Cos’è il GDPR e come adeguarsi alle nuove norme sulla privacy

You are currently viewing Cos’è il GDPR e come adeguarsi alle nuove norme sulla privacy

Intro: Come deve adeguarsi chi ha un blog o un sito web ai nuovi dettami della GDPR? Ne parlo con Simone Carusi, CEO di Open-Box e esperto del settore.

Il 25 maggio è la data che ha traumatizzato tutti, dalla mega azienda strutturata al piccolo blogger di provincia che fa 3 visite all’anno.

L’entrata in vigore del GDPR, ovvero il nuovo regolamento europeo sulla gestione della privacy, ha generato caos e panico, favorendo purtroppo la diffusione di notizie poco accurate e la nascita di pseudo professionisti interessati ad offrire consulenze aziendali ad hoc.

Ogni volta che accade qualcosa del genere, sia nel mio lavoro che in generale, preferisco aspettare un po’ e informarmi a dovere, rivolgendomi a fonti che ritengo autorevoli.

Per questa ragione ho deciso di intervistare, all’interno del mio gruppo chiuso su Facebook #socialmediacoRso, Simone Carusi, CEO di Open-Box e (suo malgrado) esperto di GDPR.

Puoi guardare l’intervista in video, ma di seguito riporto una trascrizione/sintesi di quello che ci siamo detti, in modo da avere tutto a portata di mano.

Io l’ho trovata una chiacchierata illuminante e risolutiva, e sono convinto che sarà così anche per te.

Intervista sul GDPR a Simone Carusi di Open Box

Trascrizione dell’intervista

Francesco

Eccoci qua, siamo in diretta. Io sono Francesco Ambrosino, oggi ospito Simone Carusi, CEO di Open-Box, l’agenzia con il quale collaboro da un paio di anni e della quale faccio parte come dipendente da gennaio.

Oggi parliamo di quello che sembra essere l’argomento più interessante del momento, anche più dei mondiali, che è il GDPR, cercando di dare un taglio pratico alla questione.

Lo facciamo sotto forma di intervista e ringrazio Simone di aver accettato questa proposta di fare webinar qui nel gruppo del del mio corso, grazie.

Simone

Grazie a te Francesco

Francesco

Iniziamo subito con le domande. A che punto siamo con il GDPR?

Dobbiamo considerarlo come un qualcosa di urgente a cui porre rimedio e metterci in regola, o abbiamo ancora un margine d’azione, perché magari ci sono delle proroghe, perché il regolatore ci metterà un po’ di tempo per iniziare eventualmente ad avviare dei controlli?

Simone

Bella domanda, perché, di fatto, il GDPR è applicabile dal 25 maggio di quest’anno già nella sua interezza, in Italia come in tutti gli altri Paesi europei.

C’è da dire che Garanti e/o autorità che ne fanno le veci, sia in Italia che in altri Paesi, come ad esempio in Francia, si sono affrettate almeno a chiarire che attueranno un periodo di “grazia”, cioè perlomeno nei primi mesi, si pensa almeno fino a tutto il 2018, non avranno la mano pesante in quelle che possano essere le infrazioni, e quindi nelle ammende che commissioneranno a chi contravverrà al GDPR.

In Italia questo non è stato detto, il Garante non si è pronunciato in questi termini, però in altre occasioni mi è capitato di partecipare ad alcuni interventi pubblici in cui erano presenti rappresentanti dello stesso Garante della Privacy, in cui effettivamente a domanda hanno risposto in maniera molto chiara, sostenendo che è vero che il GDPR prevede massimali fino a 20 milioni di euro come multe massime, ma è vero anche che non prevede nessun minimale.

Come a dire che in un primo periodo eviteranno di andarci giù pesante sulle sanzioni, cercando di valutare caso per caso almeno la buona volontà di aver fatto dei passi in avanti, e comunque di aver dimostrato di volersi mettere in regola.

In altri speech pubblici ho avuto accanto rappresentanti di istituti bancari molto grandi, organizzazioni che fanno del trattamento dei dati se non il loro core business qualcosa di comunque intimamente legato ad esso che hanno candidamente ammesso che non sarebbero stati compliant entro il 25 maggio e forse non lo sarebbero stati mai al 100%, ma comunque si stavano adoperando per far sì che, piano piano, si adeguassero il più possibile alle regole ed i nuovi dettami del GDPR.

