A partire dal 25 maggio 2018 entrerà in vigore il nuovo regolamento per la tutela dei dati personali. C’è tanta confusione ancora, e anche un pò di panico su come bisogna adeguare la propria attività alla nuova normativa europea. Tra i tanti articoli letti e visionati ne ho trovato diversi interessanti e ben scritti, in particolare un articolo di smallbusinessitalia.it  in cui si cerca di fare chiarezza con Nicola Basso, esperto di marketing e fondatore di Labfarm, che da alcuni mesi sta seguendo direttamente alcune aziende medio grandi.

E’ possibile prendere visione dell’intero articolo al seguente link gdpr: come adeguarsi.

Di seguito un estratto delle risposte di Nicola Basso.

….

GDPR Compliance: come fare

D: E’ facile conformarsi al GDPR per un’azienda?

R: La conformità potrebbe essere un passaggio ostico ma necessario: in questi mesi ho notato come siano piuttosto preoccupati i titolari delle pmi piuttosto che le medie o grandi imprese.

La verità è che al crescere della complessità aziendale è probabile che la conformità al GDPR possa essere più onerosa, i costi per una piccola realtà possono essere quasi nulli se non riguardare esclusivamente il tempo necessario a redigere un’informativa sulla privacy più accurata, rivedere i moduli sia cartacei che online per l’acquisizione di dati personali (come email, nome e cognome, etc) e la verifica degli strumenti che vengono utilizzati per “trattare” questi dati, come i plugin di terze parti ad esempio.

GDPR: Normativa Privacy come adeguarsi

GDPR per Blog, Ecommerce e PMI

D: Un blog personale o un progetto editoriale oppure ancora un piccolo ecommerce che usano plugin di terze parti per raccogliere i dati degli utenti (come mailchimp, adsense, analytics), in pratica cosa devono fare per mettersi in regola per il GDPR?

R: Qui si toccano due tematiche in particolare: ovvero la raccolta di dati vera e propria da parte del sito (o più propriamente da parte del titolare del trattamento) e la raccolta di dati tramite cookies.
Per quanto riguarda la prima, ovvero la raccolta di dati tramite moduli, form di iscrizione, moduli cartacei o box di newsletter, una piccola realtà come un blog o un piccolo ecommerce dovrà:

  • Prevedere un consenso informato sul trattamento dei dati personali, quindi un checkbox per il consenso.
  • Prevedere un consenso informato ed esplicito se si intende raccogliere i dati a fini commerciali. (Diviso da quello sul trattamento semplice).
  • Prevedere un checkbox che identifica il consenso esplicito al trattamento di dati sensibili (se esistono) in qualsiasi area si raccolga tali dati.
  • Prevedere un meccanismo che accetti il consenso dei dati personali da parte di un genitore se l’interessato è un minore di anni 16.

In tutti questi casi non sono valide caselle pre-spuntate.

Cosa dice il Garante della Privacy

Per quanto riguarda l’informativa sulla privacy, negli articoli 13 e 14 del regolamento sono elencati i requisiti, in particolare sarà necessario:

  • Assicurarsi di scrivere in forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee. Si predilige una struttura “stratificata” con inserimento di eventuali icone e sezioni.
  • Uso di informative sintetiche che rimandano a quella estesa. (informativa breve accanto alle checkbox di consenso)
  • Inserire i dati del titolare del trattamento e i suoi contatti.
  • Inserire i dati di eventuale Responsabile dei dati personali (nella maggior parte delle pmi non è richiesto)
  • Informare di eventuali destinatari dei dati (chi li utilizzerà es: Reparto Marketing, oppure responsabili del trattamento esterni, come il servizio di Hosting, Google per i dati di raccolti con analytics e quant’altro)
  • Indicare la motivazione per la quale sono raccolti questi dati.
  • Qual è l’interesse del titolare su questi dati e quale uso ne farà (il marketing è un requisito valido e meritevole).
  • Periodo di conservazione dei dati.
  • Indicare se questi dati vengono trasferiti all’estero, quali strumenti di utilizza e assicurarsi che il trasferimento sia in un paese considerato adeguato dalla comunità europea. Il privacy shield, l’accordo approvato tra CE e USA, garantisce l’adeguatezza del paese al trasferimento di questi dati.
    Altri paesi considerati adeguati sono disponibili sul sito www.garanteprivacy.it

…. Quanto detto vale per tutti gli altri servizi destinatari dei dati raccolti e che fungono da responsabili del trattamento come ad esempio servizi di email marketing, software di fatturazione in cloud, i dati raccolti con Google Analytics e quant’altro.

