Panico da GDPR? Ecco come orientarsi tra privacy policy e cookie policy

Panico da GDPR? Ecco come orientarsi tra privacy policy e cookie policy

Siamo in pieno GDPR. E mentre si sono spese parecchie parole sulle mosse dei colossi del tech per mettersi al riparo da pesanti sanzioni, vediamo come cambiano le cose per le piccole aziende, per i freelance e per chiunque abbia a che fare con i dati personali.

Quando si parla di dato personale s’intende: “qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologia, genetica, psichica, economica, culturale o sociale” (art. 4 del GDPR).

Quindi che gestiate una newsletter (state trattando dati personali, le mail) o che abbiate un blog poco importa: è il caso di cambiare la privacy e la cookie policy.

GDPRCosa fare?

La prima cosa da fare, e può sembrare banale ma non lo è, è capire quali dati vengono trattati nella propria attività, da dove arrivano e soprattutto con chi si condividono, facendo attenzione ad includere in questa lista anche i servizi e i software che li gestiscono. Per i software occorre fare un distinguo: sono dotati di regolare licenza d’acquisto oppure sono scaricati? Senza licenza viene a mancare la tutela contrattuale prevista in caso di malfunzionamenti, perdita o diffusione dei dati non autorizzata. Ed è importante valutare se sono state richieste più informazioni di quelle necessarie.

Privacy policy

Ma a cambiare sono anche le informative sulla privacy e i cookie, tutto nel nome di una maggiore chiarezza espositiva: bisogna spiegare all’utente, nella maniera più trasparente possibile, per quali scopi sono stati raccolti i dati. In più vanno fornite informazioni relative al titolare del trattamento dei dati, inclusi i contatti per chiedere modifiche o cancellazioni.

GDPRNon basta: occorre spiegare su quale base vengono forniti quei dati, se si tratta di un contratto o di consenso o di altro, e per quanto tempo saranno conservati (ricordiamo che con il nuovo regolamento entra in vigore il diritto all’oblio, quindi è possibile negare il consenso in qualunque momento, e che i dati avranno una scadenza). Si deve comunicare agli utenti se i loro dati saranno trasferiti verso Paesi fuori dall’UE, cosa molto probabile se si usano social network o servizi di newsletter come MailChimp.

 I siti web sono tenuti a predisporre una privacy policy e una cookie policy, e questo vale anche per le app, che non fanno uso di cookie ma necessitano di una privacy policy, che non sono valide senza le informazioni necessarie. E per scongiurare questo pericolo devono descrivere il tipo di dati personali raccolti, le finalità del trattamento ed elencare tutti i servizi con cui questi dati vengono condivisi. Last but not least: queste informazioni devono essere ben visibili e facilmente rintracciabili, non nascoste in sottosezioni del sito.

Cookie policy

L’acronimo GDPR evoca immediatamente con sé le parole privacy e consenso, quindi  ad esempio, il consenso del cookie banner del sito della propria attività, (“se continui nella navigazione accetti le nostre condizioni”) va riformulato dando una reale possibilità di scelta, con un’azione chiara e affermativa.

Occorre fare una breve precisazione: l’uso dei cookie e l’acquisizione del relativo consenso non sono regolati direttamente dal GDPR, ma dalla Direttiva di ePrivacy, la cosiddetta Cookie Law, che prevede l’obbligo di raccogliere il consenso informato dell’utente prima di installare cookies sul suo dispositivo e iniziare il tracciamento. Detto altrimenti: se il tuo sito installa dei cookie, devi informare gli utenti su attività di raccolta dati effettuate e dare loro la reale possibilità di scegliere se acconsentire o meno. E tutto ciò deve avvenire prima dell’installazione di tali cookie.

GDPRVeniamo ora al cookie banner: deve contenere una breve spiegazione delle finalità di installazione dei cookie utilizzati dal sito, descrivere quali sono le azioni che saranno considerate come una dichiarazione di consenso e rimandare (tramite link) ad una cookie policy che illustri in dettaglio le finalità. Quest’ultima deve indicare tutti i soggetti terzi che installano o che potrebbero installare cookie tramite il sito, con un link alla rispettiva privacy policy, alla cookie policy e agli eventuali moduli di consenso. Considerando poi che c’è bisogno dell’autorizzazione esplicita da parte dell’utente, si procede tramite il blocco preventivo dei cookie.

Cosa cambia per chi lavora con i dati personali?

Chi si occupa di comunicazione dovrà confrontarsi con questi cambiamenti, che spesso sono stati accusati di sancire la fine di un certo modo di fare marketing. Inevitabilmente i marketers dovranno tenere conto dei principi dei quali si è parlato e svolgere la loro attività in maniera conforme alla nuova normativa.

Alcune delle cose che un’agenzia di comunicazione deve fare sono: controllare che la propria informativa contenga gli elementi obbligatori previsti dal GDPR e che sia formulata in maniera chiara e trasparente; controllare la lista contatti e assicurarsi  che i nuovi utenti confermino specificatamente l’intenzione di iscriversi alla newsletter, anche attraverso l’invio di una mail automatico per confermare l’iscrizione; cercare di privilegiare solo dati personali di cui si ha bisogno e che andranno effettivamente utilizzati nelle attività di promozione e comunicazione. Il consenso raccolto prima del 25 maggio 2018 rimane valido se soddisfa tutte le caratteristiche che il GDPR richiede, altrimenti bisognerà raccogliere nuovamente il consenso degli utenti.

Sono stati in molti a gridare al disastro, guardando al GDPR come ad una sciagura. Ed è vero che aziende e freelance hanno fatto, e continueranno a fare, numerosi sforzi per adeguarsi. Certo è che non si potrà più invadere il cliente con una quantità offerte di indiscriminate, molto spesso mal tollerate e questo non è necessariamente un male. Il nuovo regolamento potrebbe rappresentare l’opportunità di cambiare non solo il modo di fare marketing, ma anche il rapporto con i propri clienti, rimettendo al centro fiducia e trasparenza. Tutto ciò che possiamo fare, oltre a metterci in regola, è aspettare e vedere quali saranno effetti sugli utenti e su chi, con i dati, ci lavora.

Post by angela sorbo

Comments are closed.