C’è da dire che tanti si aspettano ancora un decreto di armonizzazione; dato che il GDPR è applicabile già dal 25 maggio, non vuol dire in automatico che la nostra cara vecchia 196, decreto legge sulla privacy, vada automaticamente in disuso.

Questo infatti è tuttora valido, e si aspetta dal Governo – che si è insediato, va detto, da pochissimo – un decreto di armonizzazione, perché ci sono alcune figure che vanno in contrasto.

Prima di queste elezioni il garante della privacy aveva dato un parere positivo ad una prima bozza di decreto che di fatto dovrebbe mandare in pensione la legge 196, o comunque modificarla per essere adeguata ai nuovi dettami del GDPR; non esiste ancora però il decreto, ma soltanto un primo parere positivo.

Anche questo blocca quelli che potrebbero essere degli standard che tutti un po’ aspettiamo, anche perché in generale il GDPR non prevede degli istituti minimi a cui uno si deve attenere, altrimenti salta tutto l’impianto normativo del GDPR che, di fatto, prevede il concetto cardine dell’accountability.

Un principio di responsabilizzazione di chi tratta i dati che deve avere la consapevolezza di un buon padre di famiglia, e quindi fare tutto in modo che non si corra rischi per gli interessati, ovvero le persone di cui tratto i dati, e che questi ultimi non vengano dispersi, distrutti o usati illecitamente.

E questa è la regola, non ci sono, come nella 196, dei dettami minimi da seguire, come la password di otto caratteri, la doppia autenticazione, il fatto che ogni tre mesi sia necessario modificare la password e così via.

Non esistono regole minime, però perlomeno ci si aspetta dal garante, come hanno fatto già in Francia – dove hanno già dato dei template da usare per lo meno per il registro dei trattamenti – almeno delle linee guida larghe, generiche quanto si vuole, personalizzabili, minimali.

Leggi anche:   Newsjacking: cos'è e come farlo [Video]

Che, sia chiaro, non solleveranno mai nessuno dalla responsabilità, ma perlomeno ci daranno una mano a dire, ad esempio, che si sta effettuando correttamente la registrazione del trattamento dentro il registro, o dei modelli standard con cui si possa affidare correttamente l’incarico al responsabile del trattamento esterno ai dati.

Devo dire che le società più inclini a questo e i consulenti per le certificazioni si sono già mossi, sono già presenti un sacco di template.

Però il garante non ha mai detto né sì né no.

C’è anche un bellissimo software open source, fatto dal garante della privacy francese – che per fortuna si è preoccupata anche di noi poveri parlanti la lingua italiana, e l’ha già tradotta – che permette di fare la valutazione del rischio. Quella che nel GDPR è chiamata PIA, ovvero Privacy Impact Assessment.

Per ogni trattamento, o per lo meno per trattamenti più rischiosi, quindi di dati sensibili o coloro che massivamente trattano tanti dati in maniera periodica e assidua, sarebbe il caso di fare questa valutazione del rischio.

Francesco

Questo questo software che tu menzionavi come si chiama? È possibile scaricarlo liberamente?

Simone

Si scarica anche dal sito del garante della privacy italiano. Si chiama proprio PIA, è un software che si installa, già pronto e multi piattaforma, linux, windows, OS. Funziona anche via web.

Ci sono anche dei video tutorial su Youtube che lo illustrano.

È un po’ da smanettoni, o perlomeno più che da smanettoni IT è da smanettoni Legal, nel senso che un minimo di normativa si deve conoscere per fare una privacy impact assessment.

È tutto guidato, ci sono un sacco di spiegazioni, di tutorial e di istruzioni, di help online, ma effettivamente poi bisogna conoscere la normativa.

Però per chi fa il mestiere come noi di Open-Box, che facciamo trattamento dati in maniera massiva e di dati spesso sensibili per nome e conto di clienti, è importante, ci toglie tanti problemi, si può fare liberamente l’analisi del rischio e la si può documentare grazie a questo software

Francesco

Essenzialmente è molto utile per chi, come ad esempio Open Box, gestisce grosse moli di dati dati sensibili.

