Il GDPR sta facendo aumentare i tassi di partite IVA affette da attacchi di panico, parrebbe sia stato creato un nuovo girone dantesco per coloro che infrangono questo regolamento…forse è il caso di vederci più chiaro.
Così sono andato a rompere le scatole ad Alessandro Basile, avvocato che si è specializzato nella gestione del GDPR.


Whatsapp vietato ai minori di 16 anni?

Si vociferava che per effetto del GDPR Whatsapp sarebbe diventato vietato ai minori di anni 16, lì per lì mi ero messo a ridere, poi è successo sul serio.
In questo caso c’è una nota interessante:
Qual è la multa per l’utilizzo illegale di questa app?
I genitori si troveranno a sborsare svariati bigliettoni per non aver controllato che i loro pargoli non stessero continuando a chattare con Whatsapp?
In quel caso Facebook potrebbe essere ritenuti co-responsabile?
Tecnicamente avrebbe i mezzi per stabilire se i ragazzini stanno mentendo…

Il concetto è parzialmente corretto, cioè il trattamento può essere effettuato solo col consenso dei genitori, ma chi viene sanzionato in caso di trattamento illegittimo è WhatsApp. I rapporti con Facebook più che di co-responsabile, potrebbero essere quelle di dinamiche infragruppo e dovranno essere redatte apposite regole per il trasferimento dei dati!


Multe milioanarie per tutti?

Sono inciampato in questa spassosissima nota
https://www.facebook.com/notes/maximilian-ascari/gdprrrrrrrrr/10155764481834261/
Vediamo insieme alcuni punti cruciali e cerchiamo di capirci qualcosa, visto che l’autore burlone ha sottolineato di non essere un avvocato.

“Multe: 2% del fatturato o 10 milioni di euro nel caso meno grave, 4% del fatturato o 20 milioni di euro nel caso più grave. E se il tuo fatturato è di 50 mila euro all’anno, la multa non è il 2%… ma 10 milioni. Si applica la sanzione più alta tra le due opzioni.”

Fatemi capire:

  • un libero professionista dal reddito di 30.000 annui
  • ha un sitino che propone consulenze su come migliorare l’umore del tuo pesce rosso,
  • sbaglia ad impostare qualcosa sulla newsletter

…si becca 10 milioni di multa?

E’ paradossale, ma è possibile in quanto ad oggi non ci sono ancora misure per valutare quanto effettivamente di sanzione deve essere data: fino a 10 milioni senza misura lascia campo libero al Garante per la determinazione di queste misure


Chi risponde di cosa?

Questo passaggio è meno ridanciano e proprio per questo più interessante

La vera novità è che ora non è solo chi raccoglie i dati ad esserne responsabile. Anche chi questi dati li riceve e li maneggia per qualsiasi finalità anche non connessa ai dati stessi deve essere a norma o rischia la multa. Quindi una qualsiasi Web Agency o un Freelance che gestisce una newsletter o una campagna Facebook per conto del cliente è di fatto co-responsabile dei dati raccolti dal cliente.

Supponiamo un caso semplice che può capitare più o meno a chiunque:

  1. piccolo marketer di provincia,
  2. un’azienda gli chiede “trovami una lista di clienti da contattare”
  3. il marketer crea la sua landing page con il checkbox corretto per la privacy
  4. alla fine di questo processo abbiamo una lista di nome+cognome+mail in un fantastico file su Google drive.
  5. il marketer trasferisce digitalmente questa lista (che rimane quindi dentro i server di google e non passa nemmeno come file fisico sul desktop)

Il nostro eroe è GDPR compliant?
Deve semplicemente compilare questo documento?
https://docs.google.com/spreadsheets/d/1HX5DL8rxSsLWdXxyK0XVgdpEJsk6pWqUESMt6aDQhqo/edit#gid=1101570501
oppure gli serve un lasciapassare A38?

