Cambierà davvero qualcosa da gennaio 2022 sul GDPR e i cookie? Dovremo adeguarci a nuove regole o avremmo dovuto già farlo da tempo?
Ultimamente non si sente parlare d’altro che di novità nel regolamento, di registro dei trattamenti, di consensi e di cookie.
Per andare a fondo sulla questione ho creato una lista di domande a partire dai miei dubbi e da quelli più comuni che ho letto nei gruppi di settore e ho intervistato Frida Del Din di legaledigitale.com.
Siamo partiti da un’introduzione generica al regolamento, alla cookie law e alle figure di riferimento del GDPR. Abbiamo parlato di come adeguarsi e di quali soluzioni si possono adottare nel caso di siti piccoli che non portano guadagni.
Per chiarire la questione dell’adeguamento abbiamo anche visto esempi specifici per capire come comportarci di caso in caso. Poi abbiamo parlato delle sanzioni e di cosa si rischia se non si è ancora in regola.
Di recente è scoppiato il caso Google Analytics e GDPR, controlla la nostra recente intervista a Frida per capire meglio la situazione.
Table of Contents
GDPR e registro dei trattamenti, cosa cambia da gennaio?
Io sono Ivan Messina di SupportHost, un provider che si sta facendo spazio nel mercato italiano.
Frida Del Din (legaledigitale.com) è un avvocato che si occupa di GDPR, marchi, contrattualistica e proprietà intellettuale.
Nell’intervista che puoi vedere nel video qui sotto, ho fatto a Frida domande di ogni genere sul GDPR, il registro dei trattamenti, e sui cambiamenti di cui si sta parlando ultimamente.
Introduzione al GDPR
Iniziamo dal principio e vediamo come nasce il GDPR, cos’è la cookie law e quali sono le figure di riferimento del GDPR.
Prima di iniziare è bene tenere a mente alcune definizioni importanti.
Trattamento dei dati
In questo articolo parleremo spesso di trattamento dei dati, ma cosa si intende esattamente? Ecco una definizione chiara del Garante della Privacy:
Trattamento è qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali.
Questo significa che anche la consultazione e la raccolta dei dati sono incluse in queste operazioni.
Dati personali
Ora che abbiamo capito cosa si intende per trattamento, vediamo anche la definizione di dati personali:
Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica.
Registro dei trattamenti
Il registro dei trattamenti o registro delle attività di trattamento è un documento in cui vengono specificate le operazioni che vengono svolte sui dati personali. Ecco una definizione puntale del Garante:
È un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del RGPD) relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento.
Chiarito il significato della terminologia, passiamo alle domande sul regolamento.
Cos’è il GDPR e perché è stato introdotto? Si riferisce esclusivamente al sito o all’azienda nel suo complesso?
Il GDPR è un regolamento europeo che si applica in tutti gli stati membri e ha come scopo disciplinare il trattamento dei dati personali.
Il regolamento nasce dalla necessità di riformare la normativa sulla privacy all’interno dell’Unione Europea. In precedenza era in vigore una direttiva che era stata trasposta anche nel Codice Privacy italiano.
Il GDPR nasce quindi proprio come regolamento generale che riguarda tutti i trattamenti di dati personali. Questo significa che non si riferisce solo agli aspetti dei siti, ma a tutti i processi aziendali. Ogni volta che un’azienda si trova a dover trattare dei dati personali, ad esempio quelli di clienti o fornitori, deve farlo in conformità a questo regolamento.
La cookie law fa parte del GDPR?
Il GDPR è un regolamento generale che riguarda il trattamento dei dati personali. Quando parliamo di cookie law o disciplina dei cookie, invece, ci riferiamo a un ramo specifico che si occupa del trattamento dei dati personali che avviene proprio attraverso i cookie o altri sistemi di tracciamento.