Per sintetizzare quello che hai detto, possiamo dire che allo stato attuale non c’è questa urgenza che hanno voluto comunicare tutti online in questi questi ultimi mesi, perché è vero che il GDPR è in vigore del 25 maggio, ma è entrato in vigore il regolamento europeo non ci sono come hai detto tu ancora decreti attuativi per le linee guida nel nostro paese e c’è ancora una coesistenza di due leggi sulla privacy, la vecchia 196 e questa.

Quindi al momento c’è un po’ di di caos normativo che anche normale, perché c’è bisogno di un assestamento.

Storicamente potremmo anche tendere a pensare che se aspettiamo che l’italia recepisca senza la minaccia di una multa il regolamento europeo, passerà qualche anno, perché di solito dal momento in cui la comunità europea è poi entrato in vigore il regolamento al momento in cui poi il governo italiano lo recepisce passano anni.

Questo però non è il caso del GDPR.

Non dobbiamo aspettare così tanto però è vero che non dobbiamo proprio sentirci col fiato sul collo perché c’è ancora un attimino di tempo anche se è passato il 25 maggio per metterci in regola.

Quello che io volevo capire è, visto che io faccio il blogger e chi è iscritto al gruppo tendenzialmente fa social, fa blogging oppure gestisce siti per conto dei clienti o delle proprie aziende, il GDPR come impatta realmente in maniera proprio pratica con chi ha un blogettino come il mio, dove effettivamente non è che acquisisco dati al massimo prendo gli indirizzi email con la newsletter.

Ma è vero che dobbiamo preoccuparci anche dei commenti, se abbiamo i commenti di facebook installati sul nostro blog agli articoli, del tracciamento analytics? Tutte queste cose sono effettive oppure la nostra preoccupazione è inutile?

Simone

Allora, per concludere il punto di prima e passo subito alla domanda. Il concetto è che se facessi della mia attività principale spam, mi preoccuperei.

Se, invece, faccio trattamento dei dati e lo faccio in maniera comunque consapevole e con ragione di causa, e non ho una volontà di essere impattante nei confronti dei diritti degli interessati, e quindi sulla loro privacy e la loro vita reale, non dovrei temere nulla e dovrei soltanto dimostrare di aver capito che qualcosa dal 25 maggio di fatto è cambiato e che mi sto attrezzando affinché mi possa rendere sempre più adeguato a quelli che sono i regolamenti.

Per chi gestisce un sito, un blog, in cui effettivamente ha da gestire sì e no un form di richiesta di contatto e un’iscrizione alla newsletter, non è che cambi così tanto l’arrivo della GDPR.

Vero è che bisogna essere in grado di dimostrare di aver ottenuto il consenso ai dati ottenuti, quindi alcuni accorgimenti tecnici bisognerà comunque, e si dovrà sicuramente aggiornare l’informativa, sulla quale tanto si basa la GDRP che esige una informativa molto più semplificata e leggibile da parte dell’interessato e soprattutto vuole che sia specificato bene chi è il titolare, chi si occupa del trattamento.

È un’informativa in cui si può meno fare copia incolla.

Una volta si usava tanto fare il copia incolla delle informative di altri, presa una privacy policy, il resto erano tutte esattamente uguali.

Ora invece ci vuole un pochino più di criterio nella redazione di un’informativa, bisogna specificare bene qual è la finalità del trattamento, perché si richiedono i dati, quanto tempo si intende conservarli, se ci sono altre destinazioni di questi dati, ovvero se noi li raccogliamo per affidarli a terzi.

Queste sono un po’ le cose, però effettivamente chi ha un blog e magari manda newsletter a chi si iscrive all’interno del loro sito e che fa una profilazione con analytics delle visite, non è che deve tenere un registro dei trattamenti, se no sarebbe veramente pura follia, e nemmeno deve nominare un DPO, quelli che sono gli obblighi per le ditte che fanno della propria attività principale l’utilizzo di dati.

Leggi anche:   Come organizzare un evento a zero budget (o quasi)

Lo devono per forza fare tutte le pubbliche amministrazioni, giustamente, e tutti gli ospedali.

Chi gestisce un blog di informazione e che davvero ha dei cookies installati soltanto per il report delle visite o manda soltanto delle newsletter contenenti per lo più gli stessi articoli del blog, senza fare altro, non corre il rischio di essere multato per non avere il registro dei trattamenti.

L’importante è che ci siano quei due o tre accorgimenti tecnici da mettere per forza, perché danno la certezza di diritto.

Un aggiornamento della privacy policy, questo si.

 

Francesco

Giusto per capirci, in maniera pratica io che ho un blog e chi ci ascolta non possiamo di fatto raccogliere una e mail per l’iscrizione alla newsletter mettendo un pop up che abbia come campo semplicemente nome, cognome, email, senza avere poi tutta la privacy policy leggibile in quel momento, se ho ben capito.

Non possiamo mettere il pop up, altrimenti la privacy policy che facciamo? La possiamo mandare via email dopo? Non credo!

Dobbiamo mostrarla nel momento in cui richiediamo la mail quindi cambia anche l’interfaccia che dobbiamo utilizzare per acquisire questo dato, oppure no?

Quanto in là ci possiamo spingere nel chiedere dati per non essere poi di fatto rotti le scatole dall’autorità?

Cioè, il nome, cognome, indirizzo email, non sono dati sensibili. Se iniziamo a chiedere l’età, oppure la residenza, già abbiamo più problemi?

Anche per capire come lo dobbiamo strutturare il form.

Simone

L’età, il sesso, sono sempre dati comuni. Come dati sensibili si comincia a parlare effettivamente di dati biometrici, oppure preferenze e iscrizione a partiti politici o sindacati, questioni di banche, ovviamente questi sono sicuramente i dati sensibili su cui bisogna prestare molta più accortezza nel trattamento e nella richiesta del consenso, e c’è bisogno di un consenso rafforzato.

Per quanto riguarda, invece, dati comuni come possano essere quelli richiesti per l’iscrizione alla newsletter, basta che nel form di richiesta ci sia un link alla privacy policy, in cui effettivamente si spiega come i dati forniti in quel momento verranno utilizzati, da chi verranno utilizzati, per quanto tempo, e quali sono i diritti di informazione a cui un soggetto, dopo essersi iscritto alla newsletter, può effettivamente accedere e come.

Diritto all’oblio, diritto di cancellazione, diritto alla portabilità, sono tutti i nuovi diritti venuti fuori con il GDPR e devono esse contenuti nella privacy.

Questa informativa può essere anche erogata tramite un link, quindi basta aggiungere al forum una spunta non preselezionata purché ci sia l’azione di mettere il check, e una riga in cui si autorizza al trattamento dei dati secondo la privacy policy.

L’importante è che questo form poi vada effettivamente a riempire una voce nel database. Questa riga che viene salvata nel db deve contenere l’ora, la data e l’IP di provenienza.

Questo ti certifica che hai ottenuto il consenso da quell’indirizzo specifico.

Francesco

Se utilizzate Sumo come plugin wordpress, se non ricordo male la possibilità di aggiungere il link al forum non c’è, però il csv che si va a generare con l’acquisizione di questi dati contiene quelle indicazioni che dicevi tu, già le conteneva, quindi c’è l’ip, c’è l’ora, c’è anche la URL della pagina che l’utente ha visitato nel momento in cui ha rilasciato l’email.

Quindi potreste utilizzare sumo come plugin.

Simone

L’importante è che ci sia il check, il flag, per il consenso.

Francesco

E per la privacy policy come ci dobbiamo regolare? Come giustamente ricordavi tu, noi facevamo andavamo su un sito autorevole che aveva la privacy policy fatta bene e ce la andavamo a scopiazzare, cambiavamo giusto i dati nostri e la mettevamo sul sito.

Adesso come dobbiamo fare? Dobbiamo pagare Iubenda per farci fare la privacy policy dedicata?

