Dal 25 maggio 2018 la comunicazione di aziende e professionisti in Italia e in Europa è cambiata totalmente con l’entrata in vigore del GDPR – General Data Protection Regulation, cioè il più importante aggiornamento sulla normativa Privacy degli ultimi venti anni, che prevede multe salate per chi non la rispetterà.
Il cambiamento riguarda sia le aziende sia i professionisti che si promuovono online, ma anche il consumatore finale che lascia i propri dati per ricevere un servizio.
Disclaimer
Premetto di non essere un “tecnico” tanto meno un legale e non è mia intenzione dispensare consigli, visto che la normativa per certi aspetti è ancora poco chiara. Pertanto, se ci sono dubbi o richieste specifiche, la cosa migliore è rivolgersi a un professionista della materia.
Tuttavia, di seguito ho raccolto alcune informazioni sul Regolamento che credo aiutino a chiarire cos’è e come muovere i primi passi per mettersi in regola.
Capitoli del post
- Cos’è la GDPR e chi riguarda
- GDPR principi fondamentali introdotti
- GDPR figure principali introdotte:
- Trattamento del consenso
- Chi è esonerato dal chiedere il consenso
- Diritti del titolare
- Oneri in breve
- Da dove partire
- Linee guida del GDPR per essere compliant
- GDPR se sei un blogger
- GDPR se sei un’agenzia web
- GDPR in vigore il Decreto Italiano
- Conclusioni
Cos’è la GDPR e chi riguarda
Il Regolamento Privacy Europeo è un aggiornamento dell’attuale vigente decreto legislativo 196/2003 “Il Codice Privacy”, redatto prima dell’avvento di Internet e quindi obsoleto.
Riguarda i dati delle persone come nome, cognome, età, sesso ma anche email, numero di telefono e simili, che in ambito digitale hanno un valore altissimo, in quanto considerati “moneta di scambio” per accedere a prodotti e servizi.
Il Regolamento si integra con la norma Cookie law introdotta alcuni anni prima.
Il GDPR riguarda i dati delle persone fisiche e non delle aziende ma non c’è distinzione tra B2B e B2C. Nel momento in cui la nostra attività richiede di raccogliere una o più di queste informazioni ne diventiamo titolari e quindi responsabili.
GDPR principi fondamentali introdotti
- privacy by design, cioè il sistema di trattamento dei dati deve essere concepito sia a livello strutturale sia a livello concettuale alla base (by default) del progetto che si vuole mettere online. Dovrà quindi essere strutturato per prevenire e non per correggere eventuali falle nella riservatezza e protezione dei dati, potendo adottare liberamente le misure tecnologiche per farlo.
- accountability, indica che l’intera responsabilità del dato ricade su chi lo richiede, il titolare, che pertanto dovrà progettare il sistema di trattamento in modo da garantire la conservazione dei dati, evitandone perdite, furti e altro.
GDPR figure principali introdotte:
- titolare del dato, colui che richiede i dati
- DPO – Data Protection Officer, colui che sovraintende il trattamento nel rispetto delle normative
- incaricato o responsabile colui o coloro che “metteranno le mani” sul database.
Trattamento del consenso
Rispetto ad oggi, quando andiamo a chiedere questi dati concernenti la privacy delle persone tramite form online, dobbiamo fornire:
- consenso informato
- specifico
- libero
- revocabile
- documentato per iscritto.
Vediamo uno alla volta questi aspetti.
La richiesta del consenso è obbligatoria per poter trattare i dati e deve essere espressa, dichiarata e non sottintesa. Quindi non solo andranno chiariti gli scopi della raccolta, consenso informato appunto, ma non saranno validi check box già spuntati nel caso in cui ci fossero più finalità.
In effetti, il consenso deve essere anche specifico, cioè non allargato ad altri consensi ma presentare una finalità alla volta.
Specifico che l’invio di DEM, quindi di comunicazione di marketing diretto è già legiferata dalle norme antispam per cui non è possibile inviare messaggi pubblicitari a chi non ne ha fatto richiesta.
Il consenso deve essere revocabile quindi l’iscritto non solo deve essere in grado di potersi cancellare ma, addirittura, di poter cancellare i propri dati in modo definitivo ricorrendo al diritto all’oblio in presenza di motivazioni “forti”. Anche se per motivi di legge, ad esempio amministrativi, sarà possibile continuare a gestire il dato fino all’estinzione dell’obbligo che ne vietava la cancellazione.
Il GDPR prevede che l’utente possa procedere alla consultazione e/o alla cancellazione del dato. Non è previsto però un obbligo di accesso diretto a queste informazioni. Tuttavia, il titolare non dovrà disattendere la richiesta dell’interessato e quindi dovrà munirsi di strumenti atti ad accoglierla.
