Influencer marketing e social media: gli obblighi GDPR - Riskmanagement

Normative europee

Influencer marketing e social media: quali sono gli obblighi imposti dal GDPR

I dati personali dei cosiddetti follower, tanto più se dati sensibili, devono essere trattati secondo quanto stabilito dal Regolamento europeo

17 Mar 2021

Annalisa Spedicato

Avvocato, Consulenza legale in Diritto della proprietà industriale e intellettuale, diritto della comunicazione digitale e dell’informatica, dati personali

Essere influencer, o provare a diventarlo, pare sia diventato il mood del momento. Ci sono influencer nella moda, nella musica, nella cucina, nella formazione, nello sport, nella comicità, nel giardinaggio, nel fai da te, nell’hobbistica, tra i professionisti, tra gli opinionisti; ci sono persino persone che riescono a diventare influencer grazie all’idiozia di ciò che pubblicano… Tuttavia, poiché le piattaforme di social media si fanno sempre più interattive e liberamente accessibili, anche influencer, YouTuber e creatori di contenuti sono soggetti a determinati rischi legali che coinvolgono diversi ambiti, come i diritti di proprietà industriale, il diritto d’autore, la normativa in materia di pubblicità, quella sui dati personali, meglio nota come GDPR o normativa “privacy”.

Perché un influencer dovrebbe conoscere la normativa privacy? Può essere responsabile per le informazioni personali che riguardano i suoi follower?

L’influencer come titolare del trattamento nel GDPR

L’influencer marketing è oggi per le imprese uno dei modi più efficaci ed efficienti per fare promozione e pubblicità a sé stesse e ai propri prodotti e gli influencer sono appetibili alleati per il raggiungimento di determinati obiettivi aziendali.

WEBINAR
[WEBINAR, 29 aprile] Garantire la sicurezza dei dati nell’era della collaboration online
Big Data
Sicurezza

Quando l’influencer pubblica un contenuto, come un commento, un’opinione, una foto, un video su un social o su una piattaforma di content sharing, viene prontamente seguito dai suoi follower, ma anche da haters (odiatori), questi soggetti possono esprimere i loro commenti o condividere il contenuto dell’influencer, ma possono esprimere anche il proprio disprezzo su quanto pubblicato dall’influencer. Si tratta di opinioni che però si portano dietro anche nomi, cognomi, immagini di volti e tante altre informazioni.

Ora, è vero che l’utente di un social network quando si iscrive alla piattaforma, accetta volontariamente di condividere i propri dati personali con terzi soggetti, tuttavia, se l’influencer intende riutilizzare le informazioni dei suoi follower per fini di marketing o per trasmetterle all’azienda per conto della quale opera quale testimonial, allora l’influencer automaticamente acquisisce il ruolo di titolare del trattamento e come tale anche a lui si applicano principi e regole stabilite dal Regolamento n. 679/2016 [GDPR]. Secondo il GDPR, infatti, è titolare del trattamento la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Ragion per cui, il solo fatto di essere una persona fisica o di non avere una partita iva, non esonera l’influencer dal rispetto delle disposizioni previste dal GDPR quando tratta dati personali riferiti alle persone, tenendo conto del fatto che rientrano nella cerchia dei termini “dato personale”, nomi, cognomi, numeri di telefono e qualsiasi altra informazione che anche indirettamente consenta di risalire a una persona.

influencer GDPR

Influencer e dati sensibili

Però, attenzione, perché l’influencer potrebbe non fermarsi al trattamento di dati personali comuni. Quando, infatti, un follower esprime un’opinione di natura politica, religiosa, la propria convinzione filosofica, oppure dati riferiti alla sua salute o il suo orientamento sessuale, in un post pubblicato sul profilo social dell’influencer o anche sul blog dell’influencer, allora quest’ultimo potrebbe imbattersi in dati sensibili appartenenti alla categoria particolare di dati che non possono essere riutilizzati dall’influencer a meno che il follower interessato non abbia espresso il suo consenso specificamente riferito al motivo per cui l’influencer intende riutilizzare quell’informazione.

