Questa è una domanda che mi viene posta molto spesso.
Ci sono vari software che promettono di adeguare la tua attività o il tuo sito, alcuni più famosi ed altri un pò meno.
Ma sono sufficienti?
Se pensi di adempiere ad una normativa così ampia e complessa con un solo software, questo è l’articolo che fa per te.
Software per la privacy: cosa fanno
Esistono sono vari software per la gestione della privacy: quelli che generano dei documenti legali in automatico, chiedendo all’utente di modificare alcuni parametri per raggiungere un certo livello di personalizzazione ed altri che aiutano a monitorare gli adempimenti in materia di privacy, ad esempio tenendo traccia delle informative inviate e dei consensi acquisiti.
Possono essere strumenti molto utili, in alcuni casi, se saputi utilizzare bene, ma da soli non possono certo assolvere a tutti gli obblighi connessi al trattamento dei dati.
L’esempio che mi trovo a fare spesso è questo: se i documenti generati da questi software contengono delle regole che disciplinano il trattamento dei dati ma chi deve applicarle, per primo, non comprende ciò che è scritto, è evidente che quelle clausole scritte rimarranno lettera morta perché non troveranno mai applicazione concreta.
E siccome il GDPR vuole sostanza e non forma, se disponi di una informativa privacy per il sito che per primo non comprendi, significa che non puoi soddisfare i requisiti che la legge richiede.
Per esempio se nell’informativa c’è scritto che i dati saranno conservati fino a che sarà esaurita la finalità per la quale sono stati raccolti o per il tempo previsto in base agli obblighi di legge, quali sono e quando si esauriscono queste finalità?
E a quali leggi devo far riferimento per sapere esattamente dopo quanto tempo dovrò cancellarli?
Se non sai rispondere a queste domande, capisci bene che l’informativa privacy rimane lettera morta.
Puoi avere una privacy policy scritta in perfetto legalese declinato in legal design con musica di sottofondo, ma se non te la studi, non la comprendi e non la applichi, è come non averla.
Non solo privacy policy
Se pensi che sul sito basti una privacy policy e una cookie policy, sappi che non sempre è così.
Questi documenti servono per dare delle informazioni all’utente che lascia i suoi dati (sia spontaneamente attraverso un form o inconsapevolmente attraverso cookies di tracciamento).
Ma poi i dati entrano nel tuo ecosistema e ne diventi responsabile. E devi sapere bene cosa farne.
Assicurarti che i dati siano al sicuro e che non vengano condivisi o trasferiti altrove è un tuo preciso dovere.
Scegliere delle piattaforme o software che assicurino adeguati livelli di garanzia è una tua piena responsabilità.
Responsabilità che si paga con sanzioni salate.
Potresti essere obbligato a nominare un DPO: sai quando è obbligatorio e quando no?
E che dire dell’assistente virtuale che gestisce la tua agenda e casella email o la social media manager che modera il tuo gruppo Facebook? L’hai nominata responsabile del trattamento dei dati, dandole delle precise istruzioni scritte?
Come puoi vedere anche una struttura estremamente snella e flessibile come quella di un business online con collaboratori autonomi può richiedere (e richiede) più adempimenti rispetto che solo una privacy e una cookie policy sul sito web.
Iscriviti alla Newsletter per essere sempre al passo con le novità di interesse per il tuo business:
Quindi non ci sono delle garanzie?
Per prima cosa non fidarti solo di quello che ti dico ma dedica un pò di tempo a leggere i termini e le condizioni di questi servizi.
Per fartela facile, guarda subito se ci sono dei Disclaimer (magari nel footer del sito o nelle condizioni stesse).
Oppure cerca il paragrafo che si intitola “Limitazioni di responsabilità” o “Responsabilità” o cose del genere.
O, ancora, controlla le clausole vessatorie, ovvero quelle clausole che ti viene richiesto di approvare specificatamente prima di acquistare il servizio.
Ci trovi una clausola che ti garantisce al 100% sulla conformità legale al GDPR?
Ne dubito, anzi probabilmente troverai proprio una clausola che dice l’esatto contrario.
Perciò se decidi di utilizzare questi servizi, non sei affatto a posto con l’adeguamento GDPR.
Però ho visto il sito di Tizio Spa che usa questi strumenti
Può darsi, ma questo non ti sarà di aiuto in caso di controlli.
E’ un pò come quando ti fermano in auto; puoi provare a dire che stavi procedendo alla stessa velocità degli altri, ma in quel momento stanno controllando te e nessun altro e non ha alcuna importanza ciò che stanno facendo gli altri.
Fanno i controlli?
I controlli li fanno eccome, su loro iniziativa o su segnalazione.
Si tratta di un nucleo della Guardia di Finanza specializzato in privacy.
Quando escono, rimangono alcuni giorni a verificare tutti i documenti, i software, le banche dati e i siti.
Non guardano mezza fattura; sono addestrati e formati per le verifiche privacy e hanno una bella lista di controllo di cose da accertare per compilare un lungo e articolato verbale da consegnare al Garante, che deciderà se irrogare sanzioni ed il loro ammontare.
Possono andare bene almeno per iniziare?
Una domanda correlata al tema dei servizi automatizzati per la gestione GDPR è se, per cominciare, può essere una buona idea utilizzarli e poi, se le cose vanno bene, fare le cose più seriamente.
La risposta è nel GDPR e si chiama “Privacy by Design”, ovvero privacy fin dalla progettazione.
Significa che ancor prima di iniziare il trattamento (non è inteso come la prima vendita, ma prima di raccogliere il primo dato) la conformità al GDPR va impostata; bene inteso sempre in proporzione alla mole e al tipo di dati che si andranno a trattare.
Perciò no, non esistono sconti o periodi di grazia per chi comincia.
Del resto stai iniziando un business, non stai sviluppando un hobby.
Trovi moltissimo materiale in rete e qui sul sito trovi vari articoli e una guida apposita.
Dedica del tempo per capire cosa devi fare, implementa ciò che impari, chiedi una consulenza se hai bisogno di aiuto, ma parti col piede giusto e non accontentarti di una soluzione facile e veloce perché potrebbe costare molto cara.
Desideri ricevere un preventivo per lavorare assieme sull’adeguamento GDPR del tuo business online?
Compila il form qui sotto e riceverai via email un breve questionario per scoprire come possiamo lavorare assieme: