Cos’è il GDPR e come adeguarsi alle nuove norme sulla privacy

Cos'è il GDPR e come adeguarsi alle nuove norme sulla privacy

Intro: Come deve adeguarsi chi ha un blog o un sito web ai nuovi dettami della GDPR? Ne parlo con Simone Carusi, CEO di Open-Box e esperto del settore. 

Il 25 maggio è la data che ha traumatizzato tutti, dalla mega azienda strutturata al piccolo blogger di provincia che fa 3 visite all’anno.

L’entrata in vigore del GDPR, ovvero il nuovo regolamento europeo sulla gestione della privacy, ha generato caos e panico, favorendo purtroppo la diffusione di notizie poco accurate e la nascita di pseudo professionisti interessati ad offrire consulenze aziendali ad hoc.

Ogni volta che accade qualcosa del genere, sia nel mio lavoro che in generale, preferisco aspettare un po’ e informarmi a dovere, rivolgendomi a fonti che ritengo autorevoli.

Per questa ragione ho deciso di intervistare, all’interno del mio gruppo chiuso su Facebook #socialmediacoRso, Simone Carusi, CEO di Open-Box e (suo malgrado) esperto di GDPR.

Puoi guardare l’intervista in video, ma di seguito riporto una trascrizione/sintesi di quello che ci siamo detti, in modo da avere tutto a portata di mano.

Io l’ho trovata una chiacchierata illuminante e risolutiva, e sono convinto che sarà così anche per te.

Intervista sul GDPR a Simone Carusi di Open Box

Trascrizione dell’intervista

Francesco

Eccoci qua, siamo in diretta. Io sono Francesco Ambrosino, oggi ospito Simone Carusi, CEO di Open-Box, l’agenzia con il quale collaboro da un paio di anni e della quale faccio parte come dipendente da gennaio.

Oggi parliamo di quello che sembra essere l’argomento più interessante del momento, anche più dei mondiali, che è il GDPR, cercando di dare un taglio pratico alla questione.

Lo facciamo sotto forma di intervista e ringrazio Simone di aver accettato questa proposta di fare webinar qui nel gruppo del del mio corso, grazie.

Simone

Grazie a te Francesco

Francesco

Iniziamo subito con le domande. A che punto siamo con il GDPR?

Dobbiamo considerarlo come un qualcosa di urgente a cui porre rimedio e metterci in regola, o abbiamo ancora un margine d’azione, perché magari ci sono delle proroghe, perché il regolatore ci metterà un po’ di tempo per iniziare eventualmente ad avviare dei controlli?

Simone

Bella domanda, perché, di fatto, il GDPR è applicabile dal 25 maggio di quest’anno già nella sua interezza in Italia come in tutti gli altri Paesi europei.

C’è da dire che Garanti e/o autorità che fanno la stessa parte del garante della privacy italiana in altri paesi si sono affrettate almeno a chiarire che, come in Francia, attueranno un periodo di “grazia”, cioè perlomeno nei primi mesi e si pensa almeno fino a tutto il 2018, non avranno la mano pesante in quelle che possano essere le infrazioni e quindi le ammende che commissioneranno a chi di fatto poi contravverrà al GDPR.

In italia questo non è stato detto, il garante non si è pronunciato in questi termini però in altre occasioni mi è capitato di intervenire in alcuni interventi pubblici con persone poi rappresentanti dello stesso garante della privacy in cui effettivamente a domanda ha risposto in maniera molto chiara che è vero che il GDPR prevede massimali fino anche a 20 milioni di euro come multe massime, però è vero anche che non prevede nessun minimale.

Come a dire che in un primo periodo eviteranno di andarci giù pesante sulle sanzioni cercando di valutare caso per caso almeno la buona volontà di aver fatto dei passi in avanti, e comunque di aver dimostrato di volersi mettere in regola.

In altri speech pubblici ho avuto accanto rappresentanti di istituti bancari molto grandi, organizzazioni che fanno del trattamento dei dati se non il loro core business qualcosa di comunque intimamente legato che hanno candidamente risposto che non sarebbero mai stati compliance entro il 25 maggio e forse non lo saranno proprio mai al 100%, ma che comunque si stavano adoperando per far sì che, piano piano, si adeguassero il più possibile alle regole ed i nuovi dettami del GDPR.

C’è da dire che tanti si aspettano ancora un decreto di armonizzazione, perché il GDPR è applicarle già dal 25 maggio, ma questo non vuol dire in automatico che la nostra cara vecchia 196, legge privacy, vada automaticamente in disuso.

Questa, infatti, è tuttora valida, si aspetta dal Governo – che si è insediato, va detto, da pochissimo – un decreto di armonizzazione perché ci sono alcune figure che vanno in contrasto.

Prima di queste elezioni il garante della privacy aveva dato un parere positivo alla prima bozza di decreto che di fatto alla fine dovrebbe mandare un po’ in pensione a 196, o comunque modificarla per essere più adeguata ai nuovi dettami del GDPR, però non esiste ancora il decreto, c’è soltanto un primo parere positivo.

Anche questo blocca quelli che potrebbero essere degli standard che tutti un po’ ci si aspetta, anche perché in generale il GDPR non prevede degli istituti minimi a cui uno si deve attenere, altrimenti salta tutto l’impianto normativo del GDPR che, di fatto, prevede il concetto diciamo cardine dell’accountability, un principio di responsabilizzazione di chi tratta i dati che deve avere la responsabilità di buon padre di famiglia, e quindi fare tutto in modo che non si corra rischi per gli interessati ovvero le persone di cui tratto i dati, che questi non dispersi, distrutti, usati illecitamente.

E questa è la regola, non c’è, come nella 196, dei dettami minimi da seguire, come la password di otto caratteri, la doppia autenticazione, il fatto che ogni tre mesi devono andare a modificare la password e così via.

Non esistono regole minime, però perlomeno ci si aspetta dal garante, come hanno fatto già in Francia – dove hanno già dato dei template da usare per lo meno per il registro dei trattamenti – almeno per le linee guida diciamo larghe, generiche quanto si vuole, personalizzabili, però minimali.

Leggi anche:   Joomla Festival 2016: tra content marketing e blogging aziendale

Che, sia chiaro, non solleveranno mai nessuno dalla responsabilità, però perlomeno ci diano una mano a dire che stiamo facendo correttamente la registrazione dei miei trattamenti dentro il registro o per lo meno dei modelli standard con cui si possa affidare correttamente l’incarico al responsabile del trattamento esterno ai dati, etc.

Devo dire che società più inclini a questo e consulenti per le certificazioni e quant’altro si sono già mossi, sono già fuori un sacco di template.

Però il garante non ha mai detto né sì né no.

C’è anche un bellissimo software open source, fatto dal garante della privacy francese – che per fortuna si è preoccupata anche di noi poveri parlanti la lingua italiana e ce l’ha già tradotta in italiano – che permette di fare la valutazione del rischio, quella che nel GDPR è chiamata PIA, ovvero Privacy Impact Assessment.

Per ogni trattamento, o per lo meno per trattamenti più rischiosi, quindi di dati sensibili o massivamente trattano tanti dati in maniera periodica e assidua, sarebbe il caso di fare questa valutazione del rischio per ogni trattamento.

Francesco 

Questo questo software che tu menzionavi come si chiama? È possibile scaricarlo liberamente?

Simone

Si scarica anche dal sito del garante della privacy italiano. Si chiama proprio PIA, è software che si installa, già pronto quella multi piattaforma, linux, windows, OS, e funziona anche via web.

Ci sono anche dei video tutorial su Youtube che lo illustrano.

È un po’ da smanettoni, o perlomeno più che da smanettoni IT è da smanettoni Legal, nel senso che comunque un minimo di normativa si deve conoscere per fare una privacy impact assessment.

È tutto guidato, c’è un sacco di spiegazione, un sacco di tutorial e di istruzioni, di help online, però effettivamente un poi bisogna conoscere la normativa.

Però effettivamente per chi fa il mestiere come noi in Open-Box che facciamo trattamenti dati anche in maniera massiva e di dati anche sensibili per nome e conto di clienti è importante, ci toglie tanti tanti problemi, si può fare liberamente l’analisi del rischio e la si può documentare grazie a questo software.

Francesco

Essenzialmente è molto utile per chi, come ad esempio Open Box, gestisce grosse moli di dati dati sensibili.

Per sintetizzare quello che hai detto, possiamo dire che allo stato attuale non c’è questa urgenza che hanno voluto comunicare tutti online in questi questi ultimi mesi, perché è vero che il GDPR è in vigore del 25 maggio, ma è entrato in vigore il regolamento europeo non ci sono come hai detto tu ancora decreti attuativi per le linee guida nel nostro paese e c’è ancora una coesistenza di due leggi sulla privacy, la vecchia 196 e questa.

Quindi al momento c’è un po’ di di caos normativo che anche normale, perché c’è bisogno di un assestamento.

Storicamente potremmo anche tendere a pensare che se aspettiamo che l’italia recepisca senza la minaccia di una multa il regolamento europeo, passerà qualche anno, perché di solito dal momento in cui la comunità europea è poi entrato in vigore il regolamento al momento in cui poi il governo italiano lo recepisce passano anni.

Questo però non è il caso del GDPR.

Non dobbiamo aspettare così tanto però è vero che non dobbiamo proprio sentirci col fiato sul collo perché c’è ancora un attimino di tempo anche se è passato il 25 maggio per metterci in regola.

Quello che io volevo capire è, visto che io faccio il blogger e chi è iscritto al gruppo tendenzialmente fa social, fa blogging oppure gestisce siti per conto dei clienti o delle proprie aziende, il GDPR come impatta realmente in maniera proprio pratica con chi ha un blogettino come il mio, dove effettivamente non è che acquisisco dati al massimo prendo gli indirizzi email con la newsletter.

Ma è vero che dobbiamo preoccuparci anche dei commenti, se abbiamo i commenti di facebook installati sul nostro blog agli articoli, del tracciamento analytics? Tutte queste cose sono effettive oppure la nostra preoccupazione è inutile?

Simone

Allora per concludere il punto di prima e passo subito alla domanda il concetto è che se faccio della mia attività principale spam, mi preoccuperei.

Se, invece, faccio trattamento dei dati e lo faccio in maniera comunque consapevole e con ragione di causa, e non ho una volontà di essere impattante nei confronti dei diritti degli interessati, e quindi della loro privacy e la loro vita reale, non dovrei temere nulla e dovrei soltanto dimostrare di aver capito che qualcosa dal 25 maggio di fatto è cambiato e che mi sto attrezzando affinché mi possa rendere sempre più adeguato a quelli che sono i regolamenti.

Per chi gestisce un sito, un blog, in cui effettivamente ha da gestire sì e no un form di richiesta di contatto e un’iscrizione alla newsletter, non è che cambi così tanto l’arrivo della GDPR.

Vero è che devi essere in grado di dimostrare aver ottenuto il consenso ai dati che hai, e quindi questo questi due o tre accorgimenti tecnici li dovrai comunque metter sù e dovrai sicuramente aggiornare l’informativa, sulla quale tanto si basa la GDRP, che esige una informativa molto più semplificata e leggibile da parte dell’interessato e soprattutto vuole che sia specificato bene chi è il titolare, chi si occupa del trattamento, è un informativa che si può meno fare copia incolla.

Una volta si usava tanto fare il copia incolla delle informative di altri, presa una privacy policy prese tutte, erano tutte esattamente uguali.

Ora invece ci vuole un pochino più di criterio nella redazione di un’informativa, bisogna specificare bene qual è la finalità del trattamento perché si richiedono i dati, e quanto tempo si intende conservarli, se ci sono altre destinazioni di questi dati, ovvero se noi li raccogliamo per affidarli a terzi.

Queste sono un po’ le cose, però effettivamente chi ha un blog e magari manda newsletter a quelli si iscrivano all’interno di loro sito e che fa una profilazione con analytics delle delle visite, non è che deve tenere un registro dei trattamenti, se no sarebbe sarebbe veramente pura follia, e nemmeno deve nominare un DPO, quelle che sono gli obblighi per ditte che fanno della propria attività principale l’utilizzo di dati.

