Di GDPR ve ne abbiamo già parlato noi e se ne continua a parlare tanto, ma c’è ancora molta confusione sull’argomento e, soprattutto, poche informazioni pratiche per redigere una privacy policy.
Se siete anche voi tra quegli utenti che hanno studiato il nuovo regolamento europeo sulla privacy, ma hanno ancora qualche dubbio su come redigere l’informativa per il trattamento dati, questo è l’articolo che fa per voi! Vedremo infatti cosa prevede il “nuovo” regolamento europeo sulla privacy e come creare una privacy policy in piena GDPR compliance e vi daremo anche qualche news in anteprima sulle prossime novità in materia di cookies.
GDPR: se lo conosci NON lo eviti!
Entrato in vigore il 25 maggio 2018, è il regolamento, valido per tutti i Paesi d’Europa, che si pone l’obiettivo di tutelare i dati personali delle persone fisiche residenti nella comunità europea. Sono soggette quindi a GDPR anche aziende estere che trattino, ad esempio, i dati di un cittadino italiano.
Ma cosa si intende per dato personale? E, soprattutto, come va trattato?
Il regolamento europeo indica come dato personale una qualsiasi informazione, riferita o riferibile a una persona fisica (che il GDPR indica con il termine “interessato”), e che riguardi i suoi dati anagrafici (nome, cognome, ubicazione), il suo eventuale identificativo online o informazioni sulla sua identità fisica, economica, culturale o sociale. Il GDPR è ovviamente applicabile sia che il dato sia stato raccolto tramite l’aiuto di supporti informatici, sia che sia presente in archivi cartacei.
Un’attenzione particolare, poi, viene data alla profilazione, che viene descritta come attività volta all’analisi d alla previsione dei comportamenti di un utente, tramite l’utilizzo di automatismi, al fine di attuare poi una specifica attività di marketing.
Facciamo un esempio per capire meglio:
- Caso 1: il processo di profilazione è fine a sé stesso e serve ad esempio per suddividere gli utenti di una newsletter in gruppi in base agli interessi con l’unico scopo capire quanti utenti sono interessati a un argomento piuttosto che a un altro. Questa divisione in gruppi viene utilizzata quindi solo per scegliere quali contenuti pubblicare prossimamente sulla base dei contenuti più letti e cliccati: in questo caso, non siamo in presenza di una profilazione ma di una semplice clusterizzazione e quindi non è necessario alcun consenso da parte dell’utente.
- Caso 2: se, invece, come accade nella maggior parte delle volte, la profilazione ha come fine ultimo l’invio di informazioni commerciali ad hoc sulla base degli interessi dell’utente, allora sarà necessario, da parte dell’azienda, avere il consenso dell’utente alla profilazione.
Dati personali e GDPR compliance: tutte le info utili da sapere
Oltre a definire e regolamentare i dati personali di una persona fisica, il GDPR ha introdotto nuove norme per il trattamento di questi dati. Il regolamento definisce come trattamento di un dato la sua raccolta, conservazione, consultazione, modifica e cancellazione, sia che il dato sia stato raccolto da un operatore fisico, sia che il dato sia stato raccolto tramite strumenti e supporti informatici.
Parafrasando la definizione legale di trattamento di un dato, diventa subito chiaro che per ogni dato raccolto è necessario:
- informare l’utente attraverso apposita informativa su quali dati gli verranno richiesti
- specificare per quale ragione il dato viene raccolto e qual è la sua finalità
- indicare all’utente per quanto tempo il dato rimane “nella memoria” e, quindi, per quanto tempo il titolare può disporne e utilizzarlo
Ma cosa serve per trattare un dato personale correttamente in piena GDPR compliance? E quali sono le basi giuridiche che permettono a un titolare di raccogliere dati personali? A questo domanda possiamo rispondere con un numero: 6!
6 infatti sono le basi giuridiche a cui un titolare può far riferimento nel momento in cui decide di raccogliere un dato personale e sempre 6 sono anche i principi che il GDPR indica come “buone norme” da seguire quando si tratta un dato personale.
