Un sito a prova di GDPR

di Anghie

In questa occasione parleremo di diritti personali.
Vedremo come il cambiamento della società e il progresso tecnologico hanno determinato un forte mutamento nella gestione dei dati personali, divenuti oggi una vera e propria merce di valore.

Nel dettaglio, ci occuperemo di quali implicazioni hanno nella vita reale la Privacy e il GDPR.

A proposito, avete mai sentito parlare di GDPR? Se non ne avete mai sentito parlare forse non conoscete il diritto che riguarda il trattamento dei dati personali o non conoscete il dovere che avete di gestire al meglio i dati che vi forniscono.


Cos’è il GDPR

Il dato personale e, di conseguenza, i nostri dati generali e sensibili sono garantiti dal GDPR.

Il GDPR - General Data Protection Regulation - è il Regolamento Ue 2016/679 per la protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali e, dal 25 maggio 2018, è divenuto pienamente applicabile in tutti gli Stati membri dell’Unione Europea. Questo, se ci pensate bene, è un fatto straordinario. 

Pensate che viene applicato a tutte le aziende e a tutti i lavoratori che hanno una sede legale in Europa, anche a tutti quelli che pur non avendola in Europa vendono servizi, attività o beni a un cittadino che risiede, è domiciliato o passa nell’Unione Europea. Quindi, a decine di milioni di persone.

Le più grandi aziende al mondo si sono adeguate, anche quelle attività che non ne avevano l’obbligo. Facebook, per esempio, è uno dei colossi mondiali che si è adeguato al GDPR. Una società che ha sede fuori dall’Unione Europea, ma per il solo fatto di avere iscritti europei, ha voluto adattare le proprie direttive a questo testo normativo.

Sappiamo che ve lo state chiedendo: gli altri stati non hanno le leggi in materia di privacy? E per quale ragione un colosso come Facebook si è voluto adeguare a questo regolamento, pur non avendo sede legale in Europa? La risposta è semplice: certamente gli altri stati possiedono leggi in materia di privacy, ma il GDPR è l’unica legge al mondo che prevede che se un dato impropriamente utilizzato, viene smarrito o ceduto, il protettore del dato deve avvisare immediatamente il legittimo proprietario inviando una notifica all’utente che lo avvisi della situazione. Questo avvertimento viene definito come notifica del data breach.

Significa che se un dato di un nostro cliente viene perso o rubato, noi dobbiamo avvertire l’interessato e spiegare che abbiamo perso o ceduto i dati. Per eseguire questa operazione abbiamo l’obbligo di spiegare quello che è successo e di farlo entro 72 ore.

Detto questo, possiamo solo ipotizzare quanto terribile sia la conseguenza di perdere o cedere un dato, non solo per le sanzioni giudiziarie o pecuniarie (centinaia, migliaia o addirittura milioni di euro) ma soprattutto per il grave danno d’immagine che recheremo alla nostra azienda.

Lock

 

Com'è nato il concetto di privacy

Per capire bene che cos’è la privacy e quanto è importante sia, partiamo dalla sua storia.

Nel 1890 due avvocati scrissero un articolo dal titolo “Il Diritto alla privacy”, inteso come il diritto a essere lasciati da soli. Questo perché uno di loro una volta al mese dava una festa. A queste feste esclusive si intrufolano dei giornalisti che il giorno seguente pubblicavano nella stampa locale tutti i pettegolezzi di cui venivano a conoscenza durante questi eventi. Questi due giuristi iniziarono ad ipotizzare il diritto a essere lasciati in pace, a essere lasciati soli nella propria sfera intima, così come nella vita di tutti i giorni, a non essere disturbati a meno che non se ne dia l’espresso consenso.

