Dato il suo ruolo di gestore della pagina o profilo social di aziende, organizzazioni, professionisti, influencer, il social media manager (o il digital marketer) assume specifiche responsabilità in relazione al trattamento dei dati personali, svolti per conto del suo titolare.
La gestione di profili social, così come la gestione di siti web, comportando trattamenti di dati personali, ricade infatti, nel capo di applicazione del regolamento generale sulla protezione dei dati (GDPR), ai cui principi e disposizioni e a quelli della normativa nazionale di settore il trattamento deve necessariamente conformarsi.
Quali trattamenti potrebbero essere eseguiti sui social network
L’elevato numero di utenti iscritti e di informazioni personali – quali foto, video, dati anagrafici e di geolocalizzazione – continuamente conferite e pubblicate sui social network, comporta che su tali piattaforme web venga continuamente effettuata una cospicua quantità di trattamenti di dati, per molteplici finalità.
Trattamenti effettuati non solo dal soggetto che ha realizzato e mette a disposizione il social network, quali la Facebook Inc. o Twitter Inc., ma anche da terze parti, quali gli sviluppatori che realizzano applicazioni per i social network, e soprattutto da moltissimi imprenditori e professionisti che sfruttano le grandi potenzialità offerte dalla presenza sui social per le attività di marketing e comunicazione digitale, per interagire direttamente con i consumatori o per migliorare visibilità e reputazione online della propria azienda e dei propri brand.
Per individuare quali dati potrebbero essere trattati aprendo profili social aziendali, è utile partire dai concetti di dato personale e trattamento così come definiti dal GDPR.
Dato personale è qualsiasi informazione riguardante una persona fisica identificata o identificabile, quali le generalità anagrafiche, le foto che lo ritraggono, gli identificativi online, i dati della sua ubicazione, mentre per trattamento s’intende qualsiasi operazione compiuta sui dati, quali la raccolta, la consultazione, registrazione o estrazione o cancellazione degli stessi.
Dalla lettura di tali definizioni, si possono ben individuare quanti e quali dati personali possono essere oggetto di trattamento sui social network. Prendiamo ad esempio una pagina Facebook: l’amministratore della pagina, potrà consultare l’elenco degli utenti che sono iscritti alla pagina o che la seguono, che comprende il loro nome e cognome e la foto del profilo, accedere ai messaggi privati che gli utenti inviano alla pagina e inviare risposte, consultare ed esportare gli insights della pagina, strumento che consente di ottenere dati statistici sui visitatori della pagina e sulle azioni compiute dagli utenti del social media.
Considerare quindi che il trattamento dei dati su Facebook, ma anche sugli altri social network, sia affare e responsabilità solo dello sviluppatore della piattaforma è evidentemente errato. Sulla questione, è sufficiente richiamare la ormai nota posizione espressa dalla Corte di Giustizia dell’Unione europea, che ha chiaramente affermato che l’amministratore di una pagina Facebook è contitolare del trattamento dei dati personali degli utenti che la visitano insieme a Facebook stessa, in quanto entrambi determinano finalità e mezzi del trattamento.
Ciò comporta che l’amministratore della pagina sarà tenuto ad adempiere agli obblighi che il GDPR pone in capo al titolare del trattamento, primo fra tutti l’obbligo di informazione agli interessati ai sensi dell’art. 13 del GDPR. Facebook, ad esempio, a tal fine consente di inserire nalla tab “Informazioni” delle pagine, in un apposito campo, un link all’informativa sul trattamento dei dati personali.
Ma quando la gestione della pagina o dei profili social, invece di essere eseguita direttamente dal titolare o suoi designati, è affidata a soggetti esterni – social media manager o web agency – che operano come consulenti, quale ruolo assumerebbero questi nel trattamento dei dati?
Le responsabilità del social media manager
Come inquadrare l’attività del social media manager ai fini del GDPR, dipende sostanzialmente dall’attività che concretamente svolge, per conto di chi e come la svolge.
Il GDPR prevede due figure coinvolte nel trattamento dei dati: il titolare del trattamento, necessariamente presente, cioè la persona fisica e giuridica che determina le finalità e i mezzi del trattamento, ed eventualmente il responsabile del trattamento, ossia il soggetto che tratta i dati per conto del titolare e su sue indicazioni.
Tutte le volte in cui la gestione del social network aziendali sia affidata a persone fisiche che operano all’interno dell’assetto organizzativo del titolare, ad esempio come suoi dipendenti, questi opereranno come designati al trattamento, autorizzati dal titolare stesso a svolgere specifici compiti e funzioni.
Quando, invece, la gestione dei canali social, come spesso avviene, è affidata a social media manager o web agency esterni all’organizzazione del titolare, questi opereranno come responsabili del trattamento, ai sensi dell’art. 28 del GDPR, tutte le volte in cui lo svolgimento delle attività affidate comporterà trattamenti di dati personali. Ed è verosimile che nella casistica concreta tale situazione ricorrerà molto frequentemente, giacché al social media manager, per prestare i propri servizi, verrà quantomeno concesso l’accesso riservato alle pagine e profili sui social network, potendo quindi astrattamente trattare i dati a cui accede.
Riprendendo il caso di una pagina Facebook aziendale, il social media manager con ruolo di “Editor”, avrebbe, tra le altre, la possibilità, a nome della pagina, di interagire con gli utenti tramite messaggi privati e commenti pubblici, rimuovere e bloccare gli utenti, visualizzare i dati insight, pubblicare e gestire offerte di lavoro, creare inserzioni pubblicitarie. Tutte attività che comporterebbero il trattamento di dati personali e che richiedono di regolamentare i rapporti tra titolare e responsabile, che deve avvenire tramite un contratto o altro atto giuridico idoneo, con cui si vincoli il responsabile del trattamento al titolare, si stabiliscano durata e finalità del trattamento, i tipi di dati trattati e le categorie di interessati e si delineino gli obblighi e facoltà delle parti.
Il social media manager, nel trattare i dati per conto del titolare, dovrà inoltre attenersi alle istruzioni da questo ricevute. È importante che tali istruzioni siano documentate per iscritto al fine di perimetrare dettagliatamente le attività che il social media manager più compiere o meno, poiché un trattamento non conforme alle istruzioni fornite, ha come conseguenza che il responsabile risponderebbe dell’illecita gestione dei dati come titolare del trattamento, parimenti al titolare effettivo.
Ovviamente non è detto che il social media manager si trovi necessariamente a trattare dati personali. Non vi sarebbe, ad esempio, alcun trattamento nel caso la sua attività fosse limitata alla mera consulenza strategica sull’uso dei social network, svolta senza accedere ai dati trattati dal titolare.
Perché il SMM dovrebbe preoccuparsi della protezione dei dati
Chi si occupa di social media marketing dovrebbe tenere in debita considerazione la compliance alla normativa sulla protezione dei dati per diversi ordini di ragione.
Innanzitutto, trattandosi di norme vigenti, il loro rispetto è obbligatorio per tutti e la loro violazione può comportare, a seconda dei casi, l’applicazione di sanzioni amministrative e penali, nonché essere fonte di responsabilità civile.
Inoltre, come suesposto, il social media manager nella maggior parte dei casi sarà chiamato a trattare dati personali quale responsabile del trattamento. Tale figura, prevista dall’art 28 del GDPR, deve possedere determinati requisiti, in assenza dei quali il titolare del trattamento non potrebbe a lui ricorrere quale responsabile del trattamento, con la conseguenza che non dovrebbe affidargli la gestione dei canali social, con l’accesso ai dati contenuti.
Prevede, infatti, il citato articolo 28 del GDPR che qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato.
Ciò significa che il social media manager, o la web agency che presta tali servizi, deve poter dimostrare di aver implementato un sistema di compliance alla normativa privacy, che abbia una conoscenza di base della materia e che sia in grado di assicurare un trattamento dei dati nel rispetto dei principi previsti dal regolamento europeo, ponendo particolare attenzione alla sicurezza degli stessi.
È verosimile, infatti, che un’azienda – titolare del trattamento – attenta alla normativa privacy, prima di affidare al social media manager la gestione dei propri canali social e della connessa consistente quantità di dati personali, vorrà verificarne l’affidabilità e la competenza, anche al fine di non incorrere nelle sanzioni previste dall’art. 83 del GDPR.
Infine, l’attenzione alla protezione dei dati personali deve essere vista anche come un valore aggiunto da chi svolge tali professioni, che basano gran parte delle loro attività proprio sul dato personale. Trattare i dati di altre persone in modo lecito, trasparente e sicuro dovrebbe essere un marchio di qualità per il titolare e il responsabile del trattamento.
