Parliamo di GDPR con Alessandro Vercellotti, l'avvocato del web
Ciao Alessandro,
perdonami per il “tu”, ma immagino tu sia avvezzo a rompere gli schemi lavorando sul web.
Ho trovato questa tua intervista che soddisfa largamente la parte teorico giuridica su questo fantomatico GDPR: https://www.strogoff.it/
Ma noi web-cosi siamo gente pratica che vuole andare al sodo, e visto che non esiste un vademecum, voglio raggiungere con te delle soluzioni pratiche da poter suggerire ai nostri lettori.
Come sai sono esperta in WordPress, pertanto approfondirò qualche aspetto di questo cms fornendo qualche consiglio su dei plugin che ci possono aiutare a fare ciò che ci suggerirai.
Premetto che la nuova versione di WordPress (rilasciata solo una settimana prima della deadline ahinoi), fornisce una guida su come compilare la privacy policy integrando dove esistenti alcuni dettagli base dell’utilizzo degli utenti di questa piattaforma, tipo chi possiede un’utenza o chi commenta gli articoli o sulla metodologia di trattamento, quando questo viene protetto dal sistema Akismet di WordPress che è un servizio esterno.
In ogni caso bisogna improvvisarsi avvocati e non credo sia la scelta giusta. Ciascuno di noi dovrebbe appoggiarsi ad un avvocato perlomeno per farsi scrivere la privacy policy con un linguaggio che sia facile e diretto, come richiede la direttiva GDPR, ma al tempo stesso che non sia raffazzonata e che faccia acqua da tutte le parti.
- Partiamo con le domande terra terra: quando si fa riferimento a questo GDPR per il trattamento dei dati personali come lo dobbiamo chiamare ufficialmente?
L’acronimo Gdpr significa General Data Protection Regulation o in Italiano Regolamento generale sulla protezione dei dati e quando si fa riferimento a questa legge è preferibile, ma non obbligatorio, richiamare il nome della norma vale a dire Regolamento UE 679/2016. Un po’ come per il Codice Privacy che è D.Lgs 196/2003 - Quando raccogliamo il consenso tramite questi moduli è sufficiente salvare e conservare la mail che arriva alla casella di posta?
L’importanza del salvataggio dei consensi deriva dal fatto che tutti i dati in nostro possesso devono essere giustificati da un atto di conferimento del consenso al trattamento dei dati da parte del titolare degli stessi. Tale documentazione deve essere disponibile in caso di controlli per evitare sanzioni. Non esiste una forma prestabilita: si può trattare di un documento cartaceo se si è proprietari di un negozio, della lista di contatti di una newsletter scaricata da un servizio automatizzato di mail marketing con l’indicazione del giorno e ora del double-optin, della mail ricevuta dopo il contatto tramite il sito web se riporta il consenso al trattamento dei dati e sia riconducibile ai dati personali (nome e mail) del soggetto che ha compilato il contact form. Quindi l’importante è la prova del consenso dell’interessato, non la forma della prova di tale consenso - L’utilizzo di un plugin come “Flamingo” (compagno ufficiale di Contact Form 7) che registra email, data e nome della persona che ha compilato il modulo con assenso è una cosa utile? Per quanto tempo bisogna conservarlo? A seconda dell’uso?
Uno strumento come questo è più che sufficiente, tanti miei clienti usano questo plugin. Non esiste un tempo prestabilito, il Gdpr non stabilisce alcuna tempistica. E’ chiaro che qualsiasi trattamento dei dati deve essere collegato alla finalità dello stesso. Facciamo un paio di esempi. Se un interessato si iscrive a una newsletter è evidente che il consenso al trattamento dei suoi dati come i dati stessi devo essere mantenuti fino a che il soggetto non si cancella dal servizio. Se invece un interessato usa un contact form su un sito per avere informazioni i suoi dati e relativi consensi andranno trattati per un tempo necessario a rispondere alla sue richieste, quindi ad esempio non per 6 mesi o un anno. - I cookies, benedetti. Questo GDPR non introduce nulla di nuovo sui cookies, che sono regolamentati dalla cookie law. Cosa non è ancora chiaro è se bisogna effettivamente permettere all’utente di bloccare qualsiasi cookie in via preventiva, raggruppandoli per tipologia, o se bisogna rimandare all’utente la capacità di evitare in via preventiva il download tramite il proprio browser. Sono anni che ci vengono rifilate soluzioni più o meno efficaci ma alla fine dei conti ci sembra di capire che è l’utente che deve essere in grado di tutelarsi, e noi di informalo solamente. Sbaglio?
I cookie sono stati considerati solo indirettamente dal Gdpr e infatti vengono citati solo una volta in tutta la normativa. Il Gdpr tratta le attività profilanti nei confronti degli utenti/interessanti, quindi bisogna avere riguardo ai cookie profilanti o di marketing come ad esempio quelli dei social. In linea generale bisogna utilizzare plugin che blocchino qualsiasi cookie profilante fino a che l’utente non li autorizzi, infatti se non ci fosse un blocco preventivo i cookie si attiverebbero appena l’utente approda sulla pagina del sito. Alcuni servizi permettono un consenso granulare ai cookie, altri servizi prevedono la possibilità di autorizzare tutti i tipi di cookie. Un servizio non è preferibile all’altro dal punto di vista legale, infatti l’elemento comune è che tutti i cookie profilanti non vengono attivati fino a che l’utente non da il proprio consenso. E’ utile ricordare che è intenzione del legislatore europeo intervenire con una normativa ad hoc sulla materia dell’e-privacy e quindi anche in relazione alla normativa dei cookie.
Bene vi salutiamo ricordando i dati di Alessandro, e soprattutto che sarà presente al Webmarketing festival https://www.webmarketingfestival.it/2018/programma/sala-legal-248
Alessandro Vercellotti, l’avvocato del web