 

In cosa consiste il diritto alla privacy

Il diritto alla privacy quindi è il diritto che garantisce a tutte le persone la tutela dei propri diritti personali e di come i dati personali vengono utilizzati dagli altri enti (ospedali, comuni, società private, social e dalle altre organizzazioni). D’altro canto, la tutela della privacy è un diritto che se sapremo usare bene, potrà portare dei benefici alla nostra impresa.

Oggi, 130 anni dopo, cerchiamo ancora di metterlo in pratica nella nostra vita di tutti i giorni. Per esempio: il diritto a non essere disturbati durante l’orario di pranzo da operatori di compagnie telefoniche, il diritto che le nostre conversazioni non vengano inoltrate senza il nostro esplicito consenso a degli estranei, che la nostra immagine non venga usata per meme o il diritto a non divulgare il nostro stato di salute sono prerogative integranti della nostra quotidianità..

Se i nostri diritti di cittadini non vengono rispettati e vengono in qualche modo calpestati, abbiamo la facoltà di segnalarlo al Garante Privacy. Il garante per la protezione dei dati personali è un'autorità amministrativa indipendente italiana istituita dalla legge 31 dicembre 1996, n. 675, per assicurare la tutela dei diritti e delle libertà fondamentali e il rispetto della dignità nel trattamento dei dati personali.

Privavy

 

Il dato personale: definizione e riferimenti legislativi

Nel dettaglio vediamo che un dato personale è ogni informazione da cui si riconosce o si può riconoscere una persona fisica. Dobbiamo ricordare, infatti, che il GDPR è il diritto alla protezione dei dati personali inteso come diritto fondamentale delle persona fisiche e non viene applicato quindi alle società.

Art. 1 par. 2

“Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali”.

Il dato personale si divide in due categorie:

  • Dati generali: nome e cognome, data di nascita, numero di cellulare, nickname, l’immagine, la voce e ogni dato utile a riconoscerci;
  • Dati sensibili: origine etnica, opinione politica, stato di salute, orientamento sessuale, identità di genere, dati giudiziari. Si chiamano così perché di noi rivelano aspetti particolarmente sensibili e devono essere trattati con maggiore cura.

 

Accountability: come dimostriamo di essere a norma di legge

Prima del GDPR avevamo il codice della privacy che formulava “ai sensi del Decreto Legislativo 196 del 2003”. Nel 2018, con l’introduzione del GDPR, questo codice è stato completamente rivoluzionato. Queste modifiche sono tante e complesse e sono anche utili (se sapremo utilizzarle). Una delle modifiche sostanziali fatte è l’introduzione del Principio di Responsabilizzazione o Accountability. Se nella posizione di titolare del trattamento dei dati personali subiamo un controllo o dietro segnalazione al Garante o in seguito ad una causa, dobbiamo dimostrare di aver fatto ogni cosa in nostro possesso per mettere in pratica il GDPR.

Questo deve essere dimostrato anche per la tutela dei documenti cartacei, dal momento che anche i documenti non digitali devono essere custoditi.

Tecnicamente, si dovrebbe fare in modo di custodire rigorosamente quei documenti in armadietti chiusi a chiave ogni sera, ma per non rivoluzionare completamente il vostro ufficio, basterà comprare dei lucchetti! Una soluzione estremamente facile da attuare.

Accountability è il principio secondo il quale, se dovesse arrivare un controllo da parte della Guardia di finanza, saremo in grado di dimostrare di aver fatto tutto il possibile per custodire le informazioni e di aver adottato un comportamento pro-attivo per il corretto trattamento di quei dati personali posti in essere.

Nella nuova normativa sulla privacy, dobbiamo tenere a mente che non possiamo inserire una dicitura standard e uguale per tutti. Non è più possibile perché ai sensi dell’art. 12 del GDPR l’obbligo è quello di informare gli utenti su come vengono utilizzati i dati personali. Si deve essere calzanti in accordo alle singole attività che svolgiamo, dovremmo dire delle cose ben precise e dovremmo dirle tutte. Se non lo facciamo, non saremo compliance.

