Il Regolamento GDPR per gli psicologi e per le loro attività sul web

AVVERTENZA: Questo articolo è da intendersi come una guida non esaustiva al regolamento europeo GDPR, ma non è da considerarsi come un parere legale. Non essendo un avvocato, non garantisco sull’esattezza di tutte le affermazioni contenute in questo post: se vuoi dormire sogni tranquilli il consiglio è di avvalerti di una consulenza legale.

Se non hai ancora provveduto ad adeguare il tuo sito al GDPR, io posso adeguarlo alla normativa al costo di 50 euro. Scrivimi per avere maggiori informazioni e per prenotare l’intervento.

Cos’è il Regolamento GDPR

GDPR sta per General Data Protection Regulation, o Regolamento Generale sulla Protezione dei Dati – RGPD, ed è il nuovo regolamento europeo in materia di privacy che è entrato in vigore il 25 maggio 2018, sostituendo il d.lgs. 196/2003 – o Codice Privacy – e le altre leggi sulla privacy nazionali degli Stati dell’Unione Europea.

Il regolamento uniforma la normativa privacy a livello europeo e devono attenersi ad esso tutte le organizzazioni con base operativa nel territorio dell’Unione Europea o con base operativa in un Paese terzo, ma che trattino dati personali di utenti o clienti europei.

Secondo l’articolo 4 del GDPR è un dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Chi non è in regola con la normativa rischia sanzioni fino al 4% del fatturato totale annuo riferito all’esercizio precedente.

Ti può interessare anche: Web Marketing dello psicologo e psicoterapeuta starter pack: sito web, blog e SEO

Raccolta e trattamento dei dati col GDPR

Dal 25 maggio per essere in regola la tua raccolta dei dati online e offline dovrà rispettare le seguenti caratteristiche:

l’utente deve fornire il proprio consenso in modo esplicito e tracciabile;
l’informativa sul trattamento dei dati personali deve essere trasparente, chiara e facilmente accessibile;
i dati raccolti dovranno essere pertinenti, adeguati e limitati alle finalità per cui vengono richiesti e trattati.

I dati potranno essere raccolti e utilizzati solo per gli scopi specifici esplicitati nel consenso, e non più per ogni altra iniziativa…

Sarai responsabile del tuo processo di adeguamento al GDPR: le misure adottate devono garantire sicurezza dalla fase di raccolta sino a quella di elaborazione e conservazione dei dati, grazie a crittografia e accesso limitato e controllato.

A proposito di crittografia, da luglio 2018 Google penalizzerà lievemente nelle ricerche i siti sprovvisti di certificato SSL, che consentono di criptare i dati di navigazione. Anche Google Chrome segnalerà i siti senza crittografia (quelli con protocollo http) come non sicuri, ciò non accadrà per quelli con protocollo https.

Solo in caso di esplicita autorizzazione, inoltre, la conservazione dei dati può avvenire in server fuori dall’UE.

GDPR, consenso informato e trattamento dei dati per l’attività clinica

Il primo, ma fondamentale, punto in cui bisogna adeguarsi alla nuova normativa GDPR è l’informare la propria utenza su come verranno raccolti e trattati i propri dati.

Va quindi rivisto il tradizionale consenso informato e vanno riorganizzate le modalità di trattamento dei dati personali.

C’è da dire che lo psicologo ha già nel proprio Codice Deontologico una normativa molto attenta alla privacy della propria utenza, non sarà quindi necessario snaturare le proprie abitudini.

A tal proposito il consiglio è quello di leggere il documento del CNOP, che ha pubblicato anche il modello per il Consenso Informato e il registro dei trattamenti per il GDPR.

Come adeguare il proprio sito web al GDPR

Ma veniamo a noi, e vediamo come vanno adeguate le attività promozionali sul web con la normativa GDPR.

Il tuo sito web è uno degli strumenti fondamentali per far conoscere la tua attività di psicologo e per fornire informazioni sulla tua professione.

Se già da qualche anno era obbligatorio avere una privacy policy e una cookie policy con l’informativa sulla privacy e i termini e le condizioni del tuo sito web in bella vista con tanto di popup informativo, adesso tale funzionalità va aggiornata e riscritta per fare riferimento alla terminologia GDPR.

In particolare, dovrai rendere trasparente ciò che farai con le informazioni una volta ricevute, e per quanto tempo manterrai queste informazioni sia sul tuo sito web che sui tuoi sistemi di archivio.