Il consenso deve essere documentato, cioè il titolare deve essere in grado di provare che ha raccolto il consenso attraverso la tecnologia quindi, ove possibile, fornendo tramite un supporto digitale la chiamata al server con il consenso. In ogni caso, deve essere fornito in una forma leggibile e organizzata.
Chi è esonerato dal chiedere il consenso
Sono esonerati da queste procedure i titolari che trattano i dati ai fini del “legittimo interesse“. Ad esempio, per il normale svolgimento di attività di lavoro per cui devo comunicare con dipendenti, clienti e fornitori o nel caso in cui si debba emettere fatturazione o stipulare un contratto. In questo caso, i titolari sono esonerati dalla richiesta del consenso esplicito.
Ovviamente le comunicazioni commerciali, anche se saltuarie, non rientrano mai nel legittimo interesse. Di conseguenza è necessario ottenere il consenso per inviarle.
Diritti del titolare
La modifica alla Privacy prevede il diritto di portabilità quindi se cambiamo piattaforma siamo autorizzati a trasferire i dati da un gestore a un altro e continuarne l’uso.
Il GDPR consente, ad esempio alle aziende, di assegnare il ruolo del responsabile (DPO – Data Protection Officer) anche a una persona fisica o giuridica. La scelta non è vincolante e può ricadere anche su un individuo esterno all’azienda.
Oneri in breve
- in tutti i casi di raccolta dati va chiesto il consenso (opt-in – opzione di ingresso)
- il consenso va documentato indipendentemente dai fini del trattamento dei dati
- non vanno bene caselle prespuntate
- non vanno bene consensi poco chiari
- non si devono chiedere più dati del necessario.
Tra i vari oneri, rientra il dovere di dichiarare eventuali fughe di dati. La notifica va fatta entro le 72 ore dalla violazione del database.
Da dove partire
Un buon punto per iniziare a mettersi in regola con il GDPR è redigere il documento di attestato di rischio del proprio sistema. Il Risk Assessment dovrà definire che tipo di dati trattiamo, per quanto tempo, con quale finalità, con quali mezzi (elettronici o cartacei) e se è previsto un trasferimento del dato all’estero. In base a quanto raccolto, si stabiliscono le misure di sicurezza da adottare.
Linee guida del GDPR per essere compliant
Posso dimostrare di essere in grado di gestire la privacy in modo adeguato utilizzando i dati anonimi e tramite la criptografia del database con la possibilità di risalire al dato, in modo da non essere soggetto a eventuali fughe di dati o furti, data breach. Inoltre, l’uso della criptografia eviterebbe l’obbligo di notifica di violazione.
Un altro modo è tenere il Registro delle attività del trattamento, come da modello del Garante, obbligatorio per realtà aziendali superiori ai duecentocinquanta dipendenti e gli enti pubblici, ma anche per professionisti e PMI che trattano i dati in modo continuativo.
Ovvero, se conservi i dati dei tuoi clienti per analisi statistiche e/o per fatturare, sei tenuto ad avere un Registro del Trattamento, cioè un giornale fisico o virtuale dove annotare il tipo di dati raccolti, le finalità e, se comunicati a terzi parti, la loro destinazione.
GDPR se sei un blogger
Se fai blogging e tramite il tuo blog o sito fai raccolta di email per la newsletter il regolamento prevede che tu rispetti le stesse norme delle aziende anche se probabilmente non avrai bisogno di eleggere un DPO, che è facoltativo, né di iscriverti al registro del trattamento. Ma dovrai fornire la possibilità alle persone di accedere ai dati e cancellarsi secondo i punti descritti nel Trattamento del consenso.
GDPR se sei un’agenzia web
Nel caso di una web agency o professionista che gestisce il sito di un cliente, l’ente esterno è quello che tratta i dati quindi ne è responsabile. Anche se il cliente resta il titolare del trattamento, la modalità di gestione delle informazioni dovrà essere formalizzata tramite un contratto di fornitura che incarica il responsabile esterno, cioè l’agenzia web, del trattamento delimitando i confini di responsabilità e/o inserendo delle manleve.
GDPR in vigore il Decreto Italiano
Dopo lo slittamento di maggio del decreto di coordinamento da parte del governo italiano per armonizzare la disciplina della privacy italiana al Regolamento europeo, il Consiglio dei Ministri ha annunciato la versione finale del documento al 21 agosto 2018.
Nel decreto vengono espressi due concetti principali:
- la gradualità ispettiva del Garante nei confronti di imprese e pubblica amministrazione. Non si effettueranno ispezioni negli 8 mesi successivi all’applicazione
- la semplificazione per le piccole e medie imprese degli adempimenti normativi che saranno alleggeriti rispetto alle società che trattano dati su larga scala.
Nel comunicato stampa dell’8 agosto si legge che:
Si è scelto di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti.
Il testo è stato pubblicato sulla Gazzetta Ufficiale.
Conclusioni
In generale, credo che il GDPR sia un’occasione per fare pulizia dei database e per rendere più chiari i messaggi sulle finalità del trattamento dei dati. Immagino che ulteriori chiarimenti sulla corretta gestione e le responsabilità dei diversi ruoli arriveranno nelle prossime settimane.
Tuttavia, molte piattaforme di email marketing hanno già iniziato a rilasciare il “pacchetto GDPR“, utile per mettersi in regola in tempo, come ad esempio Mailchimp una delle prime a dare indicazioni precise su cosa fare.
E’ chiaro che per ottenere la fiducia e le preziose informazioni dai consumatori, le aziende e i professionisti devono mostrarsi generosi e disponibili. Offrire supporto, risposte in tempo reale e un’esperienza piacevole. Ed in questo rientra anche la possibilità di conoscere, modificare e cancellare i dati in modo agevole da parte degli utenti.
Ho parlato di come recuperare il consenso di parte dei nostri contatti in questo articolo mentre in questo video spiego come ripulire quelli non più attivi nel caso in cui usi Mailchimp come piattaforma di email marketing.
Hai già iniziato a metterti in regola per il GDPR? Cosa ne pensi del Regolamento? Fammelo sapere nei commenti.
Ciao Maura buongiorno,
nel caso in cui sia un agenzia web che ha i portali dei propri clienti su un Server intestato a proprio nome e preso tramite un servizio di provider tipo Ovh o altro con cui gestisce semplicemente gli account e non fa alcune operazione di marketing, di chi è responsabilità adeguarsi alla normativa GDPR?
Grazie
Ciao Guido,
credo che l’esempio che porti rientri nei casi di legittimo interesse, cioè avete in gestione dei dati (account di accesso ai server) che vi sono indispensabili per il normale svolgimento dell’attività richiesta (aggiornamento e gestione sito). Soprattutto, se non fate alcuna comunicazione di tipo commerciale non credo che sia richiesto nessun adeguamento. Diverso sarebbe stato se avevate accesso ai database dei vostri clienti e, anche, se li usavate per fare attività di marketing. In ogni caso, prendila come una mia opinione, non essendo un legale.
Salve Maura,
Grazie per l’articolo, uno dei pochi che mi ha fatto chiarezza sull’argomento.
Marco
Grazie mille, mi fa molto piacere saperlo! ^_^
Ciao Maura. Nell’articolo si dice che:
Chi è esonerato dal chiedere il consenso
Sono esonerati da queste procedure i titolari che trattano i dati ai fini del “legittimo interesse“. Ad esempio, per il normale svolgimento di attività di lavoro per cui devo comunicare con dipendenti, clienti e fornitori o nel caso in cui si debba emettere fatturazione o stipulare un contratto. In questo caso, i titolari sono esonerati dalla richiesta del consenso esplicito.
Ora io ho un B&B e ovviamente un form di contatto per ricevere le richieste di disponibilità delle camere.
In più ho na sezione blog dove sono permessi i commenti inserendo nome, email, sito e commento.
Non raccolgo email per newsletters.
Sono esonerato dal GDPR?
Grazie
Ciao Paolo,
per quello che so, anche chi risponde a un form di contatto deve adeguarsi, anzi, inserendo la spunta opzionale ma obbligatoria. Ovvero, se la persona desidera ricevere informazioni dovrà spuntare il check box o non sarà in grado di inviare la richiesta. Preciso che non sono un legale e per qualsiasi dubbio o incertezza meglio rivolgersi a un avvocato della materia.
Ciao Maura,
Ho un blog tecnico, con ancora pochi articoli da me personalmente redatti e pian piano cerco di farlo decollare, sono “atterrato” sul tuo articolo che ritengo ottimo, cercando informazioni, appunto sulla nuova normativa europea, che verrà attuata il 25 Maggio. Io sul mio blog http://www.intratecnica.it avevo già creato la pagina privacy e cookie, coem puoi tu stessa vedere, utilizzando il plugin EU Cookie Law, che tra l’altro trovo ottimo. Arrivo alla domanda 🙂 ho visto che anche tu hai creato una pagina privacy simile a quella che ho io, ma secondo te va bene per la nuova GDPR ? Nel caso dovessi usare Google Ad Sense oppure affiliazioni come Amazon, andrebbe bene? ovviamente citando le suddette aziende nella cookie policy, oppure secondo te bisogna rivolgersi obbligatoriamente a servi a pagamento come I………… ? Grazie mille e scusa se mi sono dilungato nel cercare di essere chiaro.