Questa dicitura che inseriamo in base al nostro tipo di attività deve elencare:

  • il nome del titolare del trattamento, ossia la persona che gestisce i vostri dati in ragione per esempio di un e-commerce. Per stipulare questo contratto di vendita abbiamo bisogno dei dati di chi acquista il prodotto. È giusto ricordare come il titolare del trattamento non è mai il rappresentate legale, ma l’azienda nel suo insieme.
  • tutte le finalità per le quali saranno usati quei dati e le persone con le quali condivideremo i dati che devono essere pertinenti con la nostra attività.

Facendo un esempio: inviando i dati in nostro possesso al commercialista, o ad un avvocato, si dovranno elencare tutte le finalità per cui verranno trattati quei dati e le persone a cui invieremo queste informazioni. In aggiunta, si ha l’obbligo di garantire che le informazioni raccolte siano pertinenti all’attività.

Ricordate sempre che prendendo un dato per A, non è possibile utilizzarlo per B, a meno che non lo si comunichi al diretto interessato e questo dia l’esplicito consenso. Questo consenso deve prevedere anche il diritto alla cancellazione e al diritto all’oblio, ossia il diritto a pulire o ripulire la nostra immagine su internet, di essere dimenticati dal web in poche parole.

 

Chi è un DPO? E quali sono i suoi compiti?

Andiamo avanti e parliamo di un’altra novità introdotta dal GDPR, ossia il Data Protection Officer (Responsabile della protezione dei dati).
Questa figura rappresenta un controllore, che, appunto, ha il dovere di verificare che i dati personali che ci hanno affidato siano stati utilizzati correttamente. Una figura che riceve le segnalazioni dei possessori dei dati in caso lamentino il trattamento sbagliato delle proprie informazioni.

Tutti gli organismi pubblici devono nominare il DPO, e questo accade se si tratta di una Pubblica Amministrazione o di una web agency, ad esempio.Il DPO viene nominato perchè è obbligatorio e perché il beneficio di immagine è concreto. Il messaggio che inviamo ai nostri clienti sarà: “teniamo così tanto alla tua  privacy da nominare un DPO e vogliamo essere controllati e avere una figura che, eventualmente,  riceva le segnalazioni dall’esterno”.

 

Il registro dei trattamenti

Si tratta di un registro delle attività che noi svolgiamo in materia di privacy, traccia tutto attraverso l’utilizzo di un software. 

Ricordate dell’accountability? Ecco, questo registro dei trattamenti si somma al Principio di Responsabilizzazione. Grazie a esso, infatti, saremo in grado di dimostrare, durante un controllo, di aver messo in campo tutte le azioni necessarie per essere conformi alla legge sul GDPR.

Anche qui ci sono dei casi in cui è obbligatorio: tutti gli enti pubblici sono obbligati a conservarlo. Oltre agli organismi pubblici, per legge devono avere un registro tutte le aziende con più di 250 dipendenti. Tuttavia, la sua creazione è consigliabile per tutte le altre attività commerciali. Se vi state chiedendo il perchè, la risposta è semplice: l’accountability sarà presa in considerazione nella determinazione della sanzione. Sarà fondamentale nel definire il prezzo della sanzione. Aver fatto di tutto per essere a norma diminuirà la sanzione. In caso contrario, la multa sarà maggiore in relazione alle lacune riscontrate nella protezione dei dati personali.

Dobbiamo adeguarci al GDPR non solo perché le sanzioni vanno da 0 a centinaia di milioni di euro, ma soprattutto perché la sanzione più grande sarà la perdita di immagine

Potete avere il sito migliore sulla faccia della terra ma se quando si arriva alla privacy policy avete ancora “ai sensi del DL del 2003”, il risultato potrebbe essere una segnalazione. Gli utenti potrebbero pensare: “non si sono ancora adeguati al GDPR? Ma com’è possibile?”