Come ce la scriviamo questa policy se abbiamo un povero bloggettino e non abbiamo i soldi per pagare l’avvocato, e quindi la consulenza per farla dedicata?

Come ci regoliamo?

Simone

Iubenda lo consiglio. È gratuito fino a tre moduli, ma suggerisco di scegliere la soluzione a 19 euro l’anno e si sta più tranquilli.

Effettivamente si riesce a customizzarla con poca dimestichezza, e si riesce a fare una privacy policy già multistrato, quindi molto molto apprezzata.

Il fatto di avere una prima privacy policy fatta ad infografica, quindi di icone e concetti veloci, rapidi, in cui effettivamente l’utente non deve passare dieci minuti del suo tempo a leggere come tratterai i suoi dati ma nel giro di un minuto ha già capito che cosa farai dei dati che ti lascerà, e poi una più estesa in caso in cui si volesse approfondire, è positivo.

Già questo multistrato è molto apprezzata nel GDRP, in cui si fa esplicito riferimento a una informativa di facile consumo per tutti.

Inoltre contiene una enorme quantità di moduli configurabili.

Anche Sumo per esempio è contemplato all’interno di Iubenda tra i moduli installabili, così come qualsiasi plugin di gestione di form, qualsiasi tipo di setting di Google Analytics e quant’altro, quindi è effettivamente molto molto comodo.

Io stesso la consiglio anche se ho la moglie avvocato che è in grado di potermi fare tranquillamente un’informativa per qualsiasi cosa.

Il vantaggio del loro sistema è che effettivamente avendola hostata nei loro server, qualora ci sia bisogno di aggiornare uno dei tanti moduli l’aggiornamento si riverbera ovunque in tutte le informative dove è presente quel modulo, quindi è una garanzia.

Sono 19 euro spesi bene.

Francesco

Questa potrebbe essere una soluzione a pochi euro all’anno e siamo tranquilli.

Insomma, da questo punto di vista non dobbiamo lasciarci terrorizzare dal terrorismo di chi, pur di vendere consulenza in questi in questi ultimi due-tre mesi ha fatto pensare che dovevamo spendere migliaia di euro.

Leggi anche:   Come rendere un e-commerce sicuro e accessibile per tutti

A questo punto ti faccio le ultime due domande.

La prima è se ci sono dei plugin per wordpress che possiamo utilizzare sia per la barra dei cookie aggiornata sia per la gestione della GPDR, fermo restando che da quello che ho letto il prossimo aggiornamento di wordpress dovrebbe contenere una serie di funzionalità compliance per poter gestire tutto, dare la possibilità all’utente di scaricarsi i propri dati ecc.

Nel frattempo ci puoi consigliare qualche plugin da installare sul nostro sito?

Simone

Per le cookie policy ce n’è tantissimi, quindi non ne ho uno preciso da consigliare, anche perché di fatto non è cambiato quasi niente, anzi Iubenda fornisce anche la parte di cookies, quindi consiglio di usare quello.

Per quanto riguarda la raccolta del consenso noi utilizziamo l’abbinata Contact Form 7 e Flamingo.

Contact Form 7 è banalmente un plugin per la creazione di contact form, appunto, come dice il nome.

Flamingo fa quello che non fa Contact Form 7 da solo, ovvero fa una registrazione nel database di quello che si diceva prima, quindi il check al consenso, il nome, il cognome, la email, la data, l’IP, e lo puoi conservare ed è esportabile dal back office di wordpress.

Francesco

Come ci dobbiamo regolare con tutti quei lead che abbiamo già acquisito attraverso il pop up, il modulo di contatto, il lead magnet e così via?

Devo mandare una informativa, devo mandare un form, devo chiedere di nuovo il consenso?

Come funziona?

Simone

Beh, questa è la domanda mi pongono e si pongono tutti. Esiste una risposta, nel senso che è da considerare una best practice o, per lo meno, è quello che viene utilizzato dai più grossi player che ci sono – come MailUp, ad esempio.

Intanto bisogna dividere il database in due, se si ha la possibilità.

