Seconda puntata dell’approfondimento sugli uffici stampa e GDPR, cosa dobbiamo fare noi uffici stampa quando usiamo le mailing list dei giornalisti? Se scrivo al giornalista per avere il suo consenso e lui non risponde, quel dato è da cancellare?
L’Avvocato Betty De Paola in Bologna, esperta in materia di trattamento dati personali fa chiarezza in un marasma di dati e regole a volte un po’ troppo nebulose.
Avv. Betty De Paola
Se l’ufficio stampa è esterno all’azienda, chi è il titolare e resp. del trattamento dei dati?
Nel caso di ufficio stampa esterno all’azienda, l’azienda potrebbe essere qualificata titolare del trattamento: sulla stessa incombe il dovere di scegliere un ufficio stampa, dei cui servizi si avvale, che garantisca il rispetto del Regolamento e dei diritti degli interessati. Ciò soprattutto nei casi in cui il Titolare abbia modo di verificare le attività svolte dall’ufficio stampa e magari anche di conoscere, anche solo in copia all’interno dei propri data base, i destinatari dei comunicati.
Se l’agenzia di PR ha acquistato esternamente le mailing e ha dei collaboratori in outsourcing, può condividere le mailing list con loro?
Occorre verificare cosa indica sul punto il contratto di acquisto (o di licenza d’uso) del data base. Qualora nulla espliciti, si potrebbe sostenere che la “partecipazione” dei contenuti con i collaboratori esterni possa avvenire. Tale consultazione da parte di soggetti esterni all’agenzia avverrà sotto la responsabilità di quest’ultima, che è dunque tenuta a verificare che i consulenti esterni non si “approprino” di tali dati una volta cessata la consulenza o, comunque, che non li utilizzino per finalità diverse rispetto a quelle per le quali è stata loro concessa la consultazione: detto più in chiaro, qualora il consulente esterno dovesse estrarre una copia dei dati e trattenerla presso di sé successivamente al termine del rapporto con l’agenzia, l’agenzia, in caso di contestazione da parte del legittimo titolare della mailing list, potrà rispondere di tale comportamento del proprio collaboratore sia dal punto di vista contrattuale (per inadempimento), sia dal punto di vista delle regole dettate dal GDPR. In tale ipotesi, infatti, è possibile affermare che l’agenzia non abbia adottato misure di sicurezza ed organizzative idonee ad impedire l’illecito trattamento dei dati da parte del consulente.
Se un’agenzia si avvale di un addetto stampa esterno per un suo cliente, chi è il titolare e il resp dei dati e cosa deve dichiarare ufficialmente al suo cliente, nella fattispecie:
-Addetto stampa esterno VS l’Agenzia stampa – quale documento deve far firmare
-Agenzia stampa VS cliente – quale documento deve far firmare
L’azienda che incarica l’agenzia di diramare comunicati stampa potrebbe, a seconda delle caratteristiche del caso concreto, essere titolare del trattamento. In tal caso, l’agenzia assumerà il ruolo di Responsabile Esterno (tratta dati per conto del Titolare). L’addetto stampa esterno, laddove non abbia contatti diretti con il Titolare, potrà essere qualificato come sub-responsabile.
Il rapporto tra Titolare e Responsabile Esterno deve essere formalizzato mediante contratto o altro atto giuridico e deve avere i contenuti descritti dal Regolamento all’art. 28. Il Regolamento prevede espressamente che il Responsabile non può ricorrere ad altro responsabile (cd. sub-responsabile) senza l’autorizzazione scritta, specifica o generale, del Titolare. Occorre, dunque, che all’interno dell’atto ex art. 28 GDPR tra Azienda ed Agenzia sia inserita l’indicata autorizzazione: sarà onere dell’Agenzia informare previamente il Titolare Azienda che intende ricorrere ad un sub-responsabile (addetto stampa esterno). La scelta dell’addetto stampa esterno deve essere improntata agli stessi criteri che governano la scelta del Responsabile Esterno da parte del Titolare: occorrerà che nell’atto che lega Responsabile e sub-responsabile siano descritti gli stessi obblighi in materia di protezione dei dati indicati nell’atto Titolare / Responsabile Esterno e, comunque, che il sub-responsabile si impegni a mettere in atto misure che garantiscano il rispetto del Regolamento.
Quanto tempo si è possessori dei dati?
I dati, in quanto diritti della personalità, sono di “proprietà” dell’interessato, ovvero del soggetto dei cui dati si tratta, che può disporne (acconsentendo al trattamento, ad esempio) e che in qualsiasi momento può esercitare i diritti previsti dal Regolamento (tra cui il diritto di aggiornamento, di opposizione, limitazione, cancellazione, rettifica, etc.).
Il Titolare può conservare i dati per il tempo necessario al raggiungimento delle finalità per le quali i dati sono stati raccolti. Occorre, dunque, darsi una “policy” in tema di tempo di conservazione dei dati.
La conservazione perpetua dei dati non sarebbe coerente con lo spirito e le finalità del Regolamento: si consideri, infatti, che una scelta di tale tipo determinerebbe il trattamento di dati non aggiornati. Evenienza che, invece, il Regolamento intende evitare.
Ogni quanto va aggiornato il dato?
I dati devono essere aggiornati al bisogno o a richiesta dell’Interessato. Un dato non aggiornato è un dato trattato in violazione del Regolamento.
Chiedo ad un giornalista di potergli inviare il comunicato, lui non risponde, che faccio continuo ad inviarlo oppure lo cancello dalla mia lista?
Nel contesto del Regolamento europeo non esiste un principio di silenzio – assenso. Anzi, il legislatore comunitario è chiaro nel precisare che il consenso deve essere esplicito. Qualora, dunque, la base giuridica del trattamento fosse individuata nel consenso (e questo tipo di informazione deve essere contenuta all’interno dell’Informativa), il silenzio dell’interessato inibirebbe l’ulteriore trattamento del dato, che dovrà essere cancellato.
To be continued
Non perderti i nuovi post!
Ricevi una newsletter con gli ultimi articoli del Blog e della sezione Tolktolk, Conversazioni tra professionisti
Scrivimi dc@doracarapellese.it