Se il martketer sta trattando dati sulla base di un accordo con un suo cliente è molto probabile che il cliente sia il titolare del trattamento (e quindi sanzionabile) e il marketer responsabile esterno del titolare e non sarà sanzionabile in quella qualità, ma nel caso il titolare riceve sanzione per colpa sua questo potrà rifarsi su di lui per i danni ricevuti!


Il fantastico mondo dei checkbox

Questo passaggio dipinge uno scenario molto interessante

Devo mettere MILLEMILA checkbox, nel modo più granulare possibile ed essere sicuro che la persona abbia letto l’informativa legata al checkbox altrimenti uno può sempre dire “ho cliccato ma mica avevo letto o capito tutta sta roba”. Quindi checkbox e lettura preventiva del contratto/normativa sulla privacy (di fatto l’informativa sulla privacy diventa un contratto perché l’utente accetta esplicitamente le finalità del trattamento e ogni informativa è unica ed estremamente precisa). Con il 50% di analfabeti funzionali ci sarà da divertirsi.

Supponiamo che abbiamo la tipica operazione di Lead Magnet:

  • “Dammi la tua migliore email per poter ricevere la guida a come improvvisarsi psicoanalisti di criceti e vombati depressi”
  • abbiamo un checkbox che rimanda a un testo lunghino che dettaglia tutti gli utilizzi
    • invio del pdf
    • iscrizione alla mailing list
    • utilizzo della mail a fini di marketing interno
    • no, non vendo i dati a terzi

A questo punto devo mettere 3 checkbox invece di uno (invio | mailing list | utilizzo ai fini di marketing)?

Se mettiamo i checkbox tutti obbligatori infrangiamo qualche regola?
Tradotto: “se vuoi il pdf, ti iscrivi alla newsletter – dalla quale puoi comunque uscire anche subito – se no, mi spiace, non ti arriva nulla.” è fattibile?

Il problema è comune e spaventa tutti, anche perchè in teoria è vero che serve consenso per ogni trattamento come è altrettanto vero che in questo caso si blocca l’operatività quotidiana. In questo senso conviene trovare la macrocategoria del trattamento, ad esempio newsletter e marketing nel menzionato caso con 2 soli checkbox


Sistemi di advertising presenti e futuri

Dimenticavo: nel caso precedente per fini di marketing potrebbe rientrare l’utilizzo degli strumenti di facebook ads, quelli che ci consentono di targetizzare le persone che ci hanno dato la loro email.
Ora: se una persona prima li usa per gli ads di Facebook e poi si accorge che LinkedIn ha il medesimo strumento, cosa deve fare?
L’ipotesi è che l’utente abbia sottoscritto un generico “fini di marketing” senza dettagliare le 15.000 applicazioni che potrebbe utilizzare.

Importantissimo indicare nell’informativa i tool che si utilizzano e per quali finalità, anche perchè nel caso citato è molto probabile che si effettua profilazione e, quindi, dovrà essere fatta la valutazione di impatto (DPIA)!


Classificazione utenti nei db

Tra le altre voci che girano, parrebbe che sia obbligatorio rendere noto all’utente quali sono le nomenclature che noi usiamo a livello interno per segmentare il target.
Se per esempio io progetto una comunicazione per un tipo di target, e per comodità mia, utilizzo delle etichette un po’ “balzane”, devo scrivergli una mail di questo genere

“Gentile Utente,

ai fini dell’adempienza dei termini della regolamentazione del GDPR, le comunichiamo che lei all’interno del nostro database è stato classificato con la seguente tassonomia:
tontolone_residente_in_nord_Italia_senza_soldi.

Per qualsiasi altra informazione, non esiti a contattarci”

Cosa dobbiamo fare? In che casi siamo obbligati a dare dettagli e in quali altri è semplice uso interno?