Il principio generale è che il tuo sito e le funzioni ad esso collegate raccoglieranno i dati di navigazione quali l’indirizzo ip, il tempo e la durata della connessione ed altre informazioni.

Probabilmente non avrai mai analizzato nessuna di queste informazioni o lo avrai fatto in maniera sommaria, ad esempio controllando gli analytics di Google.

Il concetto fondamentale in questo caso è capire chi è il responsabile del trattamento dei dati. Se sei semplicemente un libero professionista, sei automaticamente il responsabile dei dati personali che ottieni nella tua attività professionale, non avendo dipendenti.

Nel web la situazione cambia: non sei l’unico ad avere accesso ai dati personali del pubblico del tuo sito, ma li condividi con altre società e spesso sono queste ad essere responsabili del trattamento e della conservazione dei dati.

Queste società terze potrebbero essere anche extra-EU, ma sono comunque tenute a conformarsi alla normativa europea.

A te spetta il compito di verificare che però tali soggetti siano in regola con la normativa e, nel caso ti comunichino un problema relativo ai suddetti dati, devi tempestivamente avvisare la tua utenza: se il tuo sito web sta subendo una violazione dei dati di qualsiasi tipo, questa deve essere comunicata ai tuoi utenti entro 72 ore.

Ti può interessare anche: I vantaggi del blog dello psicologo: metti le ali al tuo sito web!

In definitiva, la tua nuova informativa sulla privacy deve specificare quanti e quali dati detieni tu (tendenzialmente quelli relativi ai moduli di contatto) e le modalità e la durata della conservazione.

La stessa informativa deve poi informare di quali società utilizzano i dati sensibili e specificare che sono loro a trattarli, magari linkando le loro policy di servizio.

Per fare esempi concreti, ad esempio si dovranno informare gli utenti del fatto che Google avrà accesso ai loro dati di navigazione (quelli di Google Analytics, dando per scontato che tu lo utilizzi).

A tal proposito, per semplificare la gestione dei dati e per consentire meno problemi legati alla conservazione, Google ha introdotto la funzione che consente a te di stabilire per quanto tempo i dati dei visitatori del tuo sito potranno essere conservati. Trascorso il periodo da te indicato, i dati saranno cancellati e verranno mantenute solo le statistiche anonime.

Anche i vari social network che utilizzi sul tuo sito hanno accesso ai tuoi dati: hai presente quei pulsantini che permettono di condividere gli articoli? Per funzionare hanno bisogno dei dati dell’utente. Idem per i vari login attraverso i social o per i plugin quali i commenti attraverso Facebook o Google Plus.

Devi quindi specificare nella tua policy quali servizi hanno accesso ai tuoi dati.

Inoltre anche il gestore del tuo server ha accesso ai dati, in quanto presenti sulla propria piattaforma. Se inoltre hai attivo un backup automatico del sito in cloud (cosa vivamente consigliata) anche il servizio che ospita il tuo backup deve essere in regola.

Se utilizzi WordPress, Blogger o qualsiasi altro servizio, questo e tutti i plugin e servizi accessori potrebbero utilizzare dati sensibili: devi esplicitare questa cosa nella tua policy.

Inoltre se il sito ha una parte di ecommerce, è probabile che si stia utilizzando un gateway di pagamento per le transazioni finanziarie. Il tuo sito Web potrebbe raccogliere dati personali prima di passare i dettagli sul gateway di pagamento. Anche qui tocca verificare come vengono trattati i dati ed informare l’utenza.

Molti siti utilizzano poi soluzioni software di automazione marketing di terze parti sul proprio sito Web. I fornitori di queste applicazioni devono assicurarci di essere conformi al GDPR.

Per chi ha un sito in WordPress sarà necessario aggiornarlo almeno alla versione 4.9.6 che è conforme ai requisiti richiesti dal GDPR. Anche i vari plugin di contatto e per i cookie vanno aggiornati alle versioni più recenti o sostituiti con nuovi plugin.

In generale per aggiornare la privacy policy e per gestire gli aggiornamenti della piattaforma, ti consiglio di sentire il tuo webmaster.

Bisogna poi inserire i riferimenti alla nuova normativa in tutti i moduli di contatto.

Se non ne hai uno e hai bisogno di assistenza, contattami e ti aiuterò.

GDPR: social, advertising e newsletter

Per metterti in regola con i tuoi profili professionali sui vari social network, non dovrai fare nulla: chiunque utilizzi Facebook e similari fornirà i dati a questi ultimi e il loro trattamento sarà loro responsabilità.