Quando qualcuno entra nel sito, e attraverso una newsletter o e-commerce deve lasciare dei dati, pensate come sarebbe bello se al consenso al GDPR il cliente dica “sì, puoi usare i miei dati e li puoi usare per ogni punto che mi stai elencando”.
Più fate emergere il consenso, più ne rendete chiara la raccolta e più chi vi da quei dati sarà contento di farlo. Quando rendete chiaro questo trattamento, ci guadagnate in immagine.

 

Compliance: cosa si intende?

Svolgere il marketing in accordo con chi penserà di accoglierlo con grande piacere significa compliance.

Compliance

Quali saranno i dati che vengono raccolti attraverso il mio sito? Migliaia e a volte milioni di dati. Raccogliamo, per esempio, l’indirizzo http attraverso cui qualcuno si collega ad internet, numero di telefono e di conseguenza nome e cognome.

Possiamo raccogliere anche i cosiddetti cookies, stringhe di testo che permettono di capire chi siete e cosa state facendo all’interno di quel sito, oltre  alle performance e le prestazioni di quel sito stesso.

Differenziamo poi i cookie di prime parti e di terze parti. Il legislatore ha voluto distinguere tra i cookie trasmessi dal proprietario del sito internet (cookie di prime parti), e i cookie trasmessi da soggetti terzi (cookie di terze parti), di cui, come spesso accade, il proprietario del sito ne ignora la quantità raccolta e le finalità per le quali vengono poi sfruttati.

I cookie di terze parti consentono alle aziende di ricostruire le attività degli utenti su diversi siti/aziende e quindi fare un profilo più ampio e accurato, per la pubblicità personalizzata.

Proprio la presenza di cookie di terzi rappresenta la questione legalmente più difficile da inquadrare: da una parte c’è la necessità di dare consapevolezza al visitatore del sito su chi siano i destinatari delle proprie informazioni e del proprio profilo, dall’altra c’è anche la necessità di garantire usabilità e leggerezza al sito stesso.

Se noi offriamo dei servizi, tipo e-commerce o mailing list, tutto ciò comporta la raccolta di veri dati, nomi cognomi, numeri di carte di credito e così via.
Ecco, per tutto ciò sarà necessario approntare una cosa fondamentale, non solo per la legge ma, per l’esistenza/funzionalità del vostro sito stesso: la privacy policy.

Perchè una cookie policy soddisfi i requisiti previsti dalla legge, ma anche i vostri requisiti, deve necessariamente contenere delle chiare indicazioni, ossia:

  • L’elenco dei Cookie e le finalità
  • Le modalità di manifestazione del consenso
  • I dati identificativi del titolare del trattamento
  • I diritti esercitabili da tutti i navigatori del sito
  • La lingua utilizzata
  • Un banner che vi chieda se vogliate o meno continuare nella navigazione

Se non rispetterete queste indicazioni, potete essere sanzionati anche in modo grave, come è successo a Vueling, la compagnia aerea low cost spagnola

 

Il caso di Vueling Airlines

La Vueling Airlines è stata sanzionata dal Garante per la privacy spagnolo perché giudicata non adeguata al GDPR in materia di cookies, in quanto visitando il sito web della compagnia aerea gli utenti non avevano la reale possibilità di rifiutare o accettare i cookies sui propri dispositivi.

Secondo l’Autorità spagnola per la protezione dei dati (AEPD), anche se nella privacy policy del sito di Vueling gli utenti venivano informati in modo dettagliato su cosa sono i cookies e quali tipologie di questi “biscottini” digitali erano utilizzati, la società si limitava però a rimandare la gestione dei cookies alle funzioni messe a disposizione dai più comuni browser con affermazioni come “è possibile configurare il browser per accettare o rifiutare per impostazione predefinita tutti i cookies” oppure “è possibile revocare in qualsiasi momento il consenso fornito per l’utilizzo dei cookie di Vueling configurando il browser”, ovviamente andando da soli a cercare tra le impostazioni del computer.