L’utente va informato del trattamento dati indicando quanto all’art. 13 del GDPR nel quale non viene indicata la nomenclatura utilizzata, anche perchè questa potrebbe rientrare nella categoria dei metadati e non dei dati personali


Facebook ads e pixel di tracciamento

Un altro passaggio molto interessante del post riguarda i sistemi di retargeting di facebook

Facebook Advertising: da ora se usiamo i pixel, il retargeting e le altre soluzioni offerte da Facebook, siamo noi i responsabili del trattamento dei dati. In poche parole: se un utente visita la mia pagina e su quella pagina c’è un pixel di Facebook usato per fare retargeting, devo comunicarlo all’utente. Se scelgo la strada legale del consenso ricado nella vecchia normativa sui cookie bloccanti ante consenso esplicito. Se scelgo la strada del legittimo interesse, posso non chiedere il consenso esplicito ma devo comunque mettere in grande evidenza che userò il retargeting e altre diavolerie per tracciare gli utenti. E devo sempre dare all’utente la possibilità di fare optout. Che nel caso del pixel di Facebook è un dannato problema, perché Facebook non offre questa opportunità (almeno non che io sappia).

In questo caso però c’è il fatto che di fatto noi non abbiamo i dati di chi passa sul nostro sito, quelli li ha Facebook e non ha nessuna intenzione di darceli, quindi dobbiamo fare qualcosa?

Il concetto base è molto semplice: se non tratto dati personali non sto effettuando trattamento dati e quindi non rientro nella compliance. Nell’esempio fatto, in ogni caso, per evitare problemi, mettere nell’informativa l’utilizzo di fb ads e il link alla relativa informativa


Tool esterni e GDPR

Una domanda conclusiva per tranquillizzare (o terrorizzare) i telespettatori a casa:
visto che i giovani marketers freelance moderni – leggasi: scappati di casa con il regime p.iva dei minimi* – usano tutte queste piattaforme ultra smart come Mailchimp, Hubspot, Gdrive, ecc, queste, essendo colossi, presumibilmente sono tutte GDPR compliant.
Dal momento che questo tipo di marketer ormai non salva più nemmeno un file sul proprio pc e tutte le operazioni sono far transitare dati da una piattaforma all’altra, c’è qualche possibilità che la legge aggredisca il piccolo a causa di una negligenza strutturale del mastodonte?
In altra parole: se io pago Google o chi per esso, la colpa di eventuali suoi errori ricade anche su di me? Ovviamente partiamo dall’assunto che io ho fatto sottoscrivere qualsiasi dettaglio legale a chi mi cede il suo dato.

Bisogna vedere dal tipo di errori: ad esempio il marketer potrà essere sanzionato quando non può ottenere la cancellazione dei dati personali su un server di uno dei menzionati “mastodonti” oppure vengono persi dei dati e questi non possono essere più recuperati

(*) warning: https://bit.ly/2q3VpAP


Buongiorno, sono ******* e chiamo dall’Italia

Sui nostri telefonini arrivano chiamate seccanti di call center che cercano di venderci luce, gas, contratti telefonici ecc…
Dal 25 maggio potremmo minacciarli con una frase del tipo “Signorina, cortesemente mi indichi il titolare del trattamento dei dati come prescritto dalla legge XXX”?
Se sì, ci puoi dire uno script da sfoggiare in queste meravigliose occasioni?
Questo si poteva fare già da prima, ma ora incute più terrore.
In ogni caso la domanda da fare è: chi vi ha autorizzato al trattamento dei miei dati?

Ti serve una mano per il GDPR?

Vuoi avere maggiori informazioni su come adeguare il tuo sito al GDPR e non sai a chi rivolgerti? LoL Marketing ha stretto una partnership con Legal DS di modo che i nostri utenti possano ricevere le risposte alle loro domande e ai loro dubbi. Invia una mail all’indirizzo a.basile@legalds.com indicando nell’oggetto della mail il codice LOLGDPR per ricevere uno sconto sulla consulenza iniziale via mail o via telefono.

 

 

Share This