La disciplina sui cookie sarà inserita nel nuovo regolamento ePrivacy che andrà a sostituire la precedente direttiva ePrivacy. Il regolamento non è ancora stato approvato, ma quando entrerà in vigore sarà proprio un regolamento speciale utilizzato per disciplinare i cookie.
Attualmente si può fare riferimento al GDPR e alle nuove linee guida del Garante per la Privacy italiano. Trattandosi di linee guida resta inteso che non hanno valore di legge, ma sono linee interpretative che aiutano a essere via via più conformi al regolamento.
Qual è la differenza tra titolare del trattamento, responsabili e sub-responsabili?
Il titolare del trattamento determina le modalità e i mezzi del trattamento, per esempio un’azienda che tratta i dati dei propri clienti. Il titolare può designare (attraverso un atto di nomina) una figura come responsabile del trattamento, ovvero un soggetto che tratta i dati personali per conto del titolare.
Si parla di sub-responsabili quando il responsabile del trattamento si avvale di ulteriori collaboratori che trattano i dati personali, ovvero hanno accesso ai dati. In quest’ultimo caso il responsabile del trattamento deve essere autorizzato dal titolare per poter nominare a sua volta dei sub-responsabili.
Adeguamento al GDPR
Vediamo quali sono i passaggi fondamentali da seguire per adeguarsi al GDPR. Facciamo anche degli esempi specifici con diverse tipologie di sito per capire come comportarci se stiamo utilizzando un form di contatto, dei cookie tecnici o i cookie di Google Analytics.
Per adeguarsi basta avere una barra dei cookie, una cookie policy e una privacy policy?
Il processo per adeguarsi al GDPR deve partire da processi a monte che devono essere messi in atto prima di arrivare a stilare le policy per i cookie e per la privacy. Questi processi includono un’analisi, una mappatura dei trattamenti e una valutazione.
Per il principio dell’accountability (ovvero della responsabilizzazione) il regolamento ci chiede di motivare le scelte che facciamo. Di conseguenza per arrivare a scrivere una cookie policy e un’informativa sulla privacy che siano effettivamente aderenti a quello che si mette in pratica, si deve prima fare un’analisi a monte.
In questo modo ci si assicura anche di essere in linea con quello che prevede il regolamento o, in caso contrario, si possono apportare delle modifiche.
Prendiamo il caso di un sito che viene utilizzato per condividere le proprie idee. Nel sito non ci sono form di contatto e non viene inserito l’indirizzo email. Gli unici cookie utilizzati sono alcuni cookie tecnici di WordPress che non si possono disattivare. In questo caso sono necessari barra dei cookie, cookie policy e privacy policy?
Nel caso in cui utilizziamo solo i cookie tecnici, necessari al funzionamento del sito e non raccogliamo direttamente dei dati, dovremmo comunque avere un banner che avvisi che il sito utilizza cookie tecnici. È consigliabile fornire ugualmente un’informativa sulla privacy, in cui, in questo caso si può indicare che il sito non raccoglie dei dati.
E nel caso di un sito che usa solo cookie tecnici, ma abbia in più (rispetto al caso precedente) anche un form di contatto?
Nel caso in cui non vengano utilizzati cookie al di là di quelli tecnici, ma si utilizzi un form di contatto, nell’informativa sulla privacy andrà specificato l’uso dei dati personali.
Prendiamo il caso di un sito che non raccoglie dati personali (senza form di contatto e senza indirizzo email) e che utilizza solo i cookie tecnici. Cosa succede se utilizziamo Google Analytics anonimizzato?
In questo caso (visto che sono anonimizzati) i cookie vengono considerati come cookie tecnici e non rientrano nei cookie di profilazione, che invece, richiederebbero un consenso prima dell’installazione.
Soluzioni per piccoli siti
Prendiamo il caso di un sito che non porta guadagni. Se non possiamo permetterci un avvocato per stilare le policy, quali sono le opzioni possibili per un sito di questo tipo?
Si può usare un banner informativo semplice e descrivere nell’informativa della privacy e dei cookie quello che si va a a fare. Come prima il consiglio è sempre quello di includere un’informativa per la privacy anche nel caso in cui il sito non tratti i dati personali.
Esistono soluzioni standard o fai da te per restare in un budget minimo?
Partendo dal presupposto che il GDPR non ammette informative standard, in questo caso si può semplicemente scriversi l’informativa da soli, tenendo anche conto che va bene scriverla in maniera più spontanea e meno formale in modo che sia comprensibile all’utente che visita il nostro sito.
Per approcciarci alla stesura delle informative in maniera critica non basta copiare e incollare il testo da un sito simile al nostro. Quello che si può fare è prendere ispirazione, ma bisogna fare delle considerazioni e porsi delle domande su quello che si va realmente a fare, in modo da scrivere un’informativa coerente.
Ritornando di nuovo alle soluzioni standard, affidarsi a soluzioni prestampate o automatizzate è sempre un rischio. Del resto queste soluzioni stesse contengono un disclaimer con il quale non si assumono responsabilità.
Usando Iubenda si riesce a rientrare nella legalità? Abbiamo delle garanzie?
Come nel caso delle soluzioni automatizzate della domanda precedente, anche in questo caso il servizio adotta un chiaro disclaimer che si può trovare nel footer del sito.
Ci sono anche società che utilizzano un prestampato che poi adattano cambiando qualche virgola ed eventualmente integrano con paragrafi aggiuntivi in base alle indicazioni di chi lo richiede. Questa potrebbe essere una soluzione economica? Offre qualche tipo di garanzia?
Prendere un prestampato e cambiare qualche virgola senza avere un approccio critico e sistemare il documento di conseguenza, comporta il rischio che alla fine ci siano cose che non coincidano. Nel caso di un controllo è necessario che l’informativa sia coerente con tutto quello che viene fatto nella pratica.
Quindi, si può partire sempre da un template, ma bisogna poi adattarlo in modo che sia coerente e che coincida con quel caso specifico. Proprio per questo le soluzioni standard o copia-incolla non vanno bene.
L’altra alternativa è quella di affidarsi a un professionista e avere una consulenza personalizzata e una policy su misura. Quali sono le garanzie o le tutele in questo caso?
Rivolgersi a un professionista iscritto a un albo significa poter fare affidamento alla responsabilità professionale e, nello specifico nel caso degli avvocati, le prestazioni sono anche coperte dalla polizza RC professionale.
In conclusione, se una persona o anche una piccola azienda agli inizi, ha problemi di budget, cosa può fare senza dover ricorrere a grandi investimenti?
In questi casi sicuramente una consulenza con un legale può essere un primo passaggio per un uso più consapevole delle informative e dei cookie.
Nel mio caso specifico, su legaledigitale si può richiedere un servizio di consulenza/corso di formazione che fa sì che il titolare del trattamento possa formarsi e iniziare a scriversi i documenti. Il passo successivo è la revisione dell’informativa prima di metterla online.
Registro dei consensi
Cos’è il registro dei consensi? Da gennaio ci saranno delle modifiche o delle nuove disposizioni del Garante?
Il Garante ha dato delle linee guida per gestire correttamente i dati attraverso i cookie e le altre modalità di tracciamento, linee guida aggiornate in seguito al GDPR. Non ci sono cambiamenti a livello di legge, ma si parla di indicazioni che devono comunque essere seguite.
Nelle linee guida non si parla di registro dei consensi. L’unico registro a cui si fa riferimento è il registro dei trattamenti (registro delle attività di trattamento di cui si parla all’articolo 30 del GDPR) che riguarda sia i cookie che gli altri tipi di trattamento.
Cos’è il registro dei consensi e quando serve?
Non è un vero registro, ma si riferisce al tenere traccia dell’ultima preferenza che è stata effettuata dall’utente. Nel momento in cui sul sito ho dei cookie non solo tecnici e necessari, ma anche cookie di profilazione o che comunque trattano i dati, ho bisogno del consenso dell’interessato affinché questi cookie possano operare.
