Facebook & co. Gestione GDPR.
Ma FACEBOOK ( o META) nel trattamento dei dati risulta essere titolare autonomo o responsabile del trattamento ?
Ricordo sin da subito che la forza contrattuale in questo caso la fa da padrona, aggiungo che nella maggior parte dei casi FACEBOOK appare come TITOLARE AUTONOMO , quindi si applicano gli articoli 4(7) e 24 del REGOLAMENTO per l’individuazione del soggetto e le responsabilità.
In alcuni casi , desueti nell’uso domestico ma frequenti in quello istituzionale, META appare un responsabile ex articolo 28, sono i casi in cui c’è un profilo istituzionale BUSINESS (non solo affari ma ISTITUZIONALE).
Per gestire bene questa casistica occorre prendere atto del DPA di META che riporto
Condizioni per il trattamento dei dati
L’utente riconosce che l’uso di determinati Prodotti di Meta potrebbe prevedere l’invio di Informazioni personali a Meta. Nella misura in cui le condizioni del prodotto applicabili, ad esempio le Condizioni per gli strumenti business di Meta e le Condizioni per il pubblico personalizzato da un elenco di clienti (“Condizioni del prodotto applicabili“, qualsiasi Prodotto di Meta interessato, “Prodotti applicabili“), dichiarino che Meta tratta le Informazioni personali in qualità di Responsabile del trattamento, trovano applicazione le presenti Condizioni per il trattamento dei dati. I termini in maiuscolo riportati ma non definiti nelle presenti Condizioni per il trattamento dei dati presentano i significati indicati nelle Condizioni del prodotto applicabili. In caso di conflitto esplicito fra le Condizioni del prodotto applicabili e le presenti Condizioni per il trattamento dei dati, queste prevarranno esclusivamente limitatamente al conflitto.
Meta e l’utente accettano quanto segue:
- Meta tratta le Informazioni personali esclusivamente in conformità alle Condizioni del prodotto applicabili.
- Meta garantisce che tutti i soggetti autorizzati al trattamento delle Informazioni personali ai sensi delle presenti Condizioni per il trattamento dei dati siano vincolati da obblighi di riservatezza adeguati.
- Meta deve implementare misure tecniche e organizzative adeguate a proteggere le Informazioni personali trattate ai sensi delle presenti Condizioni per il trattamento dei dati. Ciò comprende le misure indicate nelle Condizioni per la protezione dei dati di Meta (come periodicamente aggiornate, ad esempio per riflettere gli sviluppi tecnologici), le quali sono espressamente richiamate nelle presenti Condizioni per il trattamento dei dati e sono parte integrante delle stesse.
- In considerazione della natura del trattamento delle Informazioni personali di cui alle presenti Condizioni per il trattamento dei dati, Meta assisterà l’utente, nella misura massima consentita, mediante misure tecniche e organizzative adeguate per consentirgli, in qualità di Titolare del trattamento, di adempiere i propri obblighi vincolanti, laddove presenti, ai sensi delle leggi sulla privacy e sulla protezione dei dati applicabili, per rispondere alle richieste degli Interessati per l’esercizio dei relativi diritti.
- Nella misura in cui il GDPR si applichi al trattamento delle Informazioni personali ai sensi delle presenti Condizioni per il trattamento dei dati, Meta assiste l’utente nel garantire il rispetto dei propri obblighi vincolanti in qualità di Titolare del trattamento ai sensi degli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione di Meta.
- Alla cessazione delle Condizioni del prodotto applicabili, Meta deve eliminare le Informazioni personali nel periodo stabilito nelle Condizioni del prodotto applicabili, salvo che la legge in vigore non imponga un’ulteriore memorizzazione. Nella misura in cui si applichi il GDPR dell’Unione europea al trattamento delle Informazioni personali ai sensi delle presenti Condizioni per il trattamento dei dati, per “leggi applicabili” in questo paragrafo si intendono le normative europee o degli Stati membri UE/SEE. Nella misura in cui si applichi il GDPR del Regno Unito al trattamento delle Informazioni personali ai sensi delle presenti Condizioni per il trattamento dei dati, per “leggi applicabili” in questo paragrafo si intendono le normative del Regno Unito.
- Meta metterà a disposizione dell’utente tutte le informazioni ragionevolmente necessarie per dimostrare il rispetto dei suoi obblighi in qualità di Responsabile del trattamento ai sensi delle presenti Condizioni per il trattamento dei dati e, nella misura in cui il GDPR trovi applicazione al trattamento delle Informazioni personali secondo i termini delle presenti Condizioni per il trattamento dei dati, ai sensi dell’articolo 28 del GDPR.
- Meta si impegna a fornire una copia aggiornata del report dell’audit una volta all’anno, su richiesta. Tale report dell’audit fa riferimento a un audit SOC 2 Type II o a qualsiasi altro audit standard del settore che Meta potrebbe ritenere adeguato all’interno del proprio programma di audit relativo ai servizi di trattamento dei dati. L’audit viene eseguito da un revisore terzo e indipendente, il quale si considera nominato dall’utente. Il report dell’audit rientra fra le informazioni riservate di Meta.
- Nella misura prevista dalle leggi sulla privacy e sulla protezione dei dati applicabili all’utente in qualità di Titolare del trattamento, Meta informerà tempestivamente l’utente in caso di individuazione di una Violazione delle informazioni personali riguardanti Informazioni personali trattate ai sensi delle presenti Condizioni per il trattamento dei dati. Tale comunicazione deve includere, laddove possibile, al momento della notifica o il prima possibile dopo la notifica, dettagli sulla natura della Violazione delle informazioni personali e il numero di dati coinvolti, la categoria e il numero approssimativo di Interessati, conseguenze previste della Violazione delle informazioni personali e rimedi, effettivi o proposti, per attenuarne i possibili effetti negativi.
- L’utente accetta che Meta possa subappaltare i suoi obblighi indicati nelle presenti Condizioni per il trattamento dei dati a un sub-responsabile, che potrebbe avere sede negli Stati Uniti, nell’Unione europea (UE)/nello Spazio economico europeo (SEE) o in altri Paesi, ma esclusivamente attraverso un contratto scritto con il sub-responsabile che imponga obblighi non meno stringenti rispetto a quelli imposti a Meta ai sensi delle presenti Condizioni per il trattamento dei dati. In caso di inadempimento di tali obblighi da parte del sub-responsabile, Meta rimane interamente responsabile nei confronti dell’utente in merito all’adempimento degli obblighi del sub-responsabile.
- Nella misura in cui il GDPR trovi applicazione al trattamento dell’utente ai sensi delle presenti Condizioni per il trattamento dei dati in qualità di Titolare del trattamento, l’utente autorizza Meta a incaricare altre aziende di Meta come sub-responsabili (una lista di sub-responsabili di Meta è disponibile qui). Meta dovrà informare l’utente di eventuali sub-responsabili aggiuntivi in anticipo. Qualora avesse motivo di opporsi ai sub-responsabili aggiuntivi, l’utente deve comunicare a Meta per iscritto i motivi delle sue opposizioni. Se l’utente si oppone ai sub-responsabili aggiuntivi, deve interrompere l’uso dei Prodotti applicabili e fornire i dati a Meta.
- Nella misura in cui il GDPR dell’Unione europea o le leggi sulla protezione dei dati nello SEE o in Svizzera si applichino al trattamento dell’utente ai sensi delle presenti Condizioni per il trattamento dei dati in qualità di Titolare del trattamento e Meta Platforms Ireland Limited sia l’ente di Meta a cui si applicano tali condizioni, trova applicazione l’Appendice sul trasferimento di dati europei in merito ai trasferimenti di Informazioni personali provenienti da UE, SEE o Svizzera. L’Appendice fa parte delle presenti Condizioni per il trattamento dei dati ed è richiamata nella sua interezza al suo interno, costituendo parte integrante del presente documento.
- Nella misura in cui il GDPR del Regno Unito si applichi al trattamento dell’utente ai sensi delle presenti Condizioni per il trattamento dei dati in qualità di Titolare del trattamento e Meta Platforms, Inc. sia l’ente di Meta a cui si applicano tali condizioni, trova applicazione l’Appendice sul trasferimento di dati del Regno Unito in merito ai trasferimenti a Meta Platforms, Inc. di Informazioni personali provenienti dal Regno Unito. L’Appendice fa parte delle presenti Condizioni per il trattamento dei dati ed è qui richiamata nella sua interezza, costituendo parte integrante del presente documento .
E evidente che l’accountabilty a cascata è facilmente attuabile in forza delle condizioni nn. 7 e 8 del DPA fornito da META per i prodotti cd BUSINESS.
Una volta stabilito il ruolo di FACEBOOK/META occorrerà riscrivere bene l’informativa ex articolo 13 dichiarando il ruolo di FACEBOOK ( od invitando a vedere la lista dei responsabili del TITOLARE dell’informativa).
In forza dell’articolo 6 paragrafo lett e) e del considerando 43 inoltre ritengo che occorra solo una buona informativa dove si invita magari l’interessato al DINIEGO piuttosto che il CONSENSO (si veda nuovamente il considerando 43).
Inoltre ricordo che i soggetti dell’articolo 2 comma 2 del D.Lgs 82/2005 per attuare in pieno l’articolo 6 ter (INDICE DELLE PUBBLICHE AMMINISTRAZIONI) devono dare pubblicità in IPA dei canali social utilizzati.
Vi lascio due vecchi approfondimenti anche sul trasferimento dei dati all’estero.
VINCENZO DE PRISCO
Professore a Contratto Università PARTHENOPE di NAPOLI in AGENDA DIGITALE PA
Docente MASTER UNIVERSITA’ della BASILICATA in Contratti PUBBLICI.
Docente MASTER Università PARTHENOPE di NAPOLI in
PROJECT MANAGER DELLA PUBBLICA AMMINISTRAZIONE.
Membro dell’AI PACT dell’UNIONE EUROPEA
PER WORKSHOP, ASSISTENZA,
FORMAZIONE e SUPPORTO
dott.ssa Carotenuto Elisa
elisa@ca-campania.com
cell. 3382797858