Leggi anche:   Content Marketing e Storytelling: la lezione di Kevin Spacey

Lo devono per forza fare tutte le pubbliche amministrazioni, ma giustamente, tutti gli ospedali.

Chi gestisce un blog di informazione e che davvero ha dei cookies installati soltanto per il report delle visite o manda soltanto delle newsletter contenenti per lo più gli stessi articoli del blog, e non fa altro, non corre il rischio di essere multato per non avere il registro dei trattamenti.

L’importante è che ci siano quei due o tre accorgimenti tecnici da mettere per forza, perché danno la certezza di diritto.

Un aggiornamento della privacy policy, questo si.

Francesco

Giusto per capirci, in maniera pratica io che ho un blog e chi ci ascolta non possiamo di fatto raccogliere una e mail per l’iscrizione alla newsletter mettendo un pop up che abbia come campo semplicemente nome, cognome, email, senza avere poi tutta la privacy policy leggibile in quel momento, se ho ben capito.

Non possiamo mettere il pop up, altrimenti la privacy policy che facciamo? La possiamo mandare via email dopo? Non credo!

Dobbiamo mostrarla nel momento in cui richiediamo la mail quindi cambia anche l’interfaccia che dobbiamo utilizzare per acquisire questo dato, oppure no?

Quanto in là ci possiamo spingere nel chiedere dati per non essere poi di fatto rotti le scatole dall’autorità?

Cioè, il nome, cognome, indirizzo email, non sono dati sensibili. Se iniziamo a chiedere l’età, oppure la residenza, già abbiamo più problemi?

Anche per capire come lo dobbiamo strutturare il form.

Simone

Allora, l’età, il sesso, son sempre dati comuni! Dati sensibili si comincia a parlare effettivamente di dati biometrici, il caso della parte della salute, oppure preferenze e iscrizione a partiti politici o sindacali, questioni di banche, ovviamente questi sono sicuramente i dati sensibili su cui bisogna prestare molta più accortezza nella trattamento e nella richiesta del consenso, e c’è bisogno di un consenso rafforzato.

Per quanto riguarda, invece, dati comuni come possa essere quelli richiesti per l’iscrizione alla newsletter, quello effettivamente basta che nel form di richiesta ci sia un link alla privacy policy, in cui effettivamente si spiega quei dati li che stai dando in quel momento come verranno utilizzati, da chi verranno utilizzati, per quanto tempo e quali sono i diritti a cui uno, dopo essersi iscritto alla newsletter può effettivamente accedere e come.

Diritto all’oblio, il diritto di cancellazione, il diritto alla portabilità, sono tutti i nuovi diritti venuti fuori con la GDPR e devono esse contenuti nella privacy.

Questa informativa può essere anche erogata tramite un link, quindi basta basta aggiungere al forum una spunta non preselezionata, perché ci sia quell’azione diciamo di mettere il check e un rigo in cui autorizzo il trattamento dei miei dati secondo la privacy policy.

L’importante è che questo form poi vada effettivamente a riempire una voce nel database. Questa riga che viene salvata nel db deve contenere l’ora, la data e l’IP di provenienza.

Questo ti certifica che hai ottenuto il consenso da quell’indirizzo lì.

Francesco

Se utilizzate Sumo come plugin wordpress, se non ricordo male la possibilità di aggiungere il link al forum non c’è, però il csv che si va a generare con l’acquisizione di questi dati contiene quelle indicazioni che dicevi tu, già le conteneva, quindi c’è l’ip, c’è l’ora, c’è anche la URL della pagina che l’utente ha visitato nel momento in cui ha rilasciato l’email.

Quindi potreste utilizzare sumo come plugin.

Simone 

L’importante è che ci sia il check, il flag, per il consenso.

Francesco

E per la privacy policy come ci dobbiamo regolare? Come giustamente ricordavi tu, noi facevamo andavamo su un sito autorevole che aveva la privacy policy fatta bene e ce la andavamo a scopiazzare, cambiavamo giusto i dati nostri e la mettevamo sul sito.

Adesso come dobbiamo fare? Dobbiamo pagare Iubenda per farci fare la privacy policy dedicata?

