2018 – GPDR privacy policy

2 Dicembre 2018
Posted in Blog
2 Dicembre 2018 admin

2018 – GPDR privacy policy

gpdr privacy

gpdr privacy


GPDR privacy policy.

Quello che si appresta a concludersi è stato un anno particolare per tutti quelli che imprendono online perché, tra le altre cose, è arrivato il GPDR 2018.
Il GPDR è andato a regolare in maniera restrittiva l’approccio dei titolari dei siti web nei confronti dei dati sensibili.

Se vi state perdendo, non preoccupatevi: è normale perché è un argomento complesso.
Cerchiamo, come facciamo spesso, di renderlo il più semplice possibile.

Sulla privacy il GPDR 2018 è stato ed è tuttora un’enorme punto interrogativo.

Io che sto scrivendo questo articolo, a maggio, ho chiesto due consulenze legali per avere chiarimenti sul tema e ne sono uscito confuso perché la seconda mi dava indicazioni diverse rispetto alla prima.
Successivamente, man mano che le persone lo andavano ad affrontare, il GPDR è risultato via via meno ostico, ma sempre complesso.
Tre indicazioni importantissime:

  • Vale solo per l’UE. Se i vostri clienti/mercati sono extra-UE non avete necessità di adempiere tutta la serie di accortezze di cui andremo a parlare.
  • Vi serve un avvocato. Questo articolo dovrete interpretarlo solo come un’opinione sul merito e NON PUO’ in alcun modo sostituire una consulenza legale. Ogni situazione fa storia a se e solo il vostro legale può indirizzare la gestione del GPDR secondo le vostre esigenze.
  • Limitare le vostre libertà nella gestione dei dati… come è giusto che sia.

Lo ripeto un’altra volta: vi serve un legale che verifichi quello che fate in merito al GPDR.
La creazione dell’informativa sulla privacy (GPDR privacy policy) dovrà contenere assolutamente:

  • I dati del titolare, dei collaboratori e dell’eventuale DPO (il responsabile della protezione dei dati, necessario per le aziende pubbliche, di grandi dimensioni o che gestiscano dati particolari). Il fatto che nel vostro caso il DPO è oppure non è necessario lo dovrete confermare con il vostro legale.
  • Le finalità del trattamento.
  • Se intendete trasferire i dati in paesi extra UE.
  • Il periodo di tempo in cui i dati rimarranno conservati.
  • I beneficiari dei dati, quindi da chi verranno gestiti.
  • I diritti dell’interessato (ad esempio il diritto all’oblio).
  • La categoria dei dati trattati.
  • L’esistenza di una profilazione (vedremo più avanti).
  • Gestione dei cookies.

Qui potete scaricare il PDF del GPDR 2018

gpdr 2018

gpdr 2018

Il GPDR in pratica.

Se vi state perdendo, non preoccupatevi: è normale perché è un argomento complesso.
Cerchiamo, come facciamo spesso, di renderlo il più semplice possibile.
In pratica dovrete:

  • Redigere il GPDR privacy policy, ovvero un’informativa sulla privacy… un documento.
  • Andare con questo documento da un avvocato e far verificare che tutto sia in ordine.
  • Montare un antivirus sul sito e su tutti i vostri dispositivi. Gestire i dati personali delle persone con hosting, server o computer infetti (o potenzialmente a rischio) a occhio e croce non va bene.
  • Attrezzarvi con ogni accortezza per ottenere un consenso esplicito su tutti i punti in cui ritenete di aver bisogno di un consenso ed evitare check box già spuntati.
    Si parte infatti dal presupposto che tutto quello che non è espressamente autorizzato è di fatto NEGATO.
    Potrete sfruttare allo scopo degli script gratuiti o da poche decine di euro, vi basta fare una ricerca per trovare montagne di materiale e decidere quale soluzione fa al caso vostro.
  • Predisporre una modalità semplice e ben chiara con cui chi vi ha concesso l’autorizzazione dei dati possa, in qualunque momento, tornare sui suoi passi.
    Questo potrete farlo con un’apposita casella email, magari gestita da un automatismo.

Per redigere questo GPDR privacy policy (unico o diviso in più parti) di solito ci sono 2 strade:

  1. Delegare un avvocato.
  2. Scaricare o (meglio) acquistare un GPDR privacy policy standard e pre-compilato, completarlo con i propri dati e poi portarlo da un avvocato per farlo controllare, integrare, modificare, ecc.

Delegare direttamente l’avvocato può non essere una buonissima idea perché anche il miglior avvocato può avere delle lacune sui tecnicismi informatici.
Quindi io vi consiglio di scaricare un modello, completarlo con i vostri dati (proprietario, gestore dei dati, DPO, ecc) e portarlo da un legale insieme ad una descrizione dettagliata su quello che fate con i dati sensibili.
Poi sarà lui ad adeguare il documento alle vostre esigenza specifiche.
Potrete trovare questi modelli pre-compilati molto facilmente su google.
Una volta scaricato il GPDR privacy policy standard, individuato i dati da integrare, confermato il tutto con un consulente legale, messo il GPDR privacy policy in una o più pagine statiche del sito e predisposto i plugin che lo richiamano sia in accesso che a qualunque operazione si faccia con i dati… dovreste essere apposto.
L’ultimo passo potrebbe essere verificare anche il sito insieme al legale.
Quindi accedervi e simulare di essere un navigatore che vuole acquistare qualcosa.
Poi simulate di essere un navigatore che vuole iscriversi alla newsletter.
Confermato anche questo con il vostro legale potreste considerare finito questo adeguamento al GPDR.

Una criticità…

gpdr

gpdr

Una vittima del GPDR 2018 è di certo la profilazione.
La profilazione è, nel marketing, la suddivisione dei contatti in gruppi omogenei.
Esempio: se avete un negozio che vende abiti da sposa ed avete una lista di 200 contatti, facciamo finta 100 uomini (lo sposo?) e 100 donne (la sposa?).
Immaginate da soli quanto è conveniente fare due contatti diversi a questi due gruppi (uomini e donne) puntando nel contatto per le donne alla bellezza dei modelli mentre in quello per gli uomini alla convenienza rispetto ai competitors.
Lo stesso prodotto presentato in maniera da esaltare la caratteristica più cara alle persone che appartengono ad un gruppo rispetto all’altro.
Facciamo un altro esempio.
Vendete stampanti, cartucce e carta.
Se Tizio compra una stampante, finisce nella lista “cartucce e carta”.
Se invece compra una cartuccia finisce nella lista “stampanti”.
Perché?
Se vi compra una stampante avrà bisogno di cartucce e carta ma non di un’altra stampante.
Se vi compra carta o cartucce invece, e non ha comprato prima una stampante da voi, potreste presumere che abbia una stampante vecchia e quindi ingolosirlo con le nuove stampanti.
Quindi…
Agli “iscritti” alla lista “cartucce e carta” manderete solo offerte sui consumabili.
Agli “iscritti” alla lista “stampanti” manderete le offerte su consumabili ma anche, di tanto in tanto, dei nuovi modelli di stampanti appena uscite sul mercato.
Questo tipo di operazioni funziona molto bene e spesso porta al risultato di far acquistare a “Tizio” più e più volte nel vostro negozio.
Tutto ciò ora è diventato, specie se automatizzato, molto più difficile.
Dovreste chiedere ai clienti un espresso consenso ma capite da voi che quando leggono la parola (perche il GPDR si regge sulla chiarezza quindi è necessario usare le parole per quello che sono) “profilazione automatica” potrebbero non prenderla benissimo.

 

, , ,

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *