Torniamo a parlare di GDPR, il 25 Maggio non è molto lontano. Oggi voglio parlare di cosa fare se usi Facebook per il tuo Marketing, se usi strumenti che ti aiutano nelle inserzioni, se fai Lead Generation o se usi Google AdWords. In pratica parlo di qualsiasi strumento pubblicitario oggi usato o conosciuto.
Devi sapere che dovrai metterti a norma anche in questi casi…Nell’articolo ti spiego come e cosa fare per le varie situazioni…
 
Se vuoi leggere il precedente articolo, ti basterà cliccare qui. Parto col dire che da oggi potrai lavorare solo con chi è in regola con il GDPR, altrimenti saranno cavoli tuoi.
 
Se io raccolgo dei dati personali (ad es tramite acquisizione clienti) e poi passo i dati ad un’altra persona (ad esempio al social media manager che fa le campagne su Facebook) allora anche il social media manager deve essere a norma.
 
Io sono il data controller (ma anche il data processor) e posso lavorare solo con persone (data processor) che sono a norma, altrimenti tutti e due siete fregati (ileggiti le Sanzioni)
 
Questo dice la legge: PUOI LAVORARE SOLO CON UN DATA PROCESSOR CHE SIA IN REGOLA CON IL GDPR.
 
Questo creerà DIVERSI incidenti diplomatici che vi lascio immaginare.
 
ESEMPIO: usate tools che vi fa le ads automatizzate? O quell’altro che vi mette pubblica i post in automatico? Questi sono tutti DATA PROCESSOR e se non sono a norma, sono cazzi (vostri).
 
Quindi dal 25 Maggio per essere a norma occorrerà rivedere tutti (TUTTI) i tools informatici che utilizziamo per i nostri business. Se per assurdo il tool per l’invio newsletter che utilizzi non è a norma, la responsabilità è tua e la multa la paghi (anche) tu.
 
Il problema è che non possiamo semplicemente fidarci e poi davanti al giudice dire “beh, non lo sapevamo”. Se usiamo quei tools, siamo complici. I big (Facebook o Google per esempio) sono teoricamente abbastanza affidabili. I piccoli e le startup se la vedranno brutta.
La vera novità è che ora non è solo chi raccoglie i dati ad esserne responsabile. Anche chi questi dati li riceve e li maneggia per qualsiasi finalità anche non connessa ai dati stessi deve essere a norma o rischia la multa.
 
Quindi una qualsiasi Web Agency o un Freelance che gestisce una newsletter o una campagna Facebook per conto del cliente è di fatto co-responsabile dei dati raccolti dal cliente.
 
Se raccogli dati sul sito o con le tue campagne, le persone DEVONO ACCONSENTIRE al trattamento in modo ESPLICITO o la raccolta dei dati è illegale. La vera novità è che ora non è solo chi raccoglie i dati ad esserne responsabile.
Anche chi questi dati li riceve e li maneggia per qualsiasi finalità anche non connessa ai dati stessi deve essere a norma o rischia la multa.
 
Non basta più scrivere “lascia la tua email per scaricare la guida” ma devi anche dire “seleziona il checkbox per acconsentire che io possa usare la tua email per inviarti la guida e fare altre cose”.
 
Il consenso esplicito è molto più restrittivo di prima: non si possono più precompilare i checkbox o semplicemente dire “se lasci la mail acconsenti che ti mando delle email, altrimenti non farlo”. Devi mettere infiniti checkbox, ed essere sicuro che la persona abbia letto l’informativa legata al checkbox altrimenti uno può sempre dire “ho cliccato ma mica avevo letto o capito tutta sta roba”.
 
Quindi checkbox e lettura preventiva del contratto/normativa sulla privacy (di fatto l’informativa sulla privacy diventa un contratto perché l’utente accetta esplicitamente le finalità del trattamento e ogni informativa è unica ed estremamente precisa).
 
Con il 50% di analfabeti funzionali ci sarà da divertirsi. E’ fondamentale conservare la prova provata che l’utente abbia autorizzato il trattamento, soprattutto se ci sono diversi checkbox e alcuni di essi non sono bloccanti (ad es: clicca qui per autorizzare che ti invio un followup, clicca qui per autorizzare che vendo i tuoi dati al primo politico di turno, ecc).
 
In fase di difesa davanti al giudice sarà fondamentale che questi dati non possano essere stati successivamente manipolati, perché l’utente potrebbe sostenere che “beh, io non ho mai cliccato quel checkbox e sta a voi dimostrare il contrario”. Il che è praticamente impossibile, a meno di non usare un fornitore di terze parti e super partes che faccia da intermediario e garante. Iubenda farà i miliardi.
Ci sono vari punti da rispettare per essere a norma con il GDPR:
  1. Legalità, eticità e trasparenza. Ovviamente in caso di un contenzioso noi dobbiamo dimostrare di aver operato nella legalità, con eticità e trasparenza. Ad esempio se offro un Lead Magnet in cambio dell’email, devo specificare in modo super chiaro e trasparente cosa farò con questa email, dove la conserverò, per che finalità la userò, chi potrà vederla del mio staff e dei miei collaboratori esterni, eccetera. Massima trasparenza. Quindi se raccolgo l’email ma non dico che poi invierò una newsletter o qualche followup, allora sto potenzialmente infrangendo la legge (lo vediamo meglio dopo).
  2. Scopo della raccolta dati. Devo specificare chiaramente qual è lo scopo e l’ambito e come userò i dati. Se chiedo dati per inviare una newsletter, allora non sono autorizzato a raccogliere il telefono, perché non serve. Per ogni dato che raccolgo ci deve essere una finalità dichiarata, lecita e specifica. Non esiste “li raccolgo ora, poi vedrò cosa farne”. Segmentazione: se raccolgo dati per segmentare le persone (ad esempio per interessi) devo dichiararlo.
  3. Limite temporale. I dati vanno conservati per il tempo necessario a raggiungere la finalità dichiarata. Se dichiari di inviare una newsletter con 20 followup, una volta esaurito lo scopo devi cancellare i dati. Hai una newsletter di 5 anni fa e da un paio di anni non scrivi più ai contatti? Bene, devi eliminarla perché lo scopo della raccolta dati è abbondantemente esaurito.
  4. Sicurezza. I dati vanno conservati in modo sicuro. Se il sistema ha delle falle (qui ci sarà da ridere) sei perseguibile penalmente anche se i dati non sono ancora stati trafugati.
  5. TERRENO LEGALE. Questo è forse l’aspetto più importante e più oscuro per chiunque non sia un legale. Con il GDPR è necessario definire un terreno legale. La scelta spetta a me. Voglio muovermi nella direzione del CONSENSO ESPLICITO o del LEGITTIMO INTERESSE? In base alla mia scelta devo muovermi in modo coerente e comunque sempre esplicitare questa scelta all’utente finale. Tutto ciò viene fatto fondamentalmente per pararmi il culo in caso di controlli o controversie. Devo provare che sono in regola e l’onere della prova spetta a me. Quindi ogni scelta deve essere ben documentata e visibile (legalità, eticità, trasparenza).
  6. CONTRATTO. Ogni interazione tra me e terze parti dovrebbe essere regolamentata da un contratto esplicito sottoscritto in maniera volontaria, consapevole ed esplicita tra le parti. La raccolta e la gestione dei dati che rientra nelle finalità del contratto non richiede ulteriore consenso esplicito. Ad esempio se sottoscrivo un contratto con un cliente e nel contratto ci sono i dati del cliente, non ho bisogno di chiedere al cliente la conferma per gestire questi dati, finché rimangono nell’ambito previsto dal contratto (ad esempio emettere una fattura e inviarla tramite email).
  7. CONSENSO ESPLICITO. Le persone DEVONO ACCONSENTIRE al trattamento in modo ESPLICITO o la raccolta dei dati è illegale. Cioè non posso solo dire “lascia la tua email per scaricare la guida” ma devo anche dire “marca il checkbox per acconsentire che io possa usare la tua email per inviarti la guida e fare altre cose tipo riti voodoo o altre cose molto malvagie”. Il consenso esplicito è molto più restrittivo di prima: non si possono più precompilare i checkbox o semplicemente dire “se lasci la mail acconsenti che ti mando delle email, altrimenti non farlo”. Devo mettere centinaia di checkbox, nel modo più granulare possibile ed essere sicuro che la persona abbia letto l’informativa legata al checkbox altrimenti uno può sempre dire “ho cliccato ma mica avevo letto o capito tutta sta roba”. Quindi checkbox e lettura preventiva del contratto/normativa sulla privacy (di fatto l’informativa sulla privacy diventa un contratto perché l’utente accetta esplicitamente le finalità del trattamento e ogni informativa è unica ed estremamente precisa). Con il 50% di analfabeti funzionali ci sarà da divertirsi. E’ fondamentale conservare la prova provata che l’utente abbia autorizzato il trattamento, soprattutto se ci sono diversi checkbox e alcuni di essi non sono bloccanti (ad es: clicca qui per autorizzare che ti invio un followup, clicca qui per autorizzare che vendo i tuoi dati a qualche politico di turno, ecc). In fase di difesa davanti al giudice sarà fondamentale che questi dati non possano essere stati successivamente manipolati, perché l’utente potrebbe sostenere che “beh, io non ho mai cliccato quel checkbox e sta a voi dimostrare il contrario”. Il che è praticamente impossibile, a meno di non usare un fornitore di terze parti e super partes che faccia da intermediario e garante. Iubenda farà i miliardi.
  8. LEGITTIMO INTERESSE. Posso trattare i dati personali per legittimo interesse (mio, per condurre il business, o di terze parti, ad esempio del cliente). Mettiamo che il cliente sottoscrive un servizio fornito da me. Per legittimo interesse (del cliente) sono autorizzato a usare i suoi dati senza la sua previa autorizzazione esplicita per comunicargli tempestivamente informazioni vitali per la fruizione del servizio (ad esempio ho resettato la sua password per motivi di sicurezza e gli comunico la nuova password). Il legittimo interesse è materia legale molto delicata ed è una vastissima zona grigia, sia a favore che contro i marketers. Ad esempio se l’utente scarica una guida e mi lascia la sua email, è mio (e in teoria suo) legittimo interesse che io gli invii un followup email con contenuti di approfondimento pertinenti ai contenuti della guida verso cui ha mostrato interesse. E posso farlo senza il famoso checkbox. Ma è appunto una zona grigia, quindi l’ultima parola spetta al giudice. Se però posso esplicitare la funzione che è nel mio (o nel suo) legittimo interesse SENZA usare questi dati senza il suo consenso, è necessario dare la precedenza a questa soluzione. Quindi la soluzione migliore sarebbe: mettere un checkbox facoltativo in cui dico “clicca qui per NON RICEVERE altre comunicazioni a parte la guida che ti manderò via email”.
  9. Il CONSENSO ESPLICITO è più sicuro perché la responsabilità è condivisa tra chi gestisce i dati e chi acconsente al trattamento, ma rende la vita un inferno a tutti, è molto più severo di prima. Il LEGITTIMO INTERESSE è la via più semplice, ma anche la più rischiosa perché tutta la responsabilità ricade su chi gestisce i dati ed è pieno di zone grigie a libera interpretazione del garante privacy o del giudice di turno.
  10. Finora abbiamo parlato di dati personali. Sui DATI SENSIBILI (salute, finanze, credo politico e religioso, ecc) si apre un altro capitolo molto più complesso e delicato. Ma anche prima era così. In questo caso occorre poi allinearsi con le normative dei vari stati.

Passiamo a Facebook Advertising e altri canali pubblicitari: da ora se usiamo i pixel, il retargeting e le altre soluzioni offerte da Facebook o Google, siamo noi i responsabili del trattamento dei dati.

In poche parole: se un utente visita la mia pagina e su quella pagina c’è un pixel di Facebook usato per fare retargeting, devo comunicarlo all’utente.

Se scelgo la strada legale del consenso ricado nella vecchia normativa sui cookie bloccanti ante consenso esplicito. Se scelgo la strada del legittimo interesse, posso non chiedere il consenso esplicito ma devo comunque mettere in grande evidenza che userò il retargeting e altre diavolerie per tracciare gli utenti. E devo sempre dare all’utente la possibilità di fare optout. Che nel caso del pixel di Facebook è un dannato problema, perché Facebook non offre questa opportunità (almeno non che io sappia).

La normativa entra in vigore il 25 Maggio ricordalo, attualmente è ancora in vigore la vecchia normativa (vecchia si fa per dire, visto che ci hanno appena fatti diventare scemi con la nuova Cookie Law di un paio di anni fa).
Ovviamente tutto questo è frutto della mia interpretazione personale, basata su fonti autorevoli consultate e l’unica cosa che ho capito con certezza è che non ci sono certezze e nessuno ha veramente al 100% la chiarezza di come stiano le cose. Tranquilli, nemmeno chi ha fatto la legge ci capisce molto.
L’unica altra certezza che ho è la multa da 20 milioni di euro. Quindi dai retta ad un “Cretino”, mettiti in regola e fallo anche subito!
Non sai cosa fare o da dove iniziare? Contattami Subito e per te metterò a norma il tuo sito
Buon Business (anche con il GDPR) 🙂
0 0 voti
Dai un voto al post!
Ricevi Notifiche
Notificami
guest

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

2 Commenti
Nuovi
Vecchi Più Votati
Inline Feedbacks
View all comments
Fabrizio
Fabrizio
6 anni fa

Carissimo Giando,
sono Fabrizio, un tuo collega, da 25 anni sto in mezzo a questa roba.
Prima come collaudatore di rete in Alcatel Italia, poi come sviluppatore Web.
Non è che ci stia capendo molto, sai?… Vivo e lavoro in Germania, ma ho molti clienti anche in Italia per i quali devo adeguare il sito al GDPR o, come si chiama qui in germania, DSGVO. Stavo dando un’occhiata alla tua pagina Privacy e alla finestra Modale delle impostazioni Cookies, però qualsiasi cosa io imposti in questa finestra i Cookies del tuo sito restano dove sono e non cambiano nemmeno di valore.
A me sembra invece di capire dal GDPR che nessun Cookie debba essere posato fino all’autorizzazione esplicita…
Cos’è che mi sfugge?
Un abbraccio e buon lavoro (dobbiamo uscirne vivi).
Grazie, ciao Fabrizio

Ogni settimana nuovi contenuti gratuiti per aiutarti a sviluppare il tuo business online e ottenere nuovi clienti.

Cliccando accetti le Privacy Policy del sito. Potrai cancellarti in qualsiasi momento

Hanno parlato di noi su…