Tempo di lettura stimato: 5'
Torniamo a parlare di gestione degli eventi (online, offline, mix online-offline) a norma GDPR. Abbiamo visto quanto contino le procedure nella gestione dell’evento e come far sì che il cliente contatti il consulente privacy/DPO prima di organizzarlo, non quando le cose sono già state fatte (male, magari). In questo articolo vediamo un altro aspetto: cosa fare se il fornitore dell’evento non è a norma. Ne ho parlato in un LIVE di Raise Academy con l’Avvocato Francesca Bassa e Monica Perego, che si occupa, da più di 30 anni, di consulenza aziendale in ambito compliance.
Questo è solo un estratto, il resto è sulla Raise!
Nella gestione degli eventi ci affidiamo a fornitori esterni, ma spesso non sono a norma
Andrea Chiozzi: Una volta che abbiamo deciso di fare un certo tipo di attività, che abbiamo deciso di fare un certo tipo di campagna marketing, ci affidiamo spessissimo a dei fornitori esterni. La scelta del fornitore esterno diventa importante non solo per la qualità del servizio che mi dà (legato all’evento fisico o digitale), ma anche legato alla sua adeguatezza, nell’avere le procedure corrette e avere un’attenzione privacy-by-design e riuscirmi a sminare e a fornirmi un pacchetto “chiavi in mano”: non solo la gestione dell’evento, ma anche l’adeguatezza al GDPR. Il problema è che i fornitori sono scelti spesso prima di fare il tutto, non dopo. Come gestite questa cosa?
Avvocato Bassa: La maggior parte dei fornitori - quindi delle agenzie di comunicazione e web agency - più piccoli e in provincia, spesso sono poco adeguati al GDPR o non hanno una nomina da DPO e lo si percepisce subito.
Nelle aziende che seguo, una delle regole che ci diamo è che quando si decide di cambiare fornitore, il marketing deve comunicarlo a un referente della privacy.
Quando invece i miei clienti sono proprio le agenzie di comunicazione, dico sempre che per loro la privacy è un valore aggiunto imprescindibile, nel senso che è il loro biglietto da visita oggi. Se non hanno la privacy, dal mio punto di vista, da qui a un paio di anni, potrebbero essere addirittura fatte fuori dal mercato. Non si può gestire un cliente senza avere un adeguamento normativo privacy.
Purtroppo, ci sono moltissime agenzie di comunicazione oggi che non tengono conto di questo e devono avere loro in primis la privacy e poi devono farla ai loro clienti. Devono sapere cosa significa fare un sito privacy-by-design, che è necessaria una scheda di realizzazione di progetto, devono conoscere anche solo delle terminologie: cosa sia un vulnerability assessment, per esempio, o un’analisi del rischio. E oggi purtroppo siamo ancora molto indietro.
Devo dire che invece nelle grandi città c’è un po’ più di sensibilità verso questo tema: le agenzie di comunicazione, quando ti propongono dei contratti, contengono la nomina a responsabile esterno o hanno delle clausole privacy ben costruite. Questa è la mia visione, per quanto riguarda la mia esperienza.
Ma quel fornitore serve davvero o si può trovare un altro modo?
Andrea Chiozzi: Monica, tu cosa ne pensi?
Monica Perego: Il fornitore è sicuramente un pezzo fondamentale di questo processo. Quando inizi a tirare dentro i fornitori, dovresti chiederti: quanto è necessario quel fornitore? Quanto è necessario dare a quel fornitore una valanga di dati?
Ti faccio un esempio. Qualche anno fa, in occasione di una fiera, un'azienda mio cliente mi dice: “Organizzo un evento. Faccio una pubblicazione che contiene l'invito all'evento, la destino a tutti i miei principali clienti (che sono persone fisiche). Mando tutto il database a un'azienda che prende il libro, l'invito, incellophana tutto, stampa l'elenco dei miei clienti, l'appiccica sopra e gestisce tutta la spedizione.”
Dà all'azienda che fa questo servizio - che è a tutti gli effetti un'azienda manifatturiera - l'elenco dei suoi 300-400 più importanti clienti!
L’azienda manifatturiera è un responsabile del trattamento a tutti gli effetti, ma non è assolutamente preparata per fare questo tipo di attività, perché il suo lavoro è un altro e quando le dici: “Guarda che sei un responsabile del trattamento” Quella ti risponde: “Ma cosa stai dicendo? Io sono una che incellophana un libro e che ci appiccica un’etichetta sopra”.
Poi i dati vengono cancellati?
Monica Perego: La vera domanda è: “È proprio necessario fare tutto questo? Se andassimo noi ad etichettare e non gli dessimo il database?” Perché il problema non è che non gli voglio dare il database, ma poi quel data base lì, che fine fa? Che garanzie ho che poi venga cancellato?
Attenzione! Questo problema potrebbe averlo anche l’agenzia di comunicazione che si rivolge ad un fornitore di questo tipo, per conto del suo cliente o di un suo subfornitore. A questo punto tu hai bisogno di selezionare i fornitori guardando alla loro capacità di gestire correttamente i dati, soprattutto dopo l’evento: come gestiscono le cancellazioni. Perché l’evento in sé ha un tempo di gestazione tutto sommato piuttosto breve. Quindi il vero punto è chiedersi come questi cancelleranno le informazioni raccolte.
È questo tipo di valutazioni che bisogna compiere, su questo ultimo miglio.
Poi succede che queste aziende che gestiscono rilegano e spediscono ti dicono “No, guarda, ma io ho il database dell’anno passato. Se vuoi ci aggiungiamo i contatti, perché l’ho già tutto elaborato…”
Ricordiamoci poi che un evento è un’occasione per lanciare qualcosa. Spesso qualcosa di riservato a un gruppo ristretto, da tenere nascosto alla concorrenza. Parliamo del know how dell’azienda. Quindi è la tutela di un pacchetto di dati, in cui i dati personali sono un di cui.
Andrea Chiozzi: Chiarissimo. E se all’evento sono presenti dei VIP? E se uno dei VIP ha accordi in esclusiva con altri, viene fotografato e pubblicato su internet? Come gestire le immagini dei partecipanti? E quelle delle standiste? E se Peppino viene ripreso con l’amante e mandato in streaming? Come si gestire situazioni del genere?
Nel LIVE di Raise “La gestione degli eventi e dei social network: aspetti GDPR e procedurali” trovi le risposte a queste domande e alcuni casi pratici.
Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
