GDPR e PMI: mettersi in regola gratis si può?
D: Buongiorno Nicola, piu’ si avvicina la scadenza del 25 maggio 2018 piu’ vedo confusione e panico sul Gdpr. Il sito del garante invece di fare chiarezza sembra scritto in un linguaggio talmente tecnico da risultare ostico. Ma questo Gdpr serve veramente?
R: Il GDRP è scritto nel Linguaggio Giuridico e in Italia la lingua del diritto è un’ antilingua come la definì Italo Calvino: un concentrato d’espressioni arcaiche, di burocratismi, di periodi involuti, di rimandi da una legge all’altra che in conclusione rendono del tutto misteriosa la volontà del legislatore.
Fortunatamente il Garante della Privacy ci viene incontro proponendo una guida suddivisa nelle macroaree più rilevanti. A mio modesto parere il GDPR è una leggeprobabilmente impegnativa per tutti, ma necessaria e utile.
In prima istanza protegge realmente i nostri dati personali imponendo degli obblighi tecnici ed organizzativi a chiunque li detenga; in secondo luogo riduce notevolmente il rischio che le aziende possano disporre dei nostri dati senza attenzione e per scopi diversi da quelli per cui sono stati raccolti i dati.
GDPR Compliance: come fare
D: E’ facile conformarsi al GDPR per un’azienda?
R: La conformità potrebbe essere un passaggio ostico ma necessario: in questi mesi ho notato come siano piuttosto preoccupati i titolari delle pmi piuttosto che le medie o grandi imprese.
La verità è che al crescere della complessità aziendale è probabile che laconformità al GDPR possa essere più onerosa, i costi per una piccola realtà possono essere quasi nulli se non riguardare esclusivamente il tempo necessario a redigere un’informativa sulla privacy più accurata, rivedere i moduli sia cartacei che online per l’acquisizione di dati personali (come email, nome e cognome, etc) e la verifica degli strumenti che vengono utilizzati per “trattare” questi dati, come i plugin di terze parti ad esempio.
Per chiarezza gli strumenti da tenere in considerazione possono essere ad esempio:
- Un CRM
- ERP
- Un servizio per la creazione di newsletter
- Un portale o un software per la fatturazione
GDPR per Blog, Ecommerce e PMI
D: Un blog personale o un progetto editoriale oppure ancora un piccolo ecommerce che usano plugin di terze parti per raccogliere i dati degli utenti (come mailchimp, adsense, analytics), in pratica cosa devono fare per mettersi in regola per il GDPR?
R: Qui si toccano due tematiche in particolare: ovvero la raccolta di dati vera e propria da parte del sito (o più propriamente da parte del titolare del trattamento) e la raccolta di dati tramite cookies.
Per quanto riguarda la prima, ovvero la raccolta di dati tramite moduli, form di iscrizione, moduli cartacei o box di newsletter, una piccola realtà come un blog o un piccolo ecommerce dovrà:
- Prevedere un consenso informato sul trattamento dei dati personali, quindi un checkbox per il consenso.
- Prevedere un consenso informato ed esplicito se si intende raccogliere i dati a fini commerciali. (Diviso da quello sul trattamento semplice).
- Prevedere un checkbox che identifica il consenso esplicito al trattamento di dati sensibili (se esistono) in qualsiasi area si raccolga tali dati.
- Prevedere un meccanismo che accetti il consenso dei dati personali da parte di un genitore se l’interessato è un minore di anni 16.
In tutti questi casi non sono valide caselle pre-spuntate.
Cosa dice il Garante della Privacy
Per quanto riguarda l’informativa sulla privacy, negli articoli 13 e 14 del regolamento sono elencati i requisiti, in particolare sarà necessario:
- Assicurarsi di scrivere in forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee. Si predilige una struttura “stratificata” con inserimento di eventuali icone e sezioni.
- Uso di informative sintetiche che rimandano a quella estesa. (informativa breve accanto alle checkbox di consenso)
- Inserire i dati del titolare del trattamento e i suoi contatti.
- Inserire i dati di eventuale Responsabile dei dati personali (nella maggior parte delle pmi non è richiesto)
- Informare di eventuali destinatari dei dati (chi li utilizzerà es: Reparto Marketing, oppure responsabili del trattamento esterni, come il servizio di Hosting, Google per i dati di raccolti con analytics e quant’altro)
- Indicare la motivazione per la quale sono raccolti questi dati.
- Qual è l’interesse del titolare su questi dati e quale uso ne farà (il marketing è un requisito valido e meritevole).
- Periodo di conservazione dei dati.