Deve quindi esserci un banner e inoltre la possibilità di mantenere quei cookie bloccati finché l’utente non compie una scelta.
Dopo che l’utente ha fatto una scelta, deve essere generato un cookie tecnico che tiene traccia della preferenza. Questo cookie, inoltre, dà all’utente la possibilità di modificare la sua scelta quando ritorna sul sito e anche di verificare quando è stata data la preferenza.
Come adeguarsi
Cosa bisogna fare per adeguare il sito e l’azienda al GDPR?
Si parte sempre da analisi e valutazione, con queste premesse ci si assume la responsabilità delle scelte. Per esempio vanno presi in considerazione anche i fornitori che scegliamo. Solo dopo aver chiarito questi punti si passa a stilare l’informativa.
Come abbiamo visto prima, parlando del registro dei consensi, il banner dei cookie deve dare all’utente la possibilità di operare una scelta effettiva. Inoltre, i cookie non devono essere installati finché l’utente non ha espresso una scelta.
Nel caso in cui l’utente chiuda il banner e prosegua con la navigazione è come se avesse accettato solo i cookie necessari. Lo scrolling, come torneremo a precisare più avanti, non può essere considerato idoneo ad esprimere il consenso ai cookie non necessari.
Dopo aver implementato il sistema, bisogna rivederlo in maniera periodica. Andrà, infatti, verificata la classificazione dei cookie per assicurarci che non ci siano cookie classificati in maniera scorretta. Si dovrebbero quindi stabilire dei controlli periodici per verificare la classificazione dei cookie.
Allo stesso modo dopo aver fatto modifiche, per esempio installando un nuovo plugin, sarà necessario controllare che non vengano usati altri cookie, o in tal caso classificare i nuovi cookie correttamente.
Per quanto riguarda i plugin, io personalmente uso GDPR cookie consent di WebToffee, tu quale consigli?
Su legaledigitale uso Cookiebot che fin dall’inizio ha avuto le impostazioni per il consenso granulare, per scegliere tra le varie categorie di cookie o revocare il consenso.
NdR: non ci sono plugin gratuiti, ma per esempio quello che ho consigliato io (GDPR cookie consent) costa 69$ all’anno.
Esempi specifici
Se in un sito uso un form per iscriversi a una newsletter e, ovviamente, sono richiesti nome ed indirizzo email per poterlo fare, è necessario inserire un checkbox per accettare la privacy policy? Oppure è implicito perché l’utente si sta iscrivendo alla newsletter?
Nel momento in cui vado a compilare un form con i miei dati, se ci sono vari tipi di trattamenti è necessario che siano presenti le caselle da spuntare per accettare o non accettare. In questo esempio specifico l’azione positiva è data già dal compilare il form e inviarlo.
Un passaggio ulteriore potrebbe il double opt-in, ovvero un passaggio aggiuntivo per confermare l’iscrizione. In questo caso quindi dopo aver inviato in form, nel nostro esempio per iscriversi a una newsletter, si riceverebbe un’email che ci chiede la conferma per finalizzare l’iscrizione.
Tuttavia, per prassi, si potrebbe ugualmente inserire un checkbox per la presa visione dell’informativa della privacy. Così facendo si può inserire il link alla policy e permettere quindi all’utente di prenderne visione.
La stessa soluzione si può applicare al caso di un form di contatto per la richiesta di informazioni. In questo caso se per esempio i dati vengono mantenuti solo per il tempo necessario a rispondere alla richiesta dell’utente, si può specificare nell’informativa la finalità e il tempo per cui vengono conservati i dati.
È possibile accettare i cookie solamente con lo scroll? Esistono delle eccezioni in cui è possibile o è sempre vietato?