Ciò che mancava secondo l’Authority per rendere il sito veramente conforme al GDPR, era un sistema di gestione o un pannello di configurazione dei cookies che consentisse all’utente di rifiutarli in modo chiaro. Per facilitare questa selezione il pannello dovrebbe abilitare un meccanismo o un pulsante per rifiutare tutti i cookie, un altro per abilitare tutti i cookie o per poterlo fare in modo cristallino al fine di consentire all’utente di gestire le proprie preferenze.

 

Il consenso

Parliamo ora di una parte fondamentale ed essenziale: il consenso.

In sostanza, dovrete chiedere alle persone che visitano il vostro sito, che magari vogliano comprare dal vostro sito, il loro consenso.

Abbiamo detto che un sito raccoglie milioni di dati e  il documento che contiene il come, il perché e dove verranno utilizzati e per quanto tempo li utilizzerai si chiama privacy policy ed è obbligatoria.

Quando si pronuncia la parola “consenso” spesso a scaturire è una sola reazione: panico! Ma come faccio a raccogliere il consenso? In mille modi, ad esempio con una flag “esprimo il mio consenso al trattamento dei miei dati”.

A volte capita che vi siano chiesti più consensi, perché secondo il GDPR, non è possibile chiedere il consenso generico per tutto. Ad esempio, per cedere ad altri i dati, per inviare una newsletter oppure per profilare, cioè per capire che cosa guardano sul  vostro sito gli utenti, quali parti apprezzano, quali contenuti sono utilizzati, si dovrà chiedere un apposito consenso.

Attenzione! Se chiedete un’approvazione generale all’invio di materiale della vostra attività con ogni probabilità non otterrete il consenso, perché ogni giorno ognuno di noi riceve decine di richieste di questo esatto tipo, e siamo portati a pensare che dando il consenso a questo tipo di attività saremo subissati di mail e di materiale promozionale.

Se, invece, iniziate a chiedere un consenso per il vostro compleanno solo su quel dato argomento o su quel dato prodotto, magari legato ad un evento particolare o su una specifica materia, la probabilità che vi venga accordato è molto più alta. Non copiate mai le formule del consenso, provate ad inventarne una conseguente alle attività che svolgete. Più dettagliato sarà il consenso, più alta sarà la probabilità che vi diano il consenso.

Protezione

 

Conclusioni

Mettendo in pratica tutte queste informazioni avrete un sito a prova di GDPR.

Ora è chiaro che tutte le aziende sono chiamate ad adeguarsi e devono rispettare il GDPR nel trattare i dati personali indipendentemente dalla loro dimensione che, come abbiamo visto, interessa ampie fasce di categorie professionali e non c’è, in sostanza, nessun settore che non ne sia toccato.

Adeguarsi dunque al GDPR è fondamentale per non incorrere in sanzioni di tipo legale o pecuniario, per rispettare la legge e, secondo me importantissimo, per il beneficio di immagine che avrà la nostra azienda.

È straordinario come il GDPR abbiamo rimesso le persone al centro, restituendo il pieno controllo ai cittadini europei sui propri dati personali, rafforzando e rendendo omogenee le norme e le modalità di trattamento dei dati personali all’interno dell’Unione Europea.

Con questi strumenti, messi a disposizione dal legislatore, avremo un sito a prova di GDPR.


Vorresti ricevere la checklist completa per essere conforme al GDPR?

Compila il form qui sotto e scaricala subito!

Anghie

Digital Strategy Assistant di Vanilla. Affascinata dalla bellezza del mondo e dalle nuove avventure. Adorante della gentilezza delle persone e degli sguardi sinceri dei miei animali. Dal cuore per metà Inca e per metà Dorico, con la montagna e il mare che si contrappongono per bilanciare l’amore per la mia terra e per la città che mi ha accolto sin da bambina.

LinkedIn