… I responsabili del trattamento dei dati vengono designati con un contratto che può essere anche di tipo elettronico. Anche il servizio di Hosting è un Responsabile del Trattamento dei dati che raccogliamo.

Cookies e obblighi per il trattamento dei dati

Per quanto riguarda gli obblighi relativi ai cookies invece si va a toccare la parte ancora un po’ fumosa della questione e consiglio di continuare a seguire notizie a riguardo, potrebbero esserci delle novità soprattutto in vista del nuovo Regolamento ePrivacy disponibile attualmente solo come Bozza.  …

D: Cosa cambia rispetto alla Cookie Law?

R: Se prendiamo come esempio Google Analytics non dobbiamo più pensare anche se anonimizzato non richiede il consenso, ma dobbiamo piuttosto chiederci quali dati raccogliamo con questo strumento.

GDPR e Google Analytics

Se ad esempio con Google Analytics teniamo traccia di eventi o di dati assegnando un user-id del nostro ecommerce o derivante dal nostro crm ecco che siamo soggetti agli obblighi del GDPR in quanto potenzialmente saremmo in grado di identificare quella persona e quindi dovremo chiedere preventivamente il consenso, nonostante l’ip sia stato anonimizzato….

D: E’ possibile quindi evitare che Google Analytics ricada nell’obbligo di consenso preventivo?

R: L’opinione che va per la maggiore è che si può evitare di chiedere il consenso esplicito per GA se:

  • Si è sicuri che i dati sono raccolti in maniera completamente anonima e aggregata, quindi no ad IP, user-id o qualsiasi altro identificativo in grado di collegare i dati ad una persona reale. Attenzione alle url inviate contenenti dati personali es: (\?age=26&region=lazio&number=77744444).
  • Il codice di Analytics è stato anonimizzato.
  • Vengono disattivate le funzioni di Google Analytics collegate ad adwords e alla pubblicità.
  • E’ stato accettato l’emendamento pubblicato nell’amministrazione di Google Analytics.
  • Sono state deselezionate le caselle che abilitano l’incrocio di dati fra prodotti di Google.
  • Sono stati disattivati i collegamenti fra prodotti di Google. In particolare fra Google Analytics e Adwords.

In questa ipotesi potremmo evitare di richiedere il consenso di Google Analytics, vi suggerisco comunque di rimanere informati nei prossimi giorni sulla questione.

Inoltre dovremmo tenere conto che:

  • Dovremo inserire un blocco preventivo per tutte le altre risorse che installano cookies, ad esempio per i servizi offerti da Hotjar, remarketing di facebook, ma anche i bottoni sociali come AddThis.
  • Rimane la necessità dell’informativa breve ma sarà necessario il consenso espresso, in particolare l’utente dovrà accettare cliccando su “accetta” oppure potrà anche “rifiutare” i cookies. Se si utilizza un plugin (per wordpress ad esempio) si dovrà assicurarsi di poter attivare l’opzione di rifiuto dei cookies.
  • Non sarà più possibile accettare i banner con il semplice scroll del sito, quindi si dovrà disattivare quella particolare opzione.
  • Consenso Modificabile: nella pagina riguardante la privacy deve essere predisposto un bottone in grado di fare il reset e modificare il consenso (alcuni plugin lo fanno già).
  • Un’importante novità sarà la possibilità di navigare il sito dopo il rifiuto dei cookies senza comprometterne le funzionalità. In questo caso non è possibile limitare l’accesso del sito se non si sono accettati i cookies.

 

Iubenda e CookieBot: quale scegliere?

E’ molto probabile che servizi come Iubenda siano presto aggiornati per soddisfare questo tipo di richieste. Il servizio CookieBot attualmente si definisce conforme al nuovo regolamento.