Come ce la scriviamo questa policy se abbiamo un povero bloggettino e non abbiamo i soldi per pagare l’avvocato, e quindi la consulenza per farla dedicata?

Come ci regoliamo?

Simone

Allora, io Iubenda lo consiglio. Fino a tre moduli è gratis, ma consiglio di prendere la soluzione a 19 euro l’anno e ti passano i pensieri.

Effettivamente riesci a farla custom con con poca dimestichezza, e si riesce a fare una privacy policy già multi-strato, quindi molto molto apprezzata.

Il fatto di avere una prima privacy policy fatta ad infografica, quindi di icone e concetti veloci, rapidi, in cui effettivamente l’utente non deve passare dieci minuti del suo tempo a leggere come tratterai i suoi ma nel giro di un minuto ha già capito che cosa farai dei dati che ti lascerà, e poi una più estesa in caso in cui si volesse approfondire.

Già questo multi-strato è molto apprezzata nella GDRP e se ne fa esplicito riferimento a una informativa di facile consumo per tutti.

Secondo contiene una enorme quantità tale di moduli configurabili che, anche Sumo per esempio è contemplato all’interno di Iubenda tra i moduli installabili, così come qualsiasi plugin di gestione di form, qualsiasi tipo di setting di Google Analytics e quant’altro, quindi è effettivamente molto molto comoda

Io stesso la consiglio anche se ho la moglie avvocato che è in grado di potermi fare tranquillamente un’informativa per qualsiasi cosa.

Il vantaggio del loro sistema è che effettivamente avendola hostata nei loro server, qualora ci sia bisogno di aggiornare uno dei tanti moduli l’aggiornamento si riverbera ovunque in tutte le informative dove è presente quel modulo, quindi è una garanzia.

Sono 19 euro spesi bene.

Francesco

Questa potrebbe essere una soluzione a pochi euro all’anno e siamo tranquilli.

Leggi anche:   Umberto Eco e Internet: qualche precisazione

Insomma, da questo punto di vista non dobbiamo lasciarci terrorizzare dal terrorismo di chi, pur di vendere consulenza in questi in questi ultimi due-tre mesi ha fatto pensare che dovevamo spendere migliaia di euro.

A questo punto ti faccio le ultime due domande.

La prima è se ci sono dei plugin per wordpress che possiamo utilizzare sia per la barra dei cookie aggiornata sia per la gestione della GPDR, fermo restando che da quello che ho letto il prossimo aggiornamento di wordpress dovrebbe contenere una serie di funzionalità compliance per poter gestire tutto, dare la possibilità all’utente di scaricarsi i propri dati ecc.

Nel frattempo ci puoi consigliare qualche plugin da installare sul nostro sito?

Simone

Per le cookie policy ce n’è tantissimi, quindi non ne ho uno preciso da consigliare, anche perché i fatto non è cambiato quasi niente, anzi iubenda ti da anche la parte di cookies, quindi consiglio di usare quello.

Per quanto riguarda la raccolta del consenso noi utilizziamo l’abbinata Contact Form 7 e Flamingo.

Contact Form 7 è banalmente un plugin per la creazione di contact form, appunto, come dice il nome.

Flamingo fa quello che non fa Contact Form 7 da solo, ovvero fa una registrazione nel database di quello che si diceva prima, quindi il check al consenso, il nome, il cognome, la email, la data, l’IP, e lo puoi conservare ed è esportabile dal back office di wordpress.

Francesco

Come ci dobbiamo regolare con tutti quei lead che abbiamo già acquisito attraverso il pop up, il modulo di contatto, il lead magnet e così via?

Devo mandare una informativa, devo mandare un form, devo chiedere di nuovo il consenso?

Come funziona?

Simone

Beh, questa è la domanda mi pongono e si pongono tutti. Esiste una risposta, nel senso che è da considerare una best practice o, per lo meno, è quello che viene utilizzato dai più grossi player che ci sono – come Mail Up, ad esempio.

Intanto bisogna dividere il database in due, se si ha la possibilità.

Se, di fatto, l’interessato di cui sto trattando i dati è un mio cliente, quindi ha fatto un processo di registrazione un po’ rafforzato, ha cioè accettato dei termini di servizio (TOS), e quindi ho salvato nel database la data in cui effettivamente si è registrato, per questi può valere tranquillamente la formula del “Sai che c’è? Ho aggiornato la privacy policy alla GDPR. Se vuoi, questo è il link”.

Basta una banale informazione che hai cambiato l’informativa e che da questa data le condizioni sono cambiate in maniera unilaterale.

Tutti quei contatti, invece, che hai acquisito con il form “Inserisci qui la tua email”, “Iscriviti alla news letter”, oppure hai raccolto direttamente dai bigliettini da visita, o ancora durante una fiera con un foglio di carta, devo per forza richiedere il consenso, e loro devono manualmente fornirmelo, non basta l’informativa.

Francesco

Volendo un attimino semplificare, noi che abbiamo acquisito le email dei nostri lettori tramite il blog semplicemente con un pop up, con nome, cognome, email, siamo fottuti.

Perché ovviamente non gli abbiamo né mostrato privacy policy in quel momento, né gli abbiamo chiesto una spunta, né tanto meno gli abbiamo inviato dei termini di servizio.

Quindi io che ho un migliaio di email acquisite nel corso degli ultimi 3-4 anni di onorata carriera dovrei semplicemente richiedere a queste persone di darmi nuovamente il consenso.

Come lo faccio questo? Mandando una mail a queste persone? Ma le devo rimandare ad un form per farle re-iscrivere? Come funziona il consenso?

Simone

Allora, dipende. Non so come funzioni Mailchimp, ma Mail Up di sicuro ha un sistema suo per richiedere il consenso a gente già nel database, infatti consiglia di fare proprio un discernimento tra quelle che sono le mail che sono di clienti, e quindi sono già sono già a posto, e quelle invece a cui deve essere richiesto il consenso, e quindi ti manda lui un funnel suo in cui effettivamente non c’è bisogno di riscrivere nome e cognome, è solo necessario checkare il consenso e fornire il link alla nuova privacy policy.

Francesco

Per chiudere l’intervista e fare una sorta di sintesi di tutto quello che abbiamo detto, allo stato attuale la GDPR è in vigore però non ci sono ancora delle linee guida italiane, quindi ci dobbiamo preoccupate ma non ci dobbiamo cagate sotto.

Per chi ha un sito web o blog e ha acquisito dati in questi anni di attività, senza richiedere effettivamente una registrazione più completa con dei termini di servizio, ma soltanto attraverso il pop up, deve fare una procedura per richiedere il consenso, o attraverso i tool che ci consentono di farlo in maniera automatica, come Mailchimp, Mailup o altri, oppure in maniera autonoma costruendo noi un form e mandare le persone lì.

Quindi diciamo che il processo sarebbe questo:

  1. Andiamo su Iubenda e facciamo la generazione della nostra privacy policy e dei cookie a 19 euro;
  2. Prendiamo questa policy e inseriamola sul nostro sito con una pagina dedicata;
  3. Facciamo in modo che il nostro pop up contenga la dicitura della privacy policy conforme alla GDPR e un flag da spuntare manualmente dall’utente per fornire il consenso;
  4. Per tutte le email già acquisite, mandiamo il link alla nuova privacy policy e richiedere il consenso nuovamente con i tool o con un nostro form (tipo quello di Google Form, banalmente). Meglio fare una pagina dedicata, nascosta a Google a all’utente, dove inviare gli utenti e collegare il form a Flamingo.

Conclusioni

Spero che le risposte di Simone ti abbiamo chiarito le idee, fornendoti indicazioni pratiche per metterti in regola con i nuovi dettami della GDPR.

Come hai avuto modo di ascoltare e/o leggere, se hai un blog non devi agitarti più di tanto, bastano alcuni piccoli accorgimenti tecnici e una spesa irrisoria per sviluppare una privacy policy conforme, ed il problema è risolto.

Francesco Ambrosino
33 anni, Digital Marketer specializzato in Gestione Blog Aziendali, Formazione Professionale, SEO Copywriting, Social Media Management e Web Writing.Membro di Open-Box e Comunicatica, co-creatore di Digitalklive

Davvero volevi andare via senza lasciarmi un commento?

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.