Quest’è la prima intervista sul mio sito e siccome oggi è la Giornata europea della protezione dei dati ho parlato con Veronica Scaletta, avvocato civilista. Veronica aiuta piccole e medie imprese, liberi professionisti e freelance a capire ed affrontare, nel modo giusto, questioni e controversie legali.
Da quando la conosco ho smesso di avere paura perchè lei parla semplice perchè la cosa più importante è farsi capire, far sì che il messaggio arrivi a chi ci sta ascoltando o leggendo.
Ho fatto alcune domande a Veronica per aiutarci a capire a che cosa dobbiamo pensare nel momento in cui decidiamo di avere un nostro sito web.
Ciao Veronica, noi ci conosciamo da un po’, aiuti me e i miei clienti con le privacy e cookie policy dei siti ma non solo… Iniziamo da cosa significa questa giornata?
La Giornata europea della protezione dei dati è stata istituita dal Consiglio d’Europa, per diffondere ed accrescere la consapevolezza sui diritti alla protezione dei dati e alla privacy. E’ importante, per noi come cittadini e come professionisti e professioniste che trattano i dati dei propri clienti, conoscere le norme che regolano il trattamento dei dati, per adottare comportamenti corretti e usare correttamente i dati, che possono essere un patrimonio prezioso per il nostro lavoro.
Come abbiamo detto, i dati sono un patrimonio prezioso e, ancora prima, riguardano i diritti e le libertà di tutti noi. Proteggere i dati che trattiamo nel nostro lavoro (attraverso il nostro sito, oppure off line) è quindi non solo un obbligo di legge, ma anche un atto di rispetto verso chi ci affida dati e informazioni per fare un acquisto sul nostro sito, iscriversi alla nostra newsletter o semplicemente navigare sul sito, accettando di essere tracciato o profilato.
Uno dei principi fondamentali del Regolamento Europeo per la protezione dei dati personali (GDPR – Reg UE 679/2016) è quello dell’accountability, cioè della responsabilità di chi tratta i dati, nelle scelte che riguardano gli strumenti che adottiamo per la loro protezione.
Il Regolamento europeo non indica in maniera precisa o con un elenco quali sono le azioni che dobbiamo mettere in campo a protezione dei dati, ma chiede al titolare del trattamento dati di adottare, in base al tipo di dati e al loro utilizzo, gli strumenti più idonei per la loro tutela. Facciamo un esempio: se sono titolare di un sito internet che installa un form di contatto e nulla di più, pochi accorgimenti tecnici saranno sufficienti per considerare protetti i dati trattati su questo sito. Al contrario, se il mio sito è un e-commerce, sul quale transitano molti dati degli utenti, da quelli anagrafici a quelli delle carte di credito, dovrò avere strumenti di protezione più potenti e precisi. Sotto questo profilo, anche la scelta dei nostri partner e fornitori è fondamentale: dovremo infatti affidarci a professionisti che a loro volta siano in regola con le norme sulla protezione dati.
Occorre fare tutto il possibile, perchè la responsabilità di eventuali danni, è sempre del titolare del trattamento dati.
Cosa significa oggi la GDPR e perchè è così importante?
Il Regolamento Europeo, che è entrato in vigore il 28 maggio 2018, ha segnato davvero una svolta nel campo della protezione dati ed è oggi la norma di riferimento a cui ci dobbiamo attenere nel nostro lavoro. I principi di minimizzazione, esattezza, trasparenza, accountability, privacy by default e by design, possono sembrare concetti astratti, ma nella pratica si rivelano davvero una guida importante per il rispetto della legge e la protezione dati.
Il Regolamento Europeo 679/2016 riguarda la protezione dati in generale, quindi non solo i trattamenti che avvengono tramite un sito web, ma anche, ad esempio, quello eseguito “off line” nel nostro lavoro di tutti i giorni, nel nostro studio professionale o nel nostro negozio, per emettere una fattura, prestare un servizio o gestire l’archivio cartaceo dei nostri clienti.
La GDPR è obbligatoria?
Certo, è una norma europea e come tale va osservata da tutti coloro che hanno sede nell’Unione Europea o che trattano dati di utenti europei. Qui entra in gioco il tema dei grandi fornitori di servizi (Google e Meta, per citarne due) che hanno sede negli Stati Uniti, ma trattano dati di utenti europei. Gli Stati Uniti non sono ad oggi ritenuti un Paese che abbia norme di protezione dei dati assimilabili a quelle europee ed il trattamento dati che si sviluppi in questo luogo non è quindi considerato sicuro. Il recente caso di Google Analytics è l’esempio più chiaro di questo meccanismo.
Cos’è la privacy policy?
La privacy policy dei siti web è un’informativa. Il regolamento europeo ci dice che dobbiamo sempre informare in maniera chiara e trasparente coloro che ci forniscono i propri dati, circa il modo in cui questi dati verranno trattati, protetti e conservati (detto in breve). E questo, indipendentemente dal fatto che si debba poi raccogliere un consenso, o meno. La privacy policy che pubblichiamo sul sito serve quindi ad informare i nostri utenti rispetto al trattamento dei dati che viene eseguito attraverso il sito.
e i cookies?
La cookie policy è un’informativa, come abbiamo detto sopra, ma riguarda in maniera specifica lo strumento dei cookie e gli altri strumenti che “tracciano” il comportamento dei nostri utenti nella navigazione. Gli utenti devono non solo essere informati, ma devono avere la possibilità di rifiutare l’installazione dei cookie di profilazione, marketing e di tutti i cookie non tecnici.
Per finire, ci lasci una piccola check list di quello che dobbiamo avere per essere in regola?
Parlando di sito internet, dobbiamo certamente essere in regola con privacy policy, cookie policy e con una verifica di tutti gli strumenti di protezione del sito e dei fornitori che utilizziamo (ad esempio: i server dell’hosting che usiamo hanno sede nell’Unione Europea? La società è in regola con la GDPR?).
Per quanto riguarda la parte off line, anche qui è importante “fotografare” i dati che trattiamo, le finalità, gli strumenti adottati a protezione dei dati e verificare, con l’aiuto di un professionista in materia di protezione dati, se siamo in regola oppure se ci sono “margini di miglioramento”.