È indubbio che il follower che posti un commento su un contenuto pubblicato dall’influencer che ad esempio racchiude una sua opinione religiosa, lo faccia volontariamente, ma l’unico scopo del follower è, in tal caso, quello di manifestare il proprio diritto di espressione fine a se stesso, se diversamente l’influencer intende rielaborare quel dato assieme ad altri per ottenere una statistica, ad esempio per scopi legati al marketing, allora è tenuto a informare chiaramente i follower di ciò che accadrà rispetto all’informazione fornita e chiedere il consenso espresso per questo trattamento di dato, conservando traccia dello stesso.

Proviamo a fare un esempio più concreto per capire meglio. Poniamo il caso che l’influencer intenda aggiungere un link che dal suo profilo social porta i suoi follower su una landing page in cui le persone possono registrarsi per scaricare il suo fantastico nuovo tutorial su come realizzare un ottimo impasto per la pizza. L’influencer, in questo caso, è un titolare del trattamento di dati personali, perché raccoglie informazioni di natura personale riferite a persone, determinando lo scopo e il modo in cui verranno utilizzate e questo ruolo, si badi, si acquisisce automaticamente, ossia per il solo fatto di raccogliere dati personali mediante un form di contatto per consentire al follower di scaricare il tutorial. Ecco cosa deve fare l’influencer in questo caso.

Influencer e informativa privacy nel GDPR

L’influencer deve informare i suoi follower rendendo loro, in maniera chiara e trasparente, tutte le informazioni individuate dall’art. 13 del GDPR.

Quali sono queste informazioni?

  • l’identità e i dati di contatto del titolare del trattamento, nella specie l’influencer;
  • le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
  • eventuali soggetti terzi cui verranno comunicati i dati personali raccolti (nominati responsabili del trattamento);
  • il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  • i diritti che il follower o comunque il soggetto che rilascia i dati può esercitare e come fare ad esercitarli (diritto di accesso ai dati, rettifica, aggiornamento, diritto di limitazione del trattamento, diritto di opposizione per motivi legittimi, diritto alla portabilità del dato, se possibile, diritto di cancellazione, diritto di proporre reclamo a un’autorità di controllo);
  • l’esistenza di un processo decisionale automatizzato, compresa la profilazione (in questo caso, però occorre anche ottenere il consenso espresso).

Il consenso al trattamento dei dati personali dei follower

Se poi dietro al download del tutorial vi sono anche fini di marketing e dunque l’influencer ha interesse, ad esempio, a utilizzare le informazioni acquisite per consentire al follower di scaricare il tutorial altresì per inviargli pubblicità sulla farina a marchio usata nel tutorial, allora dovrà ottenere il consenso espresso per questa finalità di trattamento del dato, consentendo al follower di ritirare tale consenso in qualsiasi momento e informarlo su come potrà esercitarlo [diritto di opposizione al trattamento per fini di marketing]; se poi intende anche trasmettere i dati acquisiti all’azienda produttrice della farina che a sua volta vorrebbe rielaborarli per propri scopi pubblicitari, allora il consenso da ottenere sarà ancora un altro e sarà riferito specificamente alla comunicazione del dato a terzi, salvo che l’influencer e l’azienda non abbiano stipulato un contratto di contitolarità per il trattamento di tali informazioni (ma questa è un’altra storia).

Utilizzare i dati personali dei follower per fini di marketing, per scopi di profilazione, trasmettere tali informazioni a un’altra azienda per conto della quale l’influencer promuove prodotti per scopi propri dell’azienda in questione, sono infatti finalità di trattamento distinte rispetto a quella riferita al tutorial per cui il follower compila il form; per trattare i dati personali per quelle ulteriori finalità, si ha quindi bisogno di uno specifico consenso [specifico per ciascuna finalità], informato, espresso, attivamente reso, tracciato, libero.

