Come ci dicono Giorgio Taverniti e Cosmano Lombardo già nella prefazione, fino a qualche anno fa il tema della privacy riguardava solamente la scelta delle Password. Oggi, per fortuna, il tema è quotidianamente affrontato negli uffici di tutte le Web Agency, italiane e non, delle imprese e delle istituzioni.
I due autori ci guidano in un percorso chiaro e lineare che consente alle imprese di inserire, all’interno della propria cassetta degli attrezzi, una serie di strumenti utili ad effettuare in autonomia la propria compliance privacy. Ideale anche per tutte le web agency e i lavoratori autonomi, per studiare e approfondire aspetti imprescindibili per la propria quotidianità.
Che cos’è un trattamento di dati personali?
Partiamo dalle basi e dalle parole dei due autori stessi, che aprono il libro con un capitolo generale volto ad aiutarci a prendere confidenza con termini che poi saranno importanti per capire certe distinzioni.
“Il Regolamento UE n. 16/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati (più comunemente noto come Regolamento generale sulla protezione dei dati o GDPR), si pone come obiettivo quello di rafforzare e uniformare il livello di tutela dei dati personali dei cittadini europei da trattamenti illeciti o illegittimi.
Per comprendere davvero la portata del regolamento e la sua applicabilità occorre partire dai due concetti principali dell’intero impianto normativo: il concetto di dato personale e quello di trattamento.
Ebbene, la definizione di dato personale data dal legislatore comunitario nel Regolamento europeo è: «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale».
I punti chiave da tenere bene a mente sono quindi: “persona fisica” e “identificabile”. La privacy è quindi un diritto riferibile solo alle persone fisiche, quando sono identificabili, ma questa non è una novità del GDPR. Nel prima capitolo troverai l’analisi parola per parola di questa definizione, e dei cambiamenti che il GDPR ha portato nel nostro mondo in comparazione con il vecchio Codice Privacy.
I principi chiave del GDPR
- Liceità, correttezza e trasparenza
- Limitazione della finalità
- Minimizzazione dei dati
- Esattezza
- Limitazione della conservazione
- Integrità e riservatezza
- Responsabilizzazione.
Il lavoro di adeguamento è un lavoro certosino che deve essere effettuato prendendo in considerazione, di volta in volta, le diverse dinamiche aziendali analizzando le criticità nel caso concreto. Sbagliare qualcosa o sottovalutarla, omettere di gestire un trattamento o non effettuare una valutazione di impatto può comportare rischi altissimi ed esporci ad ingenti sanzioni.
GDPR: software o avvocato?
Il GDPR si basa sulla valutazione di ciò che è adeguato. Proprio per questo motivo occorre riflettere bene prima di decidere di affidarsi ad un software gestionale automatizzato per la compliance GDPR.
Nel libro non si vuole affermare che i software siano inutili, al contrario possono costruire un’ottima base di partenza a patto però che si sappia come utilizzarli.
Un software come IUBENDA, il più famoso generatore di informative, è molto chiaro quando informa i propri utenti sui limiti delle loro informative e, soprattutto, sulla responsabilità legata a queste. Si legge: “nessun aspetto o parte del servizio possono essere considerati consulenza di legale, tantomeno il rapporto tra utente e Iubenda può essere assimilabile alla relazione cliente-avvocato. L’utente è pregato di tener presente che, a seconda della legislazione applicabile e del caso specifico, gli adempimenti necessari per rispettare le norme applicabili potrebbero variare.”
Questo esonero da responsabilità è un ulteriore elemento da tenere in considerazione quando si acquistano dei software, si opta per il fai da te o ci si rivolge a società di consulenza. La domanda da porsi è sempre una: “se qualcosa dovesse andare storto, chi ne risponderebbe?“. La risposta è più scontata del previsto. Ne risponde chi utilizza gli strumenti senza avere una profonda conoscenza della materia e, solo se previsto nel contratto, la società di consulenza che ha effettuato la compliance, nel limite del capitale sociale versato.
Web agency e privacy
In ambito privacy la particolarità delle web agency risiede nel fatto che, diversamente da quanto accade solitamente, la maggior parte del lavoro svolto viene effettuato NON in qualità di titolare del trattamento ma bensì di responsabile dello stesso. Il responsabile è colui che tratta i dati personali su indicazione del titolare. Advertising, strategia, realizzazione siti web, promozione, sviluppo di app, gestione dei social: tutto quello che fa una web agency per un cliente rientra in questa categoria.
Come si gestisce quindi tutto questo? Nel libro è ben spiegato, attività per attività. Da titolari a responsabili, le agenzie sono costrette alla gestione di una mole enorme di dati, ma spesso queste attività vengo i sottovalutate purtroppo. Soprattutto quando si tratta, per esperienza, dei dipendenti (il capitolo 6 è dedicato proprio a questo).
La regola generale è molto semplice (come si legge nel libro): chiunque tratta dati di una persona deve informarle del fatto che lo sta facendo. Questo viene a prescindere dal consenso, a prescindere dal fatto che il dato sia stato raccolto dal titolare stesso o sia stato acquisito in seguito, magari tramite acquisto di lead o liste. L’informativa è la base del trattamento e gli interessati devono sempre essere informati di chiunque stia trattando il proprio dato. Ma a chi dare l’informativa? In quali casi? Lo scoprite nel libro, insieme ai passaggi necessari per redigerla.
Cosa devi sapere sulla privacy
Registro dei trattamenti, messa a norma di un sito web (per gli ecommerce è uscito un nuovissimo libro a maggio 2023 “Legal Ecommerce” di cui abbiamo parlato qui), i ruoli che la GDPR richiede, il pericolo di un data breach (la violazione dei dati personali), le richieste che gli “interessati” possono fare riguardo i loro dati, il lato sicurezza spesso trascurato e, infine, le sanzioni in cui si incorre se non si rispetto quanto sopra.
Scoprirete tutto questo e tantissimo altro in poco più di 200 pagine.
Sono sempre dell’idea che ognuno deve fare il proprio lavoro. E leggendo questo libro ne sono ancora più consapevole.
Non basta conoscere la materia (a grandi linee) per applicarla correttamente. Per quanto ogni capitolo abbia i suoi riferimenti giuridici e sia ben spiegato, la soluzione per una corretta compliance è sempre affidassi ad un professionista.
Certo è che questo libro da’ ad ogni marketers e proprietario di agenzie web l’idea di TUTTO quello che serve per essere in regola. Nozioni da sapere, per poter fare bene il lavoro di tutti i giorni. Concetti chiave e definizioni sono anche riprese, in breve, nel capitolo riassuntivo finale con tanti esempi concreti per “mettersi in regola” con la normativa in modo semplice.
“La legge non ammette ignoranza”, ricordatelo.