Parliamo di GDPR con Alessandro Vercellotti, l'avvocato del web

Ciao Alessandro,
- Partiamo con le domande terra terra: quando si fa riferimento a questo GDPR per il trattamento dei dati personali come lo dobbiamo chiamare ufficialmente?
L’acronimo Gdpr significa General Data Protection Regulation o in Italiano Regolamento generale sulla protezione dei dati e quando si fa riferimento a questa legge è preferibile, ma non obbligatorio, richiamare il nome della norma vale a dire Regolamento UE 679/2016. Un po’ come per il Codice Privacy che è D.Lgs 196/2003 - Quando raccogliamo il consenso tramite questi moduli è sufficiente salvare e conservare la mail che arriva alla casella di posta?
L’importanza del salvataggio dei consensi deriva dal fatto che tutti i dati in nostro possesso devono essere giustificati da un atto di conferimento del consenso al trattamento dei dati da parte del titolare degli stessi. Tale documentazione deve essere disponibile in caso di controlli per evitare sanzioni. Non esiste una forma prestabilita: si può trattare di un documento cartaceo se si è proprietari di un negozio, della lista di contatti di una newsletter scaricata da un servizio automatizzato di mail marketing con l’indicazione del giorno e ora del double-optin, della mail ricevuta dopo il contatto tramite il sito web se riporta il consenso al trattamento dei dati e sia riconducibile ai dati personali (nome e mail) del soggetto che ha compilato il contact form. Quindi l’importante è la prova del consenso dell’interessato, non la forma della prova di tale consenso - L’utilizzo di un plugin come “Flamingo” (compagno ufficiale di Contact Form 7) che registra email, data e nome della persona che ha compilato il modulo con assenso è una cosa utile? Per quanto tempo bisogna conservarlo? A seconda dell’uso?
Uno strumento come questo è più che sufficiente, tanti miei clienti usano questo plugin. Non esiste un tempo prestabilito, il Gdpr non stabilisce alcuna tempistica. E’ chiaro che qualsiasi trattamento dei dati deve essere collegato alla finalità dello stesso. Facciamo un paio di esempi. Se un interessato si iscrive a una newsletter è evidente che il consenso al trattamento dei suoi dati come i dati stessi devo essere mantenuti fino a che il soggetto non si cancella dal servizio. Se invece un interessato usa un contact form su un sito per avere informazioni i suoi dati e relativi consensi andranno trattati per un tempo necessario a rispondere alla sue richieste, quindi ad esempio non per 6 mesi o un anno. - I cookies, benedetti. Questo GDPR non introduce nulla di nuovo sui cookies, che sono regolamentati dalla cookie law. Cosa non è ancora chiaro è se bisogna effettivamente permettere all’utente di bloccare qualsiasi cookie in via preventiva, raggruppandoli per tipologia, o se bisogna rimandare all’utente la capacità di evitare in via preventiva il download tramite il proprio browser. Sono anni che ci vengono rifilate soluzioni più o meno efficaci ma alla fine dei conti ci sembra di capire che è l’utente che deve essere in grado di tutelarsi, e noi di informalo solamente. Sbaglio?
I cookie sono stati considerati solo indirettamente dal Gdpr e infatti vengono citati solo una volta in tutta la normativa. Il Gdpr tratta le attività profilanti nei confronti degli utenti/interessanti, quindi bisogna avere riguardo ai cookie profilanti o di marketing come ad esempio quelli dei social. In linea generale bisogna utilizzare plugin che blocchino qualsiasi cookie profilante fino a che l’utente non li autorizzi, infatti se non ci fosse un blocco preventivo i cookie si attiverebbero appena l’utente approda sulla pagina del sito. Alcuni servizi permettono un consenso granulare ai cookie, altri servizi prevedono la possibilità di autorizzare tutti i tipi di cookie. Un servizio non è preferibile all’altro dal punto di vista legale, infatti l’elemento comune è che tutti i cookie profilanti non vengono attivati fino a che l’utente non da il proprio consenso. E’ utile ricordare che è intenzione del legislatore europeo intervenire con una normativa ad hoc sulla materia dell’e-privacy e quindi anche in relazione alla normativa dei cookie.
Bene vi salutiamo ricordando i dati di Alessandro, e soprattutto che sarà presente al Webmarketing festival https://www.webmarketingfestival.it/2018/programma/sala-legal-248
Un po’ di commenti nel blog