Web

GDPR: i suoi punti chiave da conoscere e sfruttare.

8 Maggio 2018 by 3304 Views
App native, ibride e web app: come scegliere?
23 Aprile 2018
Conto Business online N26. Come attivarlo gratuitamente.
13 Settembre 2018
8 Maggio 2018 by in Web

Se non sai cosa è il GDPR, meglio per te, vuol dire che fai un lavoro normale, conduci una vita normale e non hai a che fare ogni giorno con le idiozie di una burocrazia folle e isterica che finge di tutelare i tuoi dati mentre traccia e analizza ogni tuo respiro dall’utero alla tomba. Se invece sei del settore o hai semplicemente un sito web vetrina o ecommerce, ti invitiamo a leggere con la massima attenzione questo articolo.

1. La normativa si riferisce al trattamento di qualsiasi DATO PERSONALE, anche non sensibile, che permette di identificare una persona (ad es il suo nome, la sua email, eccetera). Il DATO PERSONALE permette di identificare una persona in modo univoco. I dati sensibili sono un sottoinsieme dei dati personali. Se la raccolta dati non riguarda questo, non ricade nel GDPR.

2. La normativa non riguarda solo chi opera in Europa, ma anche chi opera con cittadini europei o nell’eurozona (quindi riguarda tutto il mercato mondiale).

3. Le sanzioni: SIEDITI… 2% del fatturato o 10 milioni di euro nel caso meno grave, 4% del fatturato o 20 milioni di euro nel caso più grave. E se il tuo fatturato è di 50 mila euro all’anno, la multa non è il 2%… ma 10 milioni. Si applica la sanzione più alta tra le due opzioni.

4. Ci sono due figure: DATA CONTROLLER e DATA PROCESSOR. Il Data Controller è colui che decide le finalità dei dati raccolti, le varie modalità di gestione e trattamento e deve garantire che i dati vengano trattati nel rispetto delle normative. Il Data Processor è colui che maneggia i dati (anche per finalità non legate ai dati stessi). Esempio: se io raccolgo le email di persone in cambio di un ebook, sono il data controller. Se passo queste email a una web agency che le segmenta e invia newsletter personalizzate, questa agenzia diventa il data processor, anche se non ha alcun interesse legato ai dati trattati ma solo al servizio offerto. Se raccolgo i dati personali e li salvo in un CRM SaaS, questo crm è un data processor perché gestisce i dati dei miei contatti.

5. Se io raccolgo dei dati personali (ad es tramite acquisizione clienti) e poi passo i dati ad un’altra persona (ad esempio al mio social media manager che fa le campagne su Facebook) allora anche il social media manager deve essere a norma. Io sono il data controller (ma anche il data processor) e posso lavorare solo con persone (data processor) che sono a norma, altrimenti ci ingabbiano a tutti e due.

Questo dice la legge:

PUOI LAVORARE SOLO CON UN DATA PROCESSOR CHE SIA GDPR COMPLIANT.

Questo creerà alcuni piccoli problemini e incidenti diplomatici che vi lascio immaginare. Tipo quel tool fighissimo di JVZOO fatto in Pakistan che vi fa le ads automatizzate? O quell’altro che vi mette un pixel sulle immagini, fatto da un cinese? O quel CRM SaaS molto figo sviluppato da una piccola startup italiana? Questi sono tutti DATA PROCESSOR e se non sono a norma, sono problemi. Quindi dal 25 Maggio per essere a norma occorrerà rivedere tutti (TUTTI) i tools informatici che utilizziamo per i nostri business. Se per assurdo il tool SaaS di invio newsletter che utilizziamo non è a norma, la responsabilità è nostra e la multa la paghiamo (anche) noi. Il problema è che non possiamo semplicemente fidarci e poi davanti al giudice dire “beh, non lo sapevamo”. Se usiamo quei tools, siamo complici. I big (Facebook, Aweber, Mailchimp, ecc) sono teoricamente abbastanza affidabili. I piccoli e le startup se la vedranno brutta.

6. La vera novità è che ora non è solo chi raccoglie i dati ad esserne responsabile. Anche chi questi dati li riceve e li maneggia per qualsiasi finalità anche non connessa ai dati stessi deve essere a norma o rischia la multa. Quindi una qualsiasi Web Agency o un Freelance che gestisce una newsletter o una campagna Facebook per conto del cliente è di fatto co-responsabile dei dati raccolti dal cliente.

7. Ci sono vari punti da rispettare per essere GDPR Compliant:
  • Legalità, eticità e trasparenza. Sono parole dal significato soggettivo e a libera interpretazione, ovviamente in caso di un contenzioso noi dobbiamo dimostrare di aver operato nella legalità, con eticità e trasparenza. Ad esempio se offro un Lead Magnet in cambio dell’email, devo specificare in modo super chiaro e trasparente cosa farò con questa email, dove la conserverò, per che finalità la userò, chi potrà vederla del mio staff e dei miei collaboratori esterni, eccetera. Massima trasparenza. Quindi se raccolgo l’email ma non dico che poi invierò una newsletter o qualche followup, allora sto potenzialmente infrangendo la legge .

 

  • Scopo della raccolta dati. Devo specificare chiaramente qual è lo scopo e l’ambito e come userò i dati. Se chiedo dati per inviare una newsletter, allora non sono autorizzato a raccogliere il telefono, perché non serve. Per ogni dato che raccolgo ci deve essere una finalità dichiarata, lecita e specifica. Non esiste “li raccolgo ora, poi vedrò cosa farne”. Segmentazione: se raccolgo dati per segmentare le persone (ad esempio per interessi) devo dichiararlo.

 

  • Limite temporale. I dati vanno conservati per il tempo necessario a raggiungere la finalità dichiarata. Se dichiari di inviare una newsletter con 20 followup, una volta esaurito lo scopo devi cancellare i dati. Hai una newsletter di 5 anni fa e da un paio di anni non scrivi più ai contatti? Bene, devi eliminarla perché lo scopo della raccolta dati è abbondantemente esaurito.

 

  • Sicurezza. I dati vanno conservati in modo sicuro. Se il sistema ha delle falle (e qualsiasi sistema ha delle falle) sei perseguibile penalmente anche se i dati non sono ancora stati trafugati. Con il GDPR si va a risolvere la problematica.

 

  • TERRENO LEGALE. Questo è forse l’aspetto più importante e più oscuro per chiunque non sia un legale. Con il GDPR è necessario definire un terreno legale. La scelta spetta a me. Voglio muovermi nella direzione del CONSENSO ESPLICITO o del LEGITTIMO INTERESSE? In base alla mia scelta devo muovermi in modo coerente e comunque sempre esplicitare questa scelta all’utente finale. Tutto ciò viene fatto fondamentalmente per tutelarmi in caso di controlli o controversie. Devo provare che sono in regola e l’onere della prova spetta a me. Quindi ogni scelta deve essere ben documentata e visibile (legalità, eticità, trasparenza).

 

  • CONTRATTO. Ogni interazione tra me e terze parti dovrebbe essere regolamentata da un contratto esplicito sottoscritto in maniera volontaria, consapevole ed esplicita tra le parti. La raccolta e la gestione dei dati che rientra nelle finalità del contratto non richiede ulteriore consenso esplicito. Ad esempio se sottoscrivo un contratto con un cliente e nel contratto ci sono i dati del cliente, non ho bisogno di chiedere al cliente la conferma per gestire questi dati, finché rimangono nell’ambito previsto dal contratto (ad esempio emettere una fattura e inviarla tramite email).

 

  • CONSENSO ESPLICITO. Le persone DEVONO ACCONSENTIRE al trattamento in modo ESPLICITO o la raccolta dei dati è illegale. Cioè non posso solo dire “lascia la tua email per scaricare la guida” ma devo anche dire “marca il checkbox per acconsentire che io possa usare la tua email per inviarti la guida. Il consenso esplicito è molto più restrittivo di prima: non si possono più precompilare i checkbox o semplicemente dire “se lasci la mail acconsenti che ti mando delle email, altrimenti non farlo”. Devo mettere MILLEMILA checkbox, nel modo più granulare possibile ed essere sicuro che la persona abbia letto l’informativa legata al checkbox altrimenti uno può sempre dire “ho cliccato ma mica avevo letto o capito tutta sta roba”. Quindi checkbox e lettura preventiva del contratto/normativa sulla privacy (di fatto l’informativa sulla privacy diventa un contratto perché l’utente accetta esplicitamente le finalità del trattamento e ogni informativa è unica ed estremamente precisa). Con il 50% di analfabeti funzionali ci sarà da divertirsi. E’ fondamentale conservare la prova provata che l’utente abbia autorizzato il trattamento, soprattutto se ci sono diversi checkbox e alcuni di essi non sono bloccanti (ad es: clicca qui per autorizzare che ti invio un followup, clicca qui per autorizzare che vendo i tuoi dati a Donald Trump, ecc). In fase di difesa davanti al giudice sarà fondamentale che questi dati non possano essere stati successivamente manipolati, perché l’utente potrebbe sostenere che “beh, io non ho mai cliccato quel checkbox e sta a voi dimostrare il contrario”. Il che è praticamente impossibile, a meno di non usare un fornitore di terze parti e super partes che faccia da intermediario e garante.

 

  • LEGITTIMO INTERESSE. Posso trattare i dati personali per legittimo interesse (mio, per condurre il business, o di terze parti, ad esempio del cliente). Mettiamo che il cliente sottoscrive un servizio fornito da me. Per legittimo interesse (del cliente) sono autorizzato a usare i suoi dati senza la sua previa autorizzazione esplicita per comunicargli tempestivamente informazioni vitali per la fruizione del servizio (ad esempio ho resettato la sua password per motivi di sicurezza e gli comunico la nuova password). Il legittimo interesse è materia legale molto delicata ed è una vastissima zona grigia, sia a favore che contro i marketers. Ad esempio se l’utente scarica una guida e mi lascia la sua email, è mio (e in teoria suo) legittimo interesse che io gli invii un followup email con contenuti di approfondimento pertinenti ai contenuti della guida verso cui ha mostrato interesse. E posso farlo senza il famoso checkbox. Ma è appunto una zona grigia, quindi l’ultima parola spetta al giudice. Se però posso esplicitare la funzione che è nel mio (o nel suo) legittimo interesse SENZA usare questi dati senza il suo consenso, è necessario dare la precedenza a questa soluzione. E’ necessario redarre una LIA (Legitimate Interest Assessment) e allegarlo alla privacy. In breve: secondo il principio del Legittimo Interesse si può fare ciò che è lecito che gli utenti si aspettino da me senza il loro consenso esplicito. Nel mondo moderno, è normale che se mi lasci una email e scarichi una guida, poi io ti mando altre comunicazioni. In Italia però le persone cascano dal pero e si indignano e denunziano. Quindi è meglio dirlo sempre in anticipo, del tipo “Se mi lasci l’email sappi che poi la userò per scriverti delle email pertinenti. Se non sei d’accordo, NON LASCIARE L’EMAIL”. In questo modo il checkbox non serve. E’ però sempre necessario dare la possibilità all’utente di bloccare questa azione, ad esempio con un link di optout sempre ben visibile. Quindi la soluzione migliore sarebbe: mettere un checkbox facoltativo in cui dico “clicca qui per NON RICEVERE altre comunicazioni a parte la guida che ti manderò via email”. Maggiori info qui: https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/.

 

  • Il CONSENSO ESPLICITO è più sicuro perché la responsabilità è condivisa tra chi gestisce i dati e chi acconsente al trattamento, ma rende la vita un inferno a tutti, è molto più severo di prima. Il LEGITTIMO INTERESSE è la via più semplice, ma anche la più rischiosa perché tutta la responsabilità ricade su chi gestisce i dati ed è pieno di zone grigie a libera interpretazione del garante privacy o del giudice di turno.

 

  • Finora abbiamo parlato di dati personali. Sui DATI SENSIBILI (salute, finanze, credo politico e religioso, ecc) si apre un altro capitolo molto più complesso e delicato. Ma anche prima era così. In questo caso occorre poi allinearsi con le normative dei vari stati.

 

8. Facebook Advertising: da ora se usiamo i pixel, il retargeting e le altre soluzioni offerte da Facebook, siamo noi i responsabili del trattamento dei dati. In poche parole: se un utente visita la mia pagina e su quella pagina c’è un pixel di Facebook usato per fare retargeting, devo comunicarlo all’utente. Se scelgo la strada legale del consenso ricado nella vecchia normativa sui cookie bloccanti ante consenso esplicito. Se scelgo la strada del legittimo interesse, posso non chiedere il consenso esplicito ma devo comunque mettere in grande evidenza che userò il retargeting e altre diavolerie per tracciare gli utenti. E devo sempre dare all’utente la possibilità di fare optout. Che nel caso del pixel di Facebook è un problema, perché Facebook non offre questa opportunità.

La normativa entra in vigore il 25 Maggio quindi avete ancora qualche settimana per aggiornare i vostri siti web. 

 

Buon business a tutti.

Sì! Mi Piace
Share
Se hai apprezzato l'articolo aiutaci a condividerlo
logo