GDPR: Titolare del trattamento, Responsabile del trattamento e accordi sull'elaborazione dei dati
Scritto da Caterina Poppi In data 4 tempo di lettura
Ancora prima di capire i nuovi obblighi da rispettare sotto il GDPR, è importante capire se si è Titolari oppure Responsabili del trattamento.
In primis perché i Titolari del trattamento hanno molto più da fare quando si tratta di conformità al GDPR. Sotto il GPDR i Responsabili invece avranno obblighi diretti, ma molto meno numerosi rispetto a quelli dei Titolari. Attualmente, i Titolari devono obbligare contrattualmente i Responsabili a trattare i dati in un determinato modo, ma ora il GDPR afferma esplicitamente che cosa deve essere effettivamente stabilito all’interno di quel contratto.
Chi è un Titolare del trattamento e chi è un Responsabile del trattamento di dati?
Ti stai chiedendo come fare a sapere se sei un Titolare del trattamento oppure un Responsabile del trattamento?
Tutto dipende dal processo decisionale. Sarai un Titolare se sei tu a stabilire:
- Perché i dati devono essere trattati
- Come dovrebbero essere trattati per raggiungere le finalità decise, oppure entrambe le ipotesi.
I Responsabili, d'altro canto, non decidono mai perché i dati debbano essere trattati, ma lasciano il compito al Titolare del trattamento che li deve istruire in tal senso. I Responsabili possono prendere decisioni limitate su come procedere nel trattamento dei dati, per le finalità comunque determinate dal Titolare del trattamento, ma queste possono essere solo decisioni "non essenziali".
Ciò significa che le decisioni essenziali dovrebbero essere sempre lasciate al titolare del trattamento, comprese le decisioni su quali dati trattare per raggiungere le finalità perseguite dal titolare o il modello economico della finalità perseguita.
La cosa principale da tenere a mente è che i ruoli sono assegnati su una base di fatto.
Non è possibile siglare un contratto che dice, ad esempio, "X sarà il Titolare del trattamento, Y sarà il Responsabile del trattamento" ed essere certi che sarà poi effettivamente così. Se, di fatto, Y ha preso decisioni su quali dati trattare per le finalità di X, Y finirà ad avere il ruolo di co-titolare del trattamento congiuntamente a X.
Chi è chi nell’affiliate marketing?
Nell’affiliazione, l'advertiser è sempre Titolare perché solo l’advertiser può decidere il "perché" elaborare i dati; solamente lui può decidere, ad esempio "Facciamo un’attività di marketing online e paghiamo commissioni su base CPA".
Ma che dire dei network e degli editori? Sono Responsabili del trattamento o co-titolari con l'advertiser?
La posizione di Awin è che Awin è un co-titolare del trattamento congiuntamente all’advertiser e ai publisher. Esiste, infatti, una relazione di titolarità tripartita. Questo perché Awin ha deciso il modello economico, e sia Awin che i publisher decidono quali dati trattare per fornire la campagna di affiliate marketing dell’advertiser.
Ciò è dovuto al modo in cui le transazioni vengono tracciate, consultate e segnalate.
Come siamo arrivati a questa conclusione?
Pensiamo che questa conclusione sia l'unica che riflette accuratamente il modo in cui le cose funzionano nella pratica.
Diciamo che se Awin o i publisher dovessero provare a lavorare all'interno dei vincoli imposti da un ruolo di Responsabile del trattamento di dati, avrebbero bisogno di ottenere l’approvazione anticipata per ogni nuovo trattamento dei dati da ciascun advertiser ogni volta. Non possono prendere queste decisioni da soli.
Dal punto di vista di un publisher, c'è anche la questione di quando iniziare il trattamento per conto dell’advertiser Titolare. I publisher sono già Titolari del trattamento dei dati trattati per acquisire gli utenti del proprio sito web; e solo loro hanno deciso la distinta finalità "Portiamo traffico per far sì che vengano visti gli annunci che pubblichiamo".
Se i Publisher fossero Responsabili per gli advertiser, a che punto della navigazione dell’utente, fuori e dentro il sito, si dovrebbero invertire questi ruoli? Questo dipenderebbe dall’annuncio pubblicitario, e molto meno rispetto al publisher o al modello di publisher.
Cosa significa questo per i publisher?
Il vantaggio di questo procedimento è che Awin non richiede ai publisher di siglare data processing agreement.
Tuttavia, stiamo aggiungendo nuovi termini al nostro accordo standard per gli editori in modo da essere chiari su quale co-titolare è responsabile e per cosa. Questi termini coprono, per esempio, come Awin e i publisher gestiranno le richieste degli utenti sui dati, o su come gestiranno una violazione dei dati qualora ciò accadesse.
Rendendo trasparenti queste responsabilità, si evita che i publisher e Awin siano responsabili di eventuali violazioni reciproche del GDPR.
Significa anche che, in qualità di titolari del trattamento, i publisher dovranno adempiere a un numero maggiore di obblighi stabiliti dal GDPR. Tuttavia, i publisher devono già farlo quando trattano i dati per le proprie finalità. La conseguenza è che ora dovranno anche applicare questi obblighi ai dati elaborati per indirizzare un utente ad un advertiser.
Il vantaggio principale è che sul network Awin, purché tutto sia fatto in conformità con il GDPR e con i termini e le condizioni rilevanti, i publisher sono in grado di decidere autonomamente come trattare i dati quando portano traffico agli advertiser.