Nello specifico le 6 basi giuridiche sono:
- consenso – è l’interessato ad autorizzare al trattamento dei propri dati attraverso una qualsiasi azione positiva (checkbox, prosecuzione nella navigazione davanti a un banner, etc)
- esecuzione contrattuale – per portare a termine un contratto è necessario utilizzare i dati personali dell’interessato. È questo il caso in cui un utente effettua un acquisto su un marketplace e, per portare a termine la consegna della merce, il marketplace deve comunicare i dati dell’ubicazione dell’utente a uno dei propri venditori
- obbligo legale – spesso applicata in ambito bancario e assicurativo
- interesse vitale – spesso utilizzata in ambito sanitario o di ricerca scientifica
- interesse pubblico – il dato personale dell’interessato deve essere raccolto e/o utilizzato a vantaggio di un interesse pubblico o della collettività (applicabile spesso per associazioni o enti pubblici o in ambito giudiziario)
- interesse legittimo – è forse la base giuridica più interessante perché permette di bilanciare i diritti dell’interessato con gli interessi di chi invece tratta il dato. Se il titolare ritiene che per raggiungere il proprio obiettivo sia necessario utilizzare un dato personale e che questo obiettivo sia superiore per importanza rispetto ai diritti dell’interessato, allora può utilizzare il dato purchè ne documenti l’originale e l’utilizzo per poter poi rispondere ad eventuali controversie, anche legali, da parte dell’interessato.
Se quindi analizziamo nel complesso tutte le basi giuridiche messe a disposizione dal GDPR, e pensiamo a tutte le informative che ogni giorno, navigando sul web, incontriamo, ci possiamo subito rendere conto che la più diffusa è sicuramente il consenso, cioè quando è l’interessato ad acconsentire al trattamento dei propri dati personali, ma non è l’unica!
Sarebbe molto limitante, infatti, poter comunicare con gli utenti solo dopo espresso consenso da parte loro. Pensate ad esempio ad un’assicurazione online che nel corso degli anni ha costruito una banca dati con lo storico di tutti gli acquisti di polizze effettuati dai propri clienti.
Poniamo che l’assicurazione crei una nuova polizza che unisce i servizi furto e incendio che, prima, erano divisi in due polizze distinte, e che il prezzo di questa nuova polizza sia molto più vantaggioso rispetto all’acquisto delle due polizze separate.
Spesso si cade nell’errore di pensare che, se i clienti che hanno acquistato le vecchie polizze non hanno rilasciato il consenso alle informazioni commerciali, allora l’assicurazione non può comunicare loro la novità. In realtà non è così: l’assicurazione, dopo le opportune valutazioni, potrà decidere di comunicare con l’utente appellandosi alla base giuridica dell’interesse legittimo, dando sempre al cliente la possibilità di disiscriversi dalla mailing list in qualsiasi momento.
Come trattare un dato personale: ecco i 6 princìpi fondamentali
Ogni volta che si tratta un dato personale poi, è fondamentale tenere presente quelli che il regolamento identifica come i 6 principi fondamentali per il trattamento di un dato personale:
- liceità, correttezza e trasparenza
- limitazione della finalità – è necessario spiegare all’interessato con quale scopo si raccoglie quel dato e applicare solo quella specifica finalità
- minimizzazione – raccogliendo solo i dati strettamente necessari
- esattezza
- limitazione della consultazione – definendo un arco temporale in cui i dati rimangono a disposizione del titolare ed entro cui il titolare può usufruirne
- integrità e riservatezza – predisponendo accessi sicuri a quei dati, limitati alle sole persone che hanno una reale necessità di consultarli e utilizzarli
Infine, per trattare un dato personale, è fondamentale valutare bene qual è il rischio di data breach: se la perdita o la corruzione o, peggio ancora, l’accesso al dato da parte di persone non autorizzate è basso allora il titolare dovrà solamente avere cura di predisporre un documento scritto dove si evidenziano tutte le azioni e gli strumenti messi in campo per limitare tale rischio, da mostrare in caso di controlli e verifiche da parte delle autorità competenti; se, invece, il rischio di data breach è medio o alto, allora sarà opportuno capire come ridurlo al minimo ed attuare tutto ciò che è nella possibilità del titolare per prevenirlo.
Informativa privacy GDPR: ecco come redigerla
Vediamo allora come poter mettere in pratica tutte le indicazioni viste sin qui per creare una privacy policy a prova di GDPR.
Quali informazioni deve contenere una privacy policy?
Nell’informativa dovremo inserire tutte le informazioni utili all’interessato per capire chi è il titolare del trattamento, quali dati gli sono richiesti e per quale finalità, per quanto tempo rimarranno a disposizione del titolare e, soprattutto, come e a chi poter richiedere la modifica, revoca o cancellazione dei propri dati.
Che “tono” dobbiamo utilizzare nella nostra informativa privacy?
Il linguaggio che utilizziamo dovrà essere quanto più chiaro e immediato possibile e adatto all’età e al livello di istruzione del nostro “interessato medio”.