- Indicare se questi dati vengono trasferiti all’estero, quali strumenti di utilizza e assicurarsi che il trasferimento sia in un paese considerato adeguato dalla comunità europea. Il privacy shield, l’accordo approvato tra CE e USA, garantisce l’adeguatezza del paese al trasferimento di questi dati.
Altri paesi considerati adeguati sono disponibili sul sito www.garanteprivacy.it
Per fare un esempio pratico, io utilizzo personalmente il CRM di Hubspot dove faccio confluire alcuni dati: email, anagrafiche di clienti, dipendenti dei clienti e fornitori.
In particolare questi dati sono ospitati nei server di Hubspot che in ragione del Privacy Shield ha adottato le misure necessarie alla conformità con il GDPR.
In questo esempio possiamo identificare la società Hubspot come Responsabile del Trattamento (data processor), dovrò quindi farne menzione nella mia privacy policy o comunque poter fornire all’interessato l’elenco di tutti i responsabili su richiesta specificandolo chiaramente nell’informativa.
Inoltre essendo Hubspot Inc una società situata al di fuori dello spazio economico europeo all’interno dell’informativa dovrò dichiarare che i dati raccolti sono soggetti a un trasferimento all’estero.
Quanto detto vale per tutti gli altri servizi destinatari dei dati raccolti e che fungono da responsabili del trattamento come ad esempio servizi di email marketing, software di fatturazione in cloud, i dati raccolti con Google Analytics e quant’altro.
I responsabili del trattamento dei dati vengono designati con un contratto che può essere anche di tipo elettronico. Anche il servizio di Hosting è un Responsabile del Trattamento dei dati che raccogliamo.
Cookies e obblighi per il trattamento dei dati
Per quanto riguarda gli obblighi relativi ai cookies invece si va a toccare la parte ancora un po’ fumosa della questione e consiglio di continuare a seguire notizie a riguardo, potrebbero esserci delle novità soprattutto in vista del nuovo Regolamento ePrivacy disponibile attualmente solo come Bozza.
Anche se determinati cookies sono raccolti in forma anonima (mascheratura dell’indirizzo ip, questi potrebbero comunque essere associati a una persona attraverso altri metodi, ad esempio un identificativo e ricadono comunque negli obblighi previsti dal regolamento.
Nel GDPR si fa riferimento una sola volta ai cookies trattandoli come marcatori temporanei degli utenti che navigano nel sito web.
Questa affermazione tuttavia applica anche ai cookies gli obblighi definiti per il trattamento dei dati personali.
D: Cosa cambia rispetto alla Cookie Law?
R: Se prendiamo come esempio Google Analytics non dobbiamo più pensare anche se anonimizzato non richiede il consenso, ma dobbiamo piuttosto chiederci quali dati raccogliamo con questo strumento.
GDPR e Google Analytics
Se ad esempio con Google Analytics teniamo traccia di eventi o di dati assegnando un user-id del nostro ecommerce o derivante dal nostro crm ecco che siamo soggetti agli obblighi del GDPR in quanto potenzialmente saremmo in grado di identificare quella persona e quindi dovremo chiedere preventivamente il consenso, nonostante l’ip sia stato anonimizzato.
In pratica se si raccolgono dei dati, che incrociati con altri potrebbero identificare una persona anche GA richiederà un consenso esplicito.
D: E’ possibile quindi evitare che Google Analytics ricada nell’obbligo di consenso preventivo?
R: L’opinione che va per la maggiore è che si può evitare di chiedere il consenso esplicito per GA se:
- Si è sicuri che i dati sono raccolti in maniera completamente anonima e aggregata, quindi no ad IP, user-id o qualsiasi altro identificativo in grado di collegare i dati ad una persona reale. Attenzione alle url inviate contenenti dati personali es: (\?age=26®ion=lazio&number=77744444).
- Il codice di Analytics è stato anonimizzato.
- Vengono disattivate le funzioni di Google Analytics collegate ad adwords e alla pubblicità.
- E’ stato accettato l’emendamento pubblicato nell’amministrazione di Google Analytics.
- Sono state deselezionate le caselle che abilitano l’incrocio di dati fra prodotti di Google.
- Sono stati disattivati i collegamenti fra prodotti di Google. In particolare fra Google Analytics e Adwords.
In questa ipotesi potremmo evitare di richiedere il consenso di Google Analytics, vi suggerisco comunque di rimanere informati nei prossimi giorni sulla questione.
Inoltre dovremmo tenere conto che:
- Dovremo inserire un blocco preventivo per tutte le altre risorse che installano cookies, ad esempio per i servizi offerti da Hotjar, remarketing di facebook, ma anche i bottoni sociali come AddThis.