Ciao Fabrizio,
quella che è attualmente online sul mio sito purtroppo non è ancora aggiornata e quindi in regola con il GDPR. Tra l’altro, non basterà un’informativa Cookie ma andrà affiancata anche una Privacy Policy. Se hai un ecommerce, servirà anche un documento Termini d’utilizzo.
Ciao Maura,
ok ho capito ….. purtroppo 🙂 , adesso vedo come organizzare al meglio le informative. Grazie mille gentilissima, per la risposta veloce e precisa. A presto.
Fabrizio
Buongiorno Maura,
complimenti per l’articolo ma farei una precisazione sul tuo articolo, quando parli di dati sensibili come nome, cognome, email, in realtà non sono dati sensibili ma dati identificativi.
Sul sito del Garante della Privacy è netta la distinzione tra dati sensibili, identificativi e giudiziari.
A presto,
Ciao Nicolò, grazie sia per il commento sia per la precisazione. Correggo subito nel testo perché quello che dici è molto giusto. A presto!
Salve. Vorrei sapere se come fisioterapista nel regime forfettario sono obbligato a adeguarmi. Io non trattengo dati se non Nome cognome indirizzo e CF per emettere le ricevute fiscali. Non ho sito web ne altre piattaforme online. Grazie
Ciao Alessandro, il GDPR è un aggiornamento alla Privacy generale che riguarda tutti coloro che trattano i dati delle persone senza alcuna distinzione per tipologia di regime fiscale. Premesso ciò, so che dovrà essere affiancato dalle norme contenute nell’ePrivacy che andrà a regolare proprio le attività svolte online. Non sono un legale e non voglio consigliarti male, ma se non hai un sito, non fai acquisizione lead neanche attraverso i social, presumo che tu non sia obbligato. Unico dubbio se tieni un archivio online delle ricevute fiscali emesse.
Salve Maura, volevo sapere se come ambulante siamo tenuti a metterci in regola con la nuova normativa sulla privacy considerando che non teniamo dati di clienti e fornitori ma solo fatture di acquisto.
Grazie
Salve Luca,
purtroppo non sono in grado di esprimere questo tipo di valutazioni. Per come hai descritto la situazione sembrerebbe di no, ma è solo la mio opinione e sarebbe meglio consultare un esperto.
Salve Maura, mi occupo di fotografia e grafica, premetto che ho un sito web che uso solo come vetrina, quindi niente cookie di nessun genere e nessun tipo di form o raccolta dati online (solamente il mio indirizzo email per chi volesse contattarmi). Ovviamente, l’unica cosa che faccio è quella di emettere fatture per i clienti ma non tengo nessun dato di questi, e nessun database. Secondo te devo adeguarmi al gdpr. Grazie
Gianni, se non hai installato neppure le icone social e/o Google Analytics o altri sistemi di monitoraggio del traffico, direi che sei tranquillo
Grazie Maura per la tempestività nella risposta!
sul sito ho le icone social di facebook e Instagram ma sono dei semplicissimi link alla pagina, niente di più (per dirlo papale papale..non sono quelle icone che se clicchi sopra va il “mi piace” automatizzato alla mia pagina, sono solo link di collegamento alla mia “fanpage”) che dici anche in questo caso posso stare tranquillo? Grazie ancora per la disponibilità!
Gianni
Ciao Gianni,
ti conviene utilizzare un software o browser che analizzi quali sono i cookie tecnici e/o profilazione che vengono installati navigando il tuo sito. Ci sono diverse risorse online, dipende anche dalle dimensioni del tuo sito ma puoi provare con Cookiebot: https://www.cookiebot.com/it/ cliccando su “verifica sito”.
Ciao Maura ho provato con Cookiebot e il sito è senza cookie, quindi per adesso posso stare tranquillo.
Grazie ancora.
Ciao Maura,
sono alla ricerca di chiarimenti per rispondere ad un questionario relativo alla gestione dei dati personali. Ho una casa di produzione video che ha come principali clienti delle agenzie di comunicazione. Noi siamo fornitori delle agenzie (realizziamo i contenuti video) per i clienti delle agenzie (senza mai entrare in contatto con il brand). I miei contatti sono commerciali e creativi esclusivamente con l’agenzia. Devo adeguarmi in qualche modo?
Grazie
Ciao Valerio,
non sono un legale e, come ho scritto anche nelle premesse, le mie sono opinioni pertanto sarebbe sempre meglio consultarsi con un professionista in materia di e-privacy. Tuttavia, dalla tua descrizione, non è chiaro se né come gestisci questi contatti. Ad esempio, se li conservi in un database e utilizzi strumenti di raccolta dati e/o di invio di comunicazioni email o sms o altro. In quel caso, credo che dovresti raccogliere il consenso preventivo e informato.