Facebook, hai pubblicato l’informativa sulla Privacy?
 

09/10/2018
Come contitolari con Facebook abbiamo il dovere di prevedere i trattamenti effettuati in questo social nella nostra informativa sulla Privacy.

Se sei passato per la nostra pagina aziendale avrai senz’altro visto il riferimento alla nostra informativa.

Vuoi metterti a norma anche tu ma non sai da dove cominciare?
No problem!

  

Anche questa volta Giuseppe Ricci, Presidente di Active121, ha chiesto il supporto all’avvocatessa Claudia Ogriseg che sta collaborando con noi per aiutarci a comprendere come gestire correttamente la Privacy su Facebook.
Se ti sei perso gli articoli su come sono cambiate le tue responsabilità rispetto a Facebook e rispetto ai tuoi utenti, trovi qui il primo, qui il secondo e qui il terzo.

G. Avvocato Ogriseg, anziché fare un’informativa nuova, possiamo estendere l’informativa che abbiamo nel sito web con le informazioni necessarie ai trattamenti su Facebook?

C. Ma certo! Questo è proprio ciò che abbiamo proposto a tutte le aziende che stiamo seguendo nel nostro studio legale nell’adeguamento al GDPR. Più nel dettaglio, già in tempi non sospetti, abbiamo suggerito di sintetizzare tutti i trattamenti dei dati personali svolti dall’azienda in un’unica informativa generale da pubblicarsi sul sito. Finora tutti eravamo abituati a pubblicare sul sito web solo e soltanto un documento parziale dedicato a informare i visitatori delle attività di trattamento del dato personale compiute in ragione della sua visita al sito aziendale. Adottando la nostra soluzione invece chiunque riesce ad avere una panoramica su tutti i trattamenti che l’azienda applica ai dati personali acquisiti con le più diverse attività e in fase di aggiornamento si modifica un unico documento.

G. Prima di addentrarci sugli aspetti tecnici dell’informativa per Facebook, sarebbe opportuno prevederla anche per tutti gli altri social e tutti i “luoghi digitali” gestiti da noi ed in cui i nostri utenti potrebbero andare? Penso a Youtube o ad Amazon, se lì vendiamo dei prodotti.

C. Naturalmente qualora si adotti la soluzione proposta vanno descritti in maniera puntuale tutti i dati personali oggetto di trattamento non solo in qualità di Titolari, ma anche di co-Titolari se ci siamo accollati il compito di informare gli Interessati. A questo proposito segnalo che nell’accordo di co-Titolarità potremmo gravare altro co-Titolare di questa incombenza.

G. Credo però che FB si sia ben guardato dall’accollarsi questo …. ehm, “privilegio” e quindi nel nostro caso andrebbero richiamati tutti i dati trattati nelle diverse pagine social su cui l’azienda è posizionata.

C. Temo proprio che abbia ragione. Sarà opportuno procedere ad adottare un’informativa generale includendo anche ciò che viene fatto sui social senza aspettarci che questa incombenza venga svolta da altri anche se sono dei colossi. Del resto, l’informativa è una responsabilità del Titolare direi centrale nella nuova disciplina del GDPR.

G. Bene, da dove si parte?

C. Si deve sempre partire da una mappatura dei dati personali che l’azienda tratta direttamente come Titolare del trattamento. Quanto ai trattamenti condivisi con altri soggetti giuridici e rispetto ai quali magari l’azienda è co-Titolare, sarà necessario valutare il contenuto degli accordi di co-Titolarità (quando è possibile, suggerisco di affidare l’informativa all’altro co-Titolare). Nel dubbio, come nel caso in cui l’accordo di co-Titolarità ci venga “imposto dall’alto”, includerei anche i dati trattati in maniera condivisa. Ovviamente poi sarà necessario fornire per tutti i dati personali oggetto di trattamento informativa su finalità, base giuridica e modalità del trattamento, comunicazione dei dati e tempi di conservazione, trasferimento dei dati e modalità di esercizio dei diritti per gli Interessati.

G. Insomma un lavoro complesso che potrebbe essere più complicato qualora si sia co-Titolari di un colosso social…

C. Beh, certo. Nel caso in cui il co-Titolare sia un colosso avremo ben poco margine per dividerci i compiti rispetto agli Interessati al trattamento e potremmo avere anche più difficoltà a mappare i dati personali utilizzati etc. La scelta che voi avete fatto sul vostro sito per risolvere questa criticità mi pare chiara e sintetica e potrebbe essere una traccia anche interessante anche per i vostri clienti, poiché richiama i diversi siti dei social network: https://www.privacyos.com/privacy.

G. Ok, quindi aggiornata la propria privacy policy sul sito web su Facebook si può fare un post che faccia riferimento alla pagina aziendale?

C. Esatto, scegliere la soluzione di adottare una informativa generale ha proprio questo vantaggio: rinviare alla medesima pagina le diverse tipologie di interessati i cui dati vengono trattati. 

G. Naturalmente, chi non ha un proprio sito potrà inserire l’informativa in un PDF su uno spazio cloud e farla scaricare dall’utente.

C. Sì, potrebbe andar bene anche così.

 

Nei prossimi giorni approfondiremo la relazione tra contitolarità con Facebook e responsabilità dell'azienda. Chiederemo all'avv. Claudia Ogriseg di fare una simulazione per noi, raccontandoci come opererebbe nel caso in cui un cliente volesse denunciare il contitolare della pagina Facebook per il data breach che Facebook ha subito.

Hai dubbi sulla tua informativa per Facebook o desideri approfondire il tuo caso specifico? Contattaci!
 

Newsletter