- Rimane la necessità dell’informativa breve ma sarà necessario il consenso espresso, in particolare l’utente dovrà accettare cliccando su “accetta” oppure potrà anche “rifiutare” i cookies. Se si utilizza un plugin (per wordpress ad esempio) si dovrà assicurarsi di poter attivare l’opzione di rifiuto dei cookies.
- Non sarà più possibile accettare i banner con il semplice scroll del sito, quindi si dovrà disattivare quella particolare opzione.
- Consenso Modificabile: nella pagina riguardante la privacy deve essere predisposto un bottone in grado di fare il reset e modificare il consenso (alcuni plugin lo fanno già).
- Un’importante novità sarà la possibilità di navigare il sito dopo il rifiuto dei cookies senza comprometterne le funzionalità. In questo caso non è possibile limitare l’accesso del sito se non si sono accettati i cookies.
Iubenda e CookieBot: quale scegliere?
E’ molto probabile che servizi come Iubenda siano presto aggiornati per soddisfare questo tipo di richieste. Il servizio CookieBot attualmente si definisce conforme al nuovo regolamento.
Rimane invece invariato:
- Il consenso preventivo e informato prima dell’installazione dei cookies di profilazione e marketing.
- Un consenso informato facile da leggere
- Oblio: possibilità di eliminare i cookies. (Il pulsante di reset del consenso serve a questo)
- Periodo di trattamento dei dati: solitamente 12 mesi.
Informativa estesa sui cookies e come vengono utilizzati nel sito.
Come garantire il diritto all’oblio
Ora veniamo alle novità più interessanti per quanto riguarda la conformità al GDPR e che riguardano anche le PMI.
Nell’informativa estesa si dovrà informare l’utente della possibilità di richiedere i propri dati personali per la visione. Il mezzo più semplice sarà predisporre un email che raccoglie le richieste.
Esportabilità dei dati in modo leggibile: In questo caso sarà necessario assicurarsi che gli strumenti che utilizziamo, crm, servizio di newsletter o software di ecommerce e quant’altro abbiano una funzione che permette di esportare tutti i dati di un particolare utente.
Nel mio caso, facendo riferimento al CRM di Hubspot ho verificato che ci fosse la funzione che mi permettesse di selezionare un utente e poter ricavare tutti i dati di cui sono in possesso in formato xml, in questo caso sarò tenuto a inviarlo al richiedente.
Nel caso in cui l’utente sia presente sia nel servizio di newsletter che nel crm dovrò esportare i due file e consegnarli, oppure effettuare un “merge“ dei due file xml.
L’informativa dovrà informare gli utenti che possono rettificare alcuni dati di cui siamo in possesso, escluderne alcuni, oppure essere dimenticati totalmente (diritto all’oblio).
In questo caso il titolare o chi per esso, è tenuto a far valere i diritti degli interessati. In pratica se riceviamo la richiesta di essere eliminati dai nostri database saremo tenuti a eliminare tutti i dati relativi l’interessato.
Portabilità dei dati: i dati devono poter essere scaricati in un file (xml, json, csv)
Il titolare deve utilizzare metodi idonei e sicuri per la detenzione dei dati, quindi siate sicuri di utilizzare dei database protetti con un occhio di riguardo anche alla criptazione degli stessi.
Per fare un esempio non salvate mai dati personali in un semplice file word, excel o comunque accessibile da chiunque.
Obbligo di “notificare” entro 72 ore un’eventuale violazione o compromissione dei vostri server/hosting e quindi della possibilità di eventuali furti di dati e come intendete minimizzarne gli effetti.
Tutti questi punti possono essere automatizzati attraverso un’app in grado di accedere attraverso i servizi che normalmente utilizziamo sfruttando le API.
Tuttavia questa soluzione ha un costo, in quanto, prevede un lavoro di programmazione.
Ribadisco, la parte più ostica potrebbe essere la necessità di far fronte alle richieste di visione dei dati personali e la loro esportazione.
Assicuratevi che il vostro e-commerce, servizio di newsletter o crm abbia la possibilità di esportare i dati di un utente.
Conoscono tantissime piccole attività che sono in possesso del solo servizio di newsletter e in questo caso la procedura si semplifica di molto.
D: Non ti sembra che il Gdpr vada a colpire i piu’ piccoli, le pmi?