Se, di fatto, l’interessato di cui sto trattando i dati è un mio cliente, quindi ha fatto un processo di registrazione un po’ rafforzato, ha cioè accettato dei termini di servizio (TOS), e quindi ho salvato nel database la data in cui effettivamente si è registrato, per questi può valere tranquillamente la formula del “Sai che c’è? Ho aggiornato la privacy policy alla GDPR. Se vuoi, questo è il link”.

Basta una banale informazione che hai cambiato l’informativa e che da questa data le condizioni sono cambiate in maniera unilaterale.

Tutti quei contatti, invece, che hai acquisito con il form “Inserisci qui la tua email”, “Iscriviti alla newsletter”, oppure hai raccolto direttamente dai bigliettini da visita, o ancora durante una fiera con un foglio di carta, devi per forza richiedere il consenso, e loro devono manualmente fornirtelo, non basta l’informativa.

Francesco

Volendo un attimino semplificare, noi che abbiamo acquisito le email dei nostri lettori tramite il blog semplicemente con un pop up, con nome, cognome, email, siamo fottuti.

Perché ovviamente non gli abbiamo né mostrato privacy policy in quel momento, né gli abbiamo chiesto una spunta, né tanto meno gli abbiamo inviato dei termini di servizio.

Quindi io che ho un migliaio di email acquisite nel corso degli ultimi 3-4 anni di onorata carriera dovrei semplicemente richiedere a queste persone di darmi nuovamente il consenso.

Come lo faccio questo? Mandando una mail a queste persone? Ma le devo rimandare ad un form per farle re-iscrivere? Come funziona il consenso?

Simone

Allora, dipende. Non so come funzioni Mailchimp, ma MailUp di sicuro ha un sistema suo per richiedere il consenso agli utenti già nel database, infatti consiglia di fare proprio un discernimento tra quelle che sono le email che sono di clienti, e quindi sono già a posto, e quelle invece a cui deve essere richiesto il consenso, per queste ultime puoi utilizzare un suo funnel, in cui effettivamente non c’è bisogno di riscrivere nome e cognome, è solo necessario checkare il consenso accanto al link alla nuova privacy policy.

Francesco

Per chiudere l’intervista e fare una sorta di sintesi di tutto quello che abbiamo detto, allo stato attuale la GDPR è in vigore però non ci sono ancora delle linee guida italiane, quindi ci dobbiamo preoccupate ma non ci dobbiamo cagate sotto.

Per chi ha un sito web o blog e ha acquisito dati in questi anni di attività, senza richiedere effettivamente una registrazione più completa con dei termini di servizio, ma soltanto attraverso il pop up, deve fare una procedura per richiedere il consenso, o attraverso i tool che ci consentono di farlo in maniera automatica, come Mailchimp, Mailup o altri, oppure in maniera autonoma costruendo noi un form e mandare le persone lì.

Quindi diciamo che il processo sarebbe questo:

  1. Andiamo su Iubenda e facciamo la generazione della nostra privacy policy e dei cookie a 19 euro;
  2. Prendiamo questa policy e inseriamola sul nostro sito con una pagina dedicata;
  3. Facciamo in modo che il nostro pop up contenga la dicitura della privacy policy conforme alla GDPR e un flag da spuntare manualmente dall’utente per fornire il consenso;
  4. Per tutte le email già acquisite, mandiamo il link alla nuova privacy policy e richiedere il consenso nuovamente con i tool o con un nostro form (tipo quello di Google Form, banalmente). Meglio fare una pagina dedicata, nascosta a Google a all’utente, dove inviare gli utenti e collegare il form a Flamingo.

Conclusioni

Spero che le risposte di Simone ti abbiamo chiarito le idee, fornendoti indicazioni pratiche per metterti in regola con i nuovi dettami della GDPR.

Come hai avuto modo di ascoltare e/o leggere, se hai un blog non devi agitarti più di tanto, bastano alcuni piccoli accorgimenti tecnici e una spesa irrisoria per sviluppare una privacy policy conforme, ed il problema è risolto.

Francesco Ambrosino

Classe 1984, Digital Marketer specializzato in Gestione Blog Aziendali, Formazione Professionale, SEO Copywriting, Social Media Management e Web Writing. Membro di Open-Box e Comunicatica, co-creatore di Digitalklive

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.