Rimane invece invariato:

  • Il consenso preventivo e informato prima dell’installazione dei cookies di profilazione e marketing.
  • Un consenso informato facile da leggere
  • Oblio: possibilità di eliminare i cookies. (Il pulsante di reset del consenso serve a questo)
  • Periodo di trattamento dei dati: solitamente 12 mesi.
    Informativa estesa sui cookies e come vengono utilizzati nel sito.

 

Come garantire il diritto all’oblio

Ora veniamo alle novità più interessanti per quanto riguarda la conformità al GDPR e che riguardano anche le PMI.

Nell’informativa estesa si dovrà informare l’utente della possibilità di richiedere i propri dati personali per la visione. Il mezzo più semplice sarà predisporre un email che raccoglie le richieste.

Esportabilità dei dati in modo leggibile: In questo caso sarà necessario assicurarsi che gli strumenti che utilizziamo, crm, servizio di newsletter o software di ecommerce e quant’altro abbiano una funzione che permette di esportare tutti i dati di un particolare utente. …

Nel caso in cui l’utente sia presente sia nel servizio di newsletter che nel crm dovrò esportare i due file e consegnarli, oppure effettuare un “merge“ dei due file xml.
L’informativa dovrà informare gli utenti che possono rettificare alcuni dati di cui siamo in possesso, escluderne alcuni, oppure essere dimenticati totalmente (diritto all’oblio).

In questo caso il titolare o chi per esso, è tenuto a far valere i diritti degli interessati. In pratica se riceviamo la richiesta di essere eliminati dai nostri database saremo tenuti a eliminare tutti i dati relativi l’interessato.

Portabilità dei dati: i dati devono poter essere scaricati in un file (xml, json, csv)
Il titolare deve utilizzare metodi idonei e sicuri per la detenzione dei dati, quindi siate sicuri di utilizzare dei database protetti con un occhio di riguardo anche alla criptazione degli stessi.

Per fare un esempio non salvate mai dati personali in un semplice file word, excel o comunque accessibile da chiunque.

Obbligo di “notificare” entro 72 ore un’eventuale violazione o compromissione dei vostri server/hosting e quindi della possibilità di eventuali furti di dati e come intendete minimizzarne gli effetti.

Tutti questi punti possono essere automatizzati attraverso un’app in grado di accedere attraverso i servizi che normalmente utilizziamo sfruttando le API.

Tuttavia questa soluzione ha un costo, in quanto, prevede un lavoro di programmazione.
Ribadisco, la parte più ostica potrebbe essere la necessità di far fronte alle richieste di visione dei dati personali e la loro esportazione.

Assicuratevi che il vostro e-commerce, servizio di newsletter o crm abbia la possibilità di esportare i dati di un utente.
Conoscono tantissime piccole attività che sono in possesso del solo servizio di newsletter e in questo caso la procedura si semplifica di molto. ….

….

Nomina del DPO e del RDP

D: Chi deve nominare un Responsabile dei dati personali (RDP) o Data Protection Officer (DPO)?

R: Tra gli enti pubblici devono nominare un DPO tutti tranne le autorità giudiziarie che vengono esentate. Ma anche:

  • Tutte quelle attività piccole o grandi che come attività principale svolgono il monitoraggio regolare e sistematico di dati personali in larga scala.
  • Tutte quelle attività piccole o grandi che come attività principale svolgono il monitoraggio regolare e sistematico di dati sensibili in larga scala.
    Aziende che su base volontaria hanno la necessità di un esperto in grado sorvegliare il processo del trattamento dei dati per non incorrere in sanzioni.

In ottica di protezione dei dati personali le aziende dovranno considerare e programmare tutti gli aspetti di marketing, di vendita e di gestione necessari per non violare le leggi, si guardi al recente caso di Cambridge Analytica e Facebook.

D: Cosa si rischia a non essere in regola con il Gdpr?

R: Da una semplice ammonizione ai casi più gravi come 20 Milioni di Euro o il 4% del fatturato mondiale. Tutto dipende dal carattere doloso o colposo, dalla gravità e dal grado di cooperazione con l’autorità per attutire gli effetti di un’eventuale violazione.

L’articolo completo è disponibile nel sito smallbusinessitalia al seguente link:

GDPR e PMI: Come adeguarsi gratis e velocemente