Vi sembrerà una cosa scontata ma non lo è affatto: quante volte vediamo privacy policy che in realtà non sono altro che pagine e pagine di testi scritti con un approccio legale e con riferimenti a codici di leggi che solo chi è del mestiere – e quindi un avvocato – può capire e conoscere?
Anche i testi che troviamo a fianco ai checkbox che ci chiedono di acconsentire al trattamento dei nostri dati personali sono spesso simili a questo: “Ho letto l’informativa relativa al trattamento dei miei dati personali. Privacy policy” e sono seguiti dal classico pulsante INVIA della form.
Lo stesso testo, però, potremmo tradurlo più efficacemente in un: “Cliccando su INVIA autorizzi al trattamento dei tuoi dati personali e dichiari di aver preso visione della Privacy Policy di questo sito. Riceverai ogni settimana news e offerte speciali e potrai disiscriverti o modificare i tuoi dati in qualsiasi momento.”
Non vi sembra molto meglio?
Se dici Policy dici Grafica!
Ammettiamolo, se si pensa a una privacy policy nessuno di noi pensa a un contenuto grafico: testo testo e ancora testo, niente icone, niente video, al massimo qualche colore. Ma chi lo ha detto che i contenuti di una privacy policy non possano essere tradotti in grafiche, infografiche, video o icone?
Per prima cosa dobbiamo sempre tenere presente su quale tipo di supporto o device il nostro “interessato medio” possa più spesso leggere o consultare la nostra informativa privacy. Se è una persona molto dinamica, magari spesso in viaggio, è probabile che utilizzi un device mobile per navigare la nostra informativa privacy e quindi dovremo utilizzare per esempio caratteri più grandi e impaginazioni a una colonna.
Al contrario, se si trova spesso in ufficio, sarà probabile che utilizzi schermi di maggiori dimensioni o desktop e allora potremmo organizzare gli spazi su più colonne e permetterci di utilizzare font di dimensione minore.
Se l’informativa dovesse essere molto lunga e articolata potremmo studiare una landing page di atterraggio, da collegare ai nostri form, in cui inserire un’informativa breve magari utilizzando delle icone che aiutino l’interessato nell’individuazione delle informazioni salienti e inserire poi, per tutti gli utenti che volessero avere maggiori informazioni, il link all’informativa estesa dove sostituire i testi infiniti, tipici delle privacy policy, con infografiche e simili.
Se poi l’utilizzo che facciamo dei dati personali raccolti dovesse essere complicato e articolato tanto da crearci difficoltà a renderlo chiaro in forma scritta, perché non pensare alla creazione di mini video di 30/40 secondi in cui illustrare all’utente cosa ne faremo del suo dato e perchè glielo abbiamo chiesto?
Cookies tecnici, cookies analitici, cookies di profilazione: c’è chi dice no!
Quanti di voi hanno già sentito parlare di Regolamento in privacy?
E se invece vi parlassimo di Cookie Wall? E’ GDPR compliance o non è conforme al GDPR?
Proprio di questo si sta discutendo nel Regolamento in privacy che dovrebbe essere reso attuativo nei prossimi mesi: si tratta di un’appendice del regolamento sulla privacy tutto dedicato ai cookies – che siano tecnici, analitici o di profilazione.
Secondo alcune indiscrezioni, pare che diventerà obbligatorio l’utilizzo della famosa Cookie Wall all’apertura di un sito web. Il modello di riferimento potrebbe diventare proprio quello che già utilizza il garante della privacy inglese: appena atterrati sul sito, compare una sidebar laterale che illustra all’utente il fatto che il sito utilizzi cookies tecnici e richiede il consenso dell’utente all’uso di cookies analitici che traccino i suoi comportamenti mentre naviga il sito, ma fino a quando l’utente non avrà dichiarato se acconsente o non acconsente, il sito non sarà navigabile.
Se l’utente acconsente, il suo comportamento verrà tracciato e potrà proseguire nella navigazione, ma se non acconsente dovrà comunque poter navigare il sito: quello che ancora non è chiaro e che non è ancora stato reso noto è se, in questo secondo caso, i dati di comportamento potranno essere raccolti dopo aver avuto cura di anonimizzarli o se invece, come affermano i più radicali, non dovranno proprio essere tracciati. Con buona pace dei SEO Specialist e di chi, grazie a quei dati, costruisce le proprie strategie di comunicazione.
Ancora non ti è chiaro come funziona il regolamento per la privacy o vuoi personalizzare in modo originale e creativo la tua privacy policy? Contattaci per avere una consulenza personalizzata e capire insieme come spiegare al meglio ai tuoi visitatori l’uso che fai dei loro dati.