Nel caso invece che tu faccia pubblicità con Facebook ADS, puoi continuare tranquillamente in quanto è Facebook stesso ad essere il responsabile dei dati. Solo nel caso di attività di remarketing e retargeting in cui fornisci tu a Facebook dati di utenti da utilizzare nelle inserzioni devi fare attenzione ai consensi in quanto in questi casi il responsabile del trattamento sei tu.

Per approfondire ti consiglio di leggere le linee guida di Facebook al riguardo.

Nel caso tu abbia una newsletter, puoi continuare a utilizzare la tua mailing list, a patto che tu abbia ottenuto il consenso secondo la normativa precedente al GDPR. Ma ai nuovi iscritti dovrai richiedere il consenso esplicito secondo il nuovo regolamento.

I moduli che invitano gli utenti a iscriversi alle newsletter o che indicano le preferenze di contatto non devono mostrare le caselle di attivazione come preselezionate.

Devi quindi aggiornare i tuoi form per l’iscrizione alla newsletter, tutti i provider si stanno adeguando.

Io utilizzo Mailchimp che permette di inviare fino a 12000 mail gratuitamente con una mailing list di massimo 2000 iscritti (dopo tale limite si passa alla versione a pagamento, e nel caso che anche tu la utilizzi, devi ottenere il Data Processing Addendum per il tuo account.

Sempre relativamente a Mailchimp, qui trovi una pagina informativa sul GDPR (in inglese).

In generale il consenso richiesto deve essere indicato separatamente per l’accettazione di termini e condizioni e l’accettazione del consenso per altri modi di utilizzo dei dati.

Gli utenti dovrebbero essere in grado di fornire un consenso separato per i diversi tipi di elaborazione, richiedendo un’autorizzazione specifica per ciascun tipo di elaborazione (posta, e-mail, telefono, ecc.) e anche il permesso di inoltrare i dettagli su una terza parte.

Deve essere altrettanto facile rimuovere il consenso come lo era per concederlo, e gli individui devono sempre sapere di avere il diritto di revocare il loro consenso. Ciò significa che l’annullamento dell’iscrizione potrebbe consistere nel ritiro selettivo del consenso a specifici flussi di comunicazione.

I moduli Web devono identificare chiaramente ciascuna parte per cui viene concesso il consenso. Se l’indirizzo mail verrà utilizzato per inviare email di vendita e newsletter e aggiornamenti da altri siti, l’utente dovrà dare espressamente consenso per ogni tipologia di comunicazione che riceverà da voi.

In caso tu abbia dubbi o necessità di chiarimenti scrivimi una mail o contattami tramite Facebook.

Cookie	Durata	Descrizione
_abck	1 year	This cookie is used to detect and defend when a client attempt to replay a cookie.This cookie manages the interaction with online bots and takes the appropriate actions.
ak_bmsc	2 hours	This cookie is used by Akamai to optimize site security by distinguishing between humans and bots
bm_sz	4 hours	This cookie is set by the provider Akamai Bot Manager. This cookie is used to manage the interaction with the online bots. It also helps in fraud preventions
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.

Cookie	Durata	Descrizione
_mcid	1 year	This is a Mailchimp functionality cookie used to evaluate the UI/UX interaction with its platform
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
loid	2 years	This cookie is set by the Reddit. The cookie enables the sharing of content from the website onto the social media platform.
sb	2 years	This cookie is used by Facebook to control its functionalities, collect language settings and share pages.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_79590533_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_ir	session	This is a Pinterest cookie that collects information on visitor behaviour on multiple websites. This information is used on the website, in order to optimize the relevance of advertisement.
edgebucket	session	Reddit sets this cookie to save the information about a log-on Reddit user, for the purpose of advertisement recommendations and updating the content.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
remixlang	1 year	This cookie is set by the provider vk.com. This cookie is used for advertising purposes.
sbfpPopup	10 minutes	This cookie is used to verify the use of popup window promotion on the website.
session_tracker	2 hours	This cookie is set by the Reddit. This cookie is used to identify trusted web traffic. It also helps in adverstising on the website.

Cookie	Durata	Descrizione
_statid	68 years 18 days 3 hours 14 minutes	No description available.
AnalyticsSyncHistory	1 month	No description
bci	68 years 18 days 3 hours 14 minutes	No description available.
csv	2 years	No description available.
landref	session	No description available.
li_gc	2 years	No description
remixir	past	No description

Marketing per Psicologi

Cerca nel sito