare le orecchie!
La missione che il social dichiara è un buon indicatore del suo approccio al trattamento dei dati.
Perché i social hanno uno scopo e su questa base modellano anche la loro governance dal punto di vista del trattamento dei dati personali.
Prendiamo Google. Qual è la missione di Google?
È quella di organizzare le informazioni a livello mondiale e renderle universalmente accessibili. Questo cosa ci fa capire?
Ci fa capire che, se andiamo a chiedere la rimozione di qualcosa a Google, Google propenderà sempre per lasciare le informazioni in rete.
Ti si sono drizzate le orecchie?
Bene, perché poi dovrai approfondire leggendo le informative, i termini e le condizioni del servizio. Ma intanto sai già che devi stare all’occhio.
E poi mica ci sono solo i social americani.
Se dici social network pensi a Facebook, ma non esiste solo Facebook (o Instagram o Twitter).
Ci sono dei Paesi che non lo utilizzano proprio e che hanno i loro social network.
Noi siamo abituati a usare i social americani, ma quelli cinesi e quelli russi li conosciamo molto meno e adesso che, a causa del Covid, molte aziende si stanno guardando intorno per aprirsi a nuovi mercati, è importante capire quali social aprire e soprattutto dove hanno i server e qual è la loro provenienza perché, dal punto di vista della privacy e del trattamento dei dati personali, funzionano in modo diverso.
Quindi, prima di usarli, bisogna verificare.
Perché dietro al social ci sono delle aziende proprietarie ed è importante risalire alla società e a dove si trova – è fuori o dentro all’UE? - per capire qual è l’impatto sul trattamento dei dati personali.
Skype è proprietà di Microsoft. Anche LinkedIn è una piattaforma di Microsoft. WhatsApp e Instagram sono di Facebook. YouTube è di Google. Tik Tok invece è della ByteDance, che è cinese.
Social network e social media ti danno due tipi di strumenti: ci sono quelli per uso personale – Peppino ha il profilo Facebook e lo usa per seguire la squadra di calcio, pubblicare le catene di Sant’Antonio e farsi i selfie al bar – e quelli per uso aziendale. È il caso di Giulia che apre la pagina Facebook aziendale per il suo negozio di abbigliamento e fa le sponsorizzazioni per avere più clienti.
Peppino e Giulia sembra che usino lo stesso strumento in realtà dovrebbero usare due strumenti diversi.
E quali sono questi strumenti business che i social ti mettono a disposizione?
Sono, per esempio, il Pixel di Facebook, Workplace e WhatsApp Business (che sono tutti prodotti di Facebook).
Alcuni social si autonominano responsabili esterni, altri invece si dichiarano titolari autonomi. Altri ancora si dichiarano co-titolari dell’azienda che sta utilizzando la loro pagina aziendale.
Per esempio, Facebook è uno di quei social che dichiara all’interno delle proprie policy quando è responsabile e quando non lo è, in modo abbastanza chiaro.
Quasi sempre si dichiara titolare autonomo del trattamento dei dati: ti lascia una piattaforma aperta, dove sono gli utenti che creano i contenuti, sono gli utenti che interagiscono tra di loro e quindi in qualche modo è come se la responsabilità ricadesse sull’utente.
È come quando affitti un appartamento: lo dai a qualcuno che ci vive per un po’ e poi se dipinge le pareti di fucsia, i termosifoni di giallo e le porte di verde è un problema di chi subentra.
Ma in alcuni casi Facebook si dichiara responsabile. Ad esempio, è responsabile esterno nel momento in cui ti offre il servizio Workplace premium, cioè il servizio business.
E poi, può essere co-titolare: in una sentenza del 2018, la Corte di Giustizia Europea ha affrontato un caso che riguardava la gestione di Facebook Insights attraverso la gestione della pagina aziendale. Secondo la Corte, l’amministratore di una Fanpage, di una pagina aziendale, è responsabile congiunto – quindi in qualche modo co-titolare – con Facebook.
Infatti, nei termini e nelle condizioni di servizio di Facebook, quando si parla di pagina aziendale, troviamo scritto che c’è una co-titolarità.
Articolo tratto dall’intervento dell’Avvocato Francesca Bassa su RAISE Academy.
Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.