R: Non penso, le procedure da attuare più o meno sono le stesse fra piccole e grandi imprese, ma l’impatto sarà più forte nelle imprese più grandi che dovranno redigere un piano per far fronte ai requisiti, potrebbero aver la necessità di assumere un Data Protection Officer e probabilmente dovranno investire per predisporre un meccanismo automatizzato che possa accogliere le richieste di visione, esportazione, rettifica e eliminazione dei dati personali degli utenti.
GDPR per medie e grandi imprese
D: Invece un’azienda grande, che raccoglie i dati degli utenti e dei dipendenti cosa dovrebbe fare per essere in regola?
R: Cerco di essere più sintetico possibile perché i fattori in gioco sono notevoli e consiglierei a un’impresa di grandi dimensioni di rivolgersi a un consulente.
Personalmente mi occupo già di questo con un paio di aziende e mi propongo inoltre come Data Protection Officer per quelle aziende che ne hanno la necessità.
- Le aziende con un numero superiore a 250 dipendenti sono obbligate alla redazione di un registro dei trattamenti, una sorta di quadro aggiornato dei trattamenti effettuati dall’azienda in grado di valutare anche i rischi ed esibito su richiesta al garante.
- Devono prevedere misure di sicurezza più elevate nei sistemi di trattamento dei dati personali. Vorrei ricordare che tutto quello che abbiamo specificato fino ad ora va a impattare anche sui software di gestione dei dipendenti dell’azienda stessa, crm, software di gestione dei fornitori, software per la raccolta delle candidature di lavoro etc. In quanto anche questi strumenti contengono dati personali e sensibili di persone fisiche e queste dovranno essere opportunamente informate dei trattamenti. E’ veramente notevole l’impegno che dovrà metterci una grande azienda per mettersi in regola. Non è un caso che il garante abbia sintetizzato il tutto con l’espressione “data protection by default and by design”.
- Prevedere corsi di formazione per il personale che deve essere sensibilizzato sulla questione.
- Sviluppare internamente o assumere programmatori per creare un’infrastruttura dedicata in grado di far fronte alla possibilità di scaricare i propri dati personali, visionarli, gestire le richieste o essere eliminati totalmente dai software aziendali. Un esempio: Facebook nelle impostazioni utente ha implementato un link, il quale dopo un periodo di elaborazione invierà nella vostra email tutto ciò conosce di voi. Presumibilmente il link di eliminazione dell’account, dal 28 Maggio eliminerà totalmente i vostri dati e non saranno più recuperabili come prevede il regolamento.
Nomina del DPO e del RDP
D: Chi deve nominare un Responsabile dei dati personali (RDP) o Data Protection Officer (DPO)?
R: Tra gli enti pubblici devono nominare un DPO tutti tranne le autorità giudiziarie che vengono esentate. Ma anche:
- Tutte quelle attività piccole o grandi che come attività principale svolgono il monitoraggio regolare e sistematico di dati personali in larga scala.
- Tutte quelle attività piccole o grandi che come attività principale svolgono il monitoraggio regolare e sistematico di dati sensibili in larga scala.
Aziende che su base volontaria hanno la necessità di un esperto in grado sorvegliare il processo del trattamento dei dati per non incorrere in sanzioni.
D: In futuro vedi un inasprimento di queste norme sulla privacy?
R: Non credo, probabilmente ci potrebbe essere una semplificazione o una ridefinizione di alcuni concetti un po’ più complicati e più semplici a dirsi che a farsi.
Siamo già al limite di quello che potrebbe essere fatto per la salvaguardia dei dati personali, un ulteriore inasprimento delle regole sarebbe impraticabile.
D: Parliamo un attimo proprio delle pmi, con le quali lavori giornalmente. Come devono evolversi per essere pronti alla rivoluzione del commercio e dei servizi online che e’ gia’ iniziata?
R: Per quanto riguarda l’Italia potremmo parlarne per ore. Innanzitutto dovrebbe cambiare la mentalità di molti imprenditori che puntano più sul reparto Sales e molto di meno su Marketing e il marketing digitale considerandolo quasi un di più, investendo poco senza rendersi conto che in un mondo globalizzato come quello di oggi è una parte fondamentale e trainante.
In ottica di protezione dei dati personali le aziende dovranno considerare e programmare tutti gli aspetti di marketing, di vendita e di gestione necessari per non violare le leggi, si guardi al recente caso di Cambridge Analytica e Facebook.
D: Cosa si rischia a non essere in regola con il Gdpr?
R: Da una semplice ammonizione ai casi più gravi come 20 Milioni di Euro o il 4% del fatturato mondiale. Tutto dipende dal carattere doloso o colposo, dalla gravità e dal grado di cooperazione con l’autorità per attutire gli effetti di un’eventuale violazione.