Il cambiamento della società e il progresso tecnologico hanno determinato un forte cambiamento nella gestione dei dati personali, divenuti oggi una vera e propria merce di valore.
Di tutela del dato se ne parla da tempo, e gli adempimenti li troviamo già previsti in un codice Privacy del 2003, oggi modificato dal Regolamento Europeo 679/2016 che ha richiamato le Aziende ad un approccio concettuale innovativo con la richiesta di gestire un sistema di trattamento dati che preveda, fin da subito, gli strumenti e le corrette impostazioni a tutela dei dati personali. Un approccio quindi basato sulla prevenzione alla tutela della identità delle persone fisiche comprendendo anche l’aspetto della tutela del dato digitale che circola nel mondo web . Non si può più fare a meno, quindi, di concepire un’attività di trattamento di dati senza comprendere cosa occorre fare, e acquisire il significato di aspetti fondamentali come la Privacy Policy, i cookies, il banner, le informative, ad esempio .
Quando si tratta di rispettare norme, decreti o altro sappiamo molto bene che vi sono sanzioni se non lo si fa e in questo caso sono anche piuttosto pesanti …
Il GDPR (General Data Protection Regulation) è il Regolamento Ue 2016/679 relativo alla protezione dei dati delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. Il GDPR, pienamente applicabile in tutti gli Stati membri dal 25 maggio 2018, nasce da precise esigenze, come indicato dalla stessa Commissione Ue, di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo. Si tratta poi di una risposta, necessaria e urgente, alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini Ue.
In un panorama mondiale sempre più intangibile e immediato, la moneta di scambio più forte è diventata il dato: i Big e Small Data, ovvero i dati relativi agli utenti che ogni giorno navigano attraverso internet, sono alla base di qualsiasi strategia legata alla vendita di un prodotto o di un servizio. La raccolta, il monitoraggio, l’analisi e la condivisione di questi dati consentono di progettare delle strategie di marketing sempre più mirate ed efficaci, che vadano a toccare le corde giuste dei consumatori.
Considerato il valore crescente che i dati stanno assumendo, quindi, è stato necessario regolamentare la raccolta dei dati così da favorire la consona protezione delle informazioni, affinché la persona fisica venga tutelata a livello legale.
Prima di tutto non abbiamo fatto copia e incolla da nessun altro articolo ed ecco perché.
eWeb è inevitabilmente coinvolta nella gestione del trattamento dati assumendo un duplice ruolo, sia come titolare dei dati che gestisce i propri dati, sia in veste di responsabile esterno quando esegue una prestazione commissionata dal cliente. La scelta fin da subito è stata quella di una politica di approccio consapevole al GDPR, approfondendone gli aspetti e volendo comprenderne le implicazioni. Abbiamo immediatamente colto la richiesta del Regolamento di proporci come fornitore in grado di fornire concretamente tutte quelle garanzie richieste nella gestione dei dati di cui è titolare o quando figura come responsabile esterno .
Infatti eWeb è Titolare del trattamento quando agisce decidendone finalità e mezzi (quando tratta i dati dei propri dipendenti, fornitori, partner, clienti etc..) ma, al contempo, è Responsabile esterno quando riceve incarichi dai clienti, che vanno dal creare un sito web, una APP o un gestionale fino alla gestione complessa di campagne di marketing.
Il Regolamento impone un approccio privacy sia by design ovvero il concetto di prevenzione rischi; Eweb si allinea a tale principio con prodotti , campagne, gestione del sito che sono realizzati su scelte, istruzioni e indicazioni del titolare del trattamento, ovvero il committente in quale titolare del dominio, della app su cui chiaramente ricadono le responsabilità legali circa la correttezza del trattamento dati.
Consapevoli di questo ruolo particolare all’interno dell’ecosistema del trattamento e della protezione dei dati personali, eWeb ha intrapreso un percorso di adeguamento al GDPR e di formazione molto approfondita sul tema, che ci ha portato ad essere oggi pienamente GDPR compliant. Ci siamo affidati al supporto continuativo di Stefania Villa, consulente esperta e specializzata in sicurezza e trattamento dei dati, che affianca costantemente tutto il team di eWeb per formarlo e verificare le procedure di creazione e gestione dei prodotti e servizi forniti, affinché ci sia un corretto trattamento dei dati dell’agenzia e soprattutto dei dati dei nostri clienti.
Nel 2021 tutti i dipendenti e collaboratori di eWeb hanno ricevuto un primo diploma che attesta il percorso svolto e sono previste tappe precise di aggiornamento anche per il 2022 e gli anni a seguire.
Cosa abbiamo imparato in primis grazie alla nostra consulente? Quali sono i tre attori principali:
- l’Azienda, il cliente, che deve essere allineata rispetto al GDPR e quindi alle nuove Linee Guida del Garante;
- il consulente Privacy, attenzione non quello di eWeb, ma quello del cliente!!!;
- la web agency, eWeb, che ha realizzato il sito, la APP o la campagna di web marketing, che deve dare un adeguato supporto strategico, tecnico e procedurale nel continuo rispetto aggiornamenti previsti;
Ognuno degli attori in gioco ha precise competenze ed è bene che i ruoli non vengano mai confusi e i compiti sovrapposti…Per esempio, chiedere la Privacy Policy alla web agency è il primo degli errori e il più commesso dagli imprenditori, ma non è così che si evitano le multe!