Nelle linee guida del 2014 era considerato valido il consenso con lo scrolling. La permanenza sul sito, quindi, era considerata sufficiente ad accettare i cookie. Con le nuove linee guida, lo scrolling da solo non è sufficiente ad esprimere il consenso all’installazione e all’utilizzo dei cookie.
Tuttavia bisogna precisare che le linee guida non escludono completamente lo scrolling per acquisire il consenso, ma si riferiscono all’uso di questo sistema insieme ad altre azioni positive compiute dall’utente per manifestare (in maniera quindi inequivocabile) il consenso.
Per un webmaster che sta creando il sito di un cliente è meglio scegliere di occuparsi anche delle policy o di indicare al cliente di rivolgersi a un avvocato per la stesura delle informative?
Bisogna considerare che offrire un servizio (in questo caso occuparsi delle informative) significa anche assumersi la responsabilità di quello che si va a fare. Per cui a meno di non avere un collaboratore esperto o di essere sicuri di volersi assumere la responsabilità è meglio delegare a un avvocato.
GDPR e sanzioni
Si rischiano sanzioni?
Il Garante ogni semestre ha un programma di controlli su categorie specifiche di aziende o altre realtà che trattano dati. Ma, bisogna stare attenti al fatto che se arriva una segnalazione, scattano i controlli.
Ci sono stati casi di piccole aziende o piccoli siti multati? A quanto ammontano le sanzioni?
Sì, anche piccole realtà, e hanno fatto dei controlli minuziosi anche per quanto riguarda i siti e anche riguardo alle newsletter. Per quanto riguarda le sanzioni, non ci sono dei minimi, ma solo dei massimi, e il regolamento definisce tutti i parametri per poterle applicare. Da quello che ho visto io, siamo sull’ordine di qualche migliaio di euro.
Bisogna considerare che le sanzioni sono proporzionate al fatturato dell’impresa, ma devono comunque avere un effetto dissuasivo. Tra i criteri vengono presi in considerazione il tipo di violazione, i dati interessati (specie per i dati sensibili), ma anche l’eventuale reiterazione della violazione.
Qui possiamo vedere una lista delle multe relative al GDPR.
Chi effettua i controlli?
Il Garante si avvale di un nucleo specializzato della Guardia di Finanza, il Nucleo Privacy, che si occupa esclusivamente di questi controlli.
Cosa ne pensi del fatto che ad oggi la maggior parte dei siti non è ancora in regola?
Penso che sia opportuno mettersi in regola fin dall’inizio, perché il trattamento di dati non è marginale. Un’attività online vive sui dati e bisogna considerare che non ci sono solo le sanzioni amministrative.
Ipotizzando ad esempio il caso di una newsletter costruita negli anni con investimenti e tanta fatica, se arriva un controllo e si accerta che i dati non sono stati raccolti correttamente, il Garante potrebbe inibire l’utilizzo di quella lista. Fare le cose fatte bene, quindi, è anche un investimento sul futuro dell’attività.
Conclusioni
Abbiamo analizzato a fondo la questione GDPR a partire dal motivo per cui il regolamento è stato introdotto fino alle figure coinvolte nel processo. Ci siamo soffermati sul registro dei trattamenti, sul registro dei consensi e abbiamo visto cosa bisogna fare per adeguarsi.
Abbiamo esaminato a fondo la questione dei cookie con casi specifici sui cookie di Google Analytics e sullo scrolling. Per capire meglio come adeguare il sito al GDPR abbiamo preso in considerazione una serie di esempi specifici e visto in particolare quali soluzioni adottare per i piccoli siti.
Per concludere abbiamo parlato anche dei plugin che possono aiutarci a implementare i cookie sul sito e visto quali sanzioni si rischiano a non adeguarsi al regolamento.
Ti abbiamo aiutato a fare chiarezza sul GDPR? Nel tuo caso come ti sei adeguato e quale plugin usi sul tuo sito? Fammi sapere con un commento.
Lascia un commento