L’agenzia di marketing come responsabile del trattamento

Poniamo adesso il caso che l’influencer si avvalga di un’agenzia di marketing che per suo conto rielabora i dati dei suoi follower per creare una statistica anonima di dati aggregati e capire per target da chi è maggiormente seguito l’influencer; allora tale agenzia dovrà stipulare con l’influencer un contratto o altro atto giuridico che contenga tutto quanto richiesto dall’art. 28 del Regolamento n. 679/2016.

In tal caso, infatti, l’agenzia, agendo per conto del titolare del trattamento [influencer], opererà quale responsabile del trattamento e dovrà essere istruita dal titolare del trattamento su come procedere, secondo i dettami del GDPR.

Questo vale anche se una software house fornisce all’influencer un software che gli consenta autonomamente di sistematizzare i dati dei suoi follower, raggruppandoli ad esempio per età, per sesso, nella misura in cui tale software house possa accedere alle informazioni dei follower, ad esempio per fini di aggiornamento e manutenzione del software fornito; in questo caso, se il software è fornito nella modalità SaS [software as a service] e quindi al sistema l’influencer può accedere da remoto, è opportuno verificare dove sono localizzati i server, in quanto se essi si trovano fuori dal SEE, dovrà essere considerata la disciplina del GDPR relativa al trasferimento di dati personali fuori dall’Europa.

Come gestire collaboratori in relazione ai dati personali dei follower

Continuiamo con il nostro esempio. Il nostro influencer è diventato più forte, tutti lo amano e lo seguono e le aziende fanno la fila perché possa contribuire alla promozione dei loro prodotti, adesso ha aperto una partita iva nel settore delle pubbliche relazioni e ha bisogno di un supporto per gestire la sua attività.

Ingaggia il suo migliore amico che lo supporterà nelle risposte da dare ai follower, nella gestione del profilo social e nell’aggiornamento delle pagine del suo sito, ciò significa che il collaboratore dell’influencer avrà libero accesso ai dati personali dei suoi follower; anche se materialmente sui dati personali da oggi in poi potrà agire il suo fedele collaboratore, l’influencer rimane sempre titolare del trattamento rispetto ai dati dei suoi follower.

Da bravo titolare è tenuto pertanto a formare e istruire il collaboratore e autorizzarlo al trattamento di tali dati, mediante la formulazione di una lettera d’incarico e relative istruzioni e dovrà effettuare tutti gli altri adempimenti richiesti dal GDPR in base alla situazione concreta che andrà a verificarsi.

Conclusioni

Concludendo, sin qui abbiamo fornito indicazioni basilari su ciò che un influencer deve considerare quando raccoglie dati personali di persone fisiche che intende trattare per determinate finalità del trattamento. L’influencer, infatti, in base al modo e al contesto in cui opera, dovrà considerare anche i rischi connessi ai trattamenti di dati da lui effettuati e ai sistemi informatici che impiega, adottando adeguate misure di sicurezza per scongiurare possibili violazioni sui dati che lui gestisce e che potrebbero incidere negativamente sui diritti e le libertà delle persone e quindi evitare che accadano furti di dati, accessi non autorizzati, alterazioni delle informazioni, impossibilità di accedere alle stesse, divulgazione non autorizzata.

Il GDPR fornisce regole generali che in virtù del principio di responsabilizzazione vanno tagliate sul caso concreto, ogni situazione va analizzata in dettaglio per capire bene come un influencer deve muoversi nel quadro delle norme sui dati personali. Considerando la mole di dati personali che un influencer può arrivare a trattare, è opportuno iniziare a prendere dimestichezza e acquisire consapevolezza sull’argomento, in virtù del fatto che un titolare del trattamento che violi il GDPR può subire pesanti sanzioni oltre che essere chiamato dagli interessati (ossia le persone cui i dati si riferiscono) a rispondere di risarcimento del danno in caso di torti subiti a causa di una violazione sui loro dati personali.

WEBINAR
Approccio Zero Trust: quanto è importante in un progetto di security? Scoprilo nel live
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA
S
Annalisa Spedicato
Avvocato, Consulenza legale in Diritto della proprietà industriale e intellettuale, diritto della comunicazione digitale e dell’informatica, dati personali

Articolo 1 di 5