GDPR e web, chi deve rispettare le nuove regole?
Il campo di applicazione del GDPR estremamente ampio ci consente di affermare che, salvo rare eccezioni, ogni azienda e ogni professionista è chiamato al rispetto delle disposizioni contenute nel Regolamento stesso e quindi nella conseguente normativa nazionale.
Tuttavia, a quasi quattro anni dalla piena efficacia del GDPR, ancora oggi numerose imprese non hanno completato - o, addirittura, intrapreso - il loro percorso di adeguamento nonostante i considerevoli rischi conseguenti in termini di impatto diretto sul business e commissione di illeciti amministrativi e penali (con conseguenti elevate sanzioni).
In primis è necessario che ciascuna azienda definisca la sua Privacy Policy, purtroppo non può copiarla da quella di qualcun altro e pensare che sia corretta. E la Privacy Policy è cosa ben diversa dalla Cookies Policy, che ne è solo una parte integrante.
Per stendere ed avere una Privacy Policy corretta un’Azienda deve rivolgersi ad un consulente esperto che possa eseguire un’analisi specifica e quindi indicare come arrivare a stendere il documento in modo corretto. Attenzione quindi a chi vi fornisce la Privacy Policy, se l’ha copiata senza capire cosa vi serve davvero, nel caso di sanzioni la colpa e del titolare del dato non del fornitore!!
La Cookies Policy è una parte della Privacy Policy e va definita solo se l’azienda utilizza lo strumento Cookies.
I cookie sono parti di dati degli utenti che navigano un sito o una APP che vengono memorizzati sul computer o sul dispositivo ed utilizzati per migliorare la navigazione. I cookie, anche conosciuti come cookie HTTP, web, Internet o del browser, vengono creati dal server e inviati sul tuo browser. Lo scambio di informazioni consente ai siti di riconoscere il tuo computer e inviargli informazioni personalizzate in base alle tue sessioni.
I cookie hanno sempre avuto una doppia natura. Innocua, se per fini statistici e anonimi; più invasiva, se con lo scopo di identificazione un utente, le sue scelte, i suoi comportamenti, ecc...
Nel primo caso sono da considerarsi cookie tecnici e di base non necessitando pertanto della richiesta del consenso dell’utente. Nel secondo invece diventano strumenti per la profilazione e serve che l’utente venga messo a conoscenza e soprattutto che presti il suo consenso informato o lo neghi!
La raccolta del consenso avviene attraverso il famigerato Cookies Banner.
Vi rimandiamo all’articolo di approfondimento specifico dei Cookies e del Cookies Banner: leggi qui
Partiamo da un principio: di fronte alla legge è responsabilità del titolare del trattamento dei dati accertarsi che coloro che in concreto tratteranno i dati, lo facciano in conformità del GDPR.
1 - APPROCCIO PROFESSIONALE
Le aziende più attente sapranno gestire ogni dettaglio relativo alla tutela dei dati personali al loro interno così come quelli che dovessero derivare dal proprio sito web, APP o da ogni attività di web marketing e comunicazione.
Sono aziende che capiscono l’importanza di affidarsi in primis ad un consulente privacy esperto al quale affideranno anche il compito di interfacciarsi con tutti i fornitori esterni, come eWeb, per verificare che siamo effettivamente capaci di programmare i sistemi e di mettere mano ai codici (anche quelli più complessi) con i quali vengono creati i siti, le App e gestite le campagne di web marketing.
Un’ azienda che si rivolge a eWeb può contare su un partner competente e GDPR compliant, in grado di interagire in modo costruttivo con il Consulente Privacy o con il DPO del cliente.
2 – APPROCCIO INESPERTO
La strategia che purtroppo in molti stanno adottando! Per mancanza di competenze tecniche, di tempo, magari di risorse o peggio ancora perché ci si affida a fornitori non all’altezza, ci si accontenta di impostare una sistemazione apparente. Ovvero si chiede di sistemare tutto ciò che appare sul sito o sulla APP, ma senza verificarne il contenuto e quindi i meccanismi tecnici e gestionali necessari.
Inserire una Privacy Policy a caso, cambiare visivamente il cookie banner, aggiungendo magari una spunta in più, comunicare all’utente che “Prendiamo in seria considerazione la tua privacy!” non significa adempiere alla norma di legge. Anzi! Chi simula gli elementi che caratterizzano le indicazioni del Garante, senza però modificare il reale funzionamento dei siti o delle app, avrà sprecato solo tempo. Probabilmente, al contrario delle aspettative, la situazione e la responsabilità sarà peggiorata dal fatto di aver dissimulato un trattamento! E le multe saranno tutte sue non del fornitore che ha eseguito con leggerezza e approssimazione le attività richieste e necessarie.
Questo pericolo è evitabile verificando i proprio fornitori senza affidarsi a chi si improvvisa o semplicemente rincorrendo solo il risparmio che si vanifica con le sanzioni!
Dal 9 gennaio 2022 sono entrate in vigore le nuove linee guida sui cookie dei siti web e app. In estrema sintesi, il Garante chiede alle aziende di facilitare la vita agli utenti che navigano sui loro siti, con gli ormai noti (e famigerati) cookie banner.