AVVERTENZA: Questo articolo è da intendersi come una guida non esaustiva al nuovo regolamento europeo GDPR, ma non è da considerarsi come un parere legale. Non essendo un avvocato, non garantisco sulla correttezza di tutte le affermazioni contenute in questo post: se volete dormire sogni tranquilli il consiglio è di avvalerti di una consulenza legale.
Aggiornamento:
Dopo la maratona di ansia a causa del Regolamento GDPR, il 24 maggio si è diffusa una notizia che, come al solito, è stata comunicata male.
Un articolo molto chiaro di Seozoom chiarisce:
Chi scrive che il GDPR in Italia è stato rimandato al 21 agosto non offre una informazione precisa, ma “gioca” nel creare altra confusione. Il Regolamento è ufficialmente entrato in vigore da oggi, come previsto, ma l’Italia ha tempo per adeguare a pieno la sua struttura normativa entro il 21 agosto (e non è detto che il Parlamento non ci impieghi di meno). Diversa è la questione relativa al differimento di controlli e sanzioni, per il quale invece ci sono segnali di apertura che potrebbero aiutare le imprese.
Quindi il regolamento è attivo, non è detto che ci si possa rilassare fino ad agosto, bisogna mettersi in regola al più presto.
A tal proposito io sto lavorando per aiutare tutti voi che mi avete richiesto assistenza, sarete tutti complianti con la normativa al più presto, nel frattempo l’avermi commissionato il lavoro dimostra la vostra volontà di mettervi in regola e, anche nel caso inizino i controlli, vi tutela.
Per tutti coloro che non hanno ancora provveduto, io posso adeguare il vostro sito alla normativa al costo di 50 euro. Scrivetemi per avere maggiori informazioni e per prenotare l’intervento.
Cos’è il Regolamento GDPR
GDPR sta per General Data Protection Regulation, o Regolamento Generale sulla Protezione dei Dati – RGPD, ed è il nuovo regolamento europeo in materia di privacy che entrerà in vigore il 25 maggio 2018, sostituendo il d.lgs. 196/2003 – o Codice Privacy – e le altre leggi sulla privacy nazionali degli Stati dell’Unione Europea.
Il regolamento uniforma la normativa privacy a livello europeo e devono attenersi ad esso tutte le organizzazioni con base operativa nel territorio dell’Unione Europea o con base operativa in un Paese terzo, ma che trattino dati personali di utenti o clienti europei.
Secondo l’articolo 4 del GDPR è un dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Chi non è in regola con la normativa rischia sanzioni fino al 4% del fatturato totale annuo riferito all’esercizio precedente.
Ti può interessare anche: Web Marketing dello psicologo e psicoterapeuta starter pack: sito web, blog e SEO
Raccolta e trattamento dei dati col GDPR
Dal 25 maggio per essere in regola la tua raccolta dei dati online e offline dovrà rispettare le seguenti caratteristiche:
- l’utente deve fornire il proprio consenso in modo esplicito e tracciabile;
- l’informativa sul trattamento dei dati personali deve essere trasparente, chiara e facilmente accessibile;
- i dati raccolti dovranno essere pertinenti, adeguati e limitati alle finalità per cui vengono richiesti e trattati.
I dati potranno essere raccolti e utilizzati solo per gli scopi specifici esplicitati nel consenso, e non più per ogni altra iniziativa…
Sarai responsabile del tuo processo di adeguamento al GDPR: le misure adottate devono garantire sicurezza dalla fase di raccolta sino a quella di elaborazione e conservazione dei dati, grazie a crittografia e accesso limitato e controllato.
A proposito di crittografia, da luglio 2018 Google penalizzerà lievemente nelle ricerche i siti sprovvisti di certificato SSL, che consentono di criptare i dati di navigazione. Anche Google Chrome segnalerà i siti senza crittografia (quelli con protocollo http) come non sicuri, ciò non accadrà per quelli con protocollo https.
Solo in caso di esplicita autorizzazione, inoltre, la conservazione dei dati può avvenire in server fuori dall’UE.
GDPR, consenso informato e trattamento dei dati per l’attività clinica
Il primo, ma fondamentale, punto in cui bisogna adeguarsi alla nuova normativa GDPR è l’informare la propria utenza su come verranno raccolti e trattati i propri dati.
Va quindi rivisto il tradizionale consenso informato e vanno riorganizzate le modalità di trattamento dei dati personali.
C’è da dire che lo psicologo ha già nel proprio Codice Deontologico una normativa molto attenta alla privacy della propria utenza, non sarà quindi necessario snaturare le proprie abitudini.
A tal proposito il consiglio è quello di leggere il documento del CNOP, che ha pubblicato anche il modello per il Consenso Informato e il registro dei trattamenti per il GDPR.
Come adeguare il proprio sito web al GDPR
Ma veniamo a noi, e vediamo come vanno adeguate le attività promozionali sul web con la normativa GDPR.
Il tuo sito web è uno degli strumenti fondamentali per far conoscere la tua attività di psicologo e per fornire informazioni sulla tua professione.
Se già da qualche anno era obbligatorio avere una privacy policy e una cookie policy con l’informativa sulla privacy e i termini e le condizioni del tuo sito web in bella vista con tanto di popup informativo, adesso tale funzionalità va aggiornata e riscritta per fare riferimento alla terminologia GDPR.
In particolare, dovrai rendere trasparente ciò che farai con le informazioni una volta ricevute, e per quanto tempo manterrai queste informazioni sia sul tuo sito web che sui tuoi sistemi di archivio.
Il principio generale è che il tuo sito e le funzioni ad esso collegate raccoglieranno i dati di navigazione quali l’indirizzo ip, il tempo e la durata della connessione ed altre informazioni.
Probabilmente non avrai mai analizzato nessuna di queste informazioni o lo avrai fatto in maniera sommaria, ad esempio controllando gli analytics di Google.
Il concetto fondamentale in questo caso è capire chi è il responsabile del trattamento dei dati. Se sei semplicemente un libero professionista, sei automaticamente il responsabile dei dati personali che ottieni nella tua attività professionale, non avendo dipendenti.
Nel web la situazione cambia: non sei l’unico ad avere accesso ai dati personali del pubblico del tuo sito, ma li condividi con altre società e spesso sono queste ad essere responsabili del trattamento e della conservazione dei dati.
Queste società terze potrebbero essere anche extra-EU, ma sono comunque tenute a conformarsi alla normativa europea. Diciamo che in linea di massima condividiamo i nostri dati con i colossi del web che si adegueranno sicuramente prima del 25 maggio alla normativa.
A te spetta il compito di verificare che però tali soggetti siano in regola con la normativa e, nel caso ti comunichino un problema relativo ai suddetti dati, devi tempestivamente avvisare la tua utenza: se il tuo sito web sta subendo una violazione dei dati di qualsiasi tipo, questa deve essere comunicata ai tuoi utenti entro 72 ore.
Ti può interessare anche: I vantaggi del blog dello psicologo: metti le ali al tuo sito web!
In definitiva, la tua nuova informativa sulla privacy deve specificare quanti e quali dati detieni tu (tendenzialmente quelli relativi ai moduli di contatto) e le modalità e la durata della conservazione.
La stessa informativa deve poi informare di quali società utilizzano i dati sensibili e specificare che sono loro a trattarli, magari linkando le loro policy di servizio.
Per fare esempi concreti, ad esempio si dovranno informare gli utenti del fatto che Google avrà accesso ai loro dati di navigazione (quelli di Google Analytics, dando per scontato che tu lo utilizzi).
A tal proposito, per semplificare la gestione dei dati e per consentire meno problemi legati alla conservazione, Google ha introdotto la funzione che consente a te di stabilire per quanto tempo i dati dei visitatori del tuo sito potranno essere conservati. Trascorso il periodo da te indicato, i dati saranno cancellati e verranno mantenute solo le statistiche anonime.
Anche i vari social network che utilizzi sul tuo sito hanno accesso ai tuoi dati: hai presente quei pulsantini che permettono di condividere gli articoli? Per funzionare hanno bisogno dei dati dell’utente. Idem per i vari login attraverso i social o per i plugin quali i commenti attraverso Facebook o Google Plus.
Devi quindi specificare nella tua policy quali servizi hanno accesso ai tuoi dati.
Inoltre anche il gestore del tuo server ha accesso ai dati, in quanto presenti sulla propria piattaforma. Se inoltre hai attivo un backup automatico del sito in cloud (cosa vivamente consigliata) anche il servizio che ospita il tuo backup deve essere in regola.
Se utilizzi WordPress, Blogger o qualsiasi altro servizio, questo e tutti i plugin e servizi accessori potrebbero utilizzare dati sensibili: devi esplicitare questa cosa nella tua policy.
Inoltre se il sito ha una parte di ecommerce, è probabile che si stia utilizzando un gateway di pagamento per le transazioni finanziarie. Il tuo sito Web potrebbe raccogliere dati personali prima di passare i dettagli sul gateway di pagamento. Anche qui tocca verificare come vengono trattati i dati ed informare l’utenza.
Molti siti utilizzano poi soluzioni software di automazione marketing di terze parti sul proprio sito Web. I fornitori di queste applicazioni devono assicurarci di essere conformi al GDPR.
Per chi ha un sito in WordPress sarà necessario aggiornarlo alla versione 4.9.6 che sarà conforme ai requisiti richiesti dal GDPR. Anche i vari plugin di contatto e per i cookie vanno aggiornati alle versioni più recenti o sostituiti con nuovi plugin.
In generale per aggiornare la privacy policy e per gestire gli aggiornamenti della piattaforma, ti consiglio di sentire il tuo webmaster.
Bisogna poi inserire i riferimenti alla nuova normativa in tutti i moduli di contatto.
Se non ne hai uno e hai bisogno di assistenza, contattami e ti aiuterò.
GDPR: social, advertising e newsletter
Per metterti in regola con i tuoi profili professionali sui vari social network, non dovrai fare nulla: chiunque utilizzi Facebook e similari fornirà i dati a questi ultimi e il loro trattamento sarà loro responsabilità.
Nel caso invece che tu faccia pubblicità con Facebook ADS, puoi continuare tranquillamente in quanto è Facebook stesso ad essere il responsabile dei dati. Solo nel caso di attività di remarketing e retargeting in cui fornisci tu a Facebook dati di utenti da utilizzare nelle inserzioni devi fare attenzione ai consensi in quanto in questi casi il responsabile del trattamento sei tu.
Per approfondire ti consiglio di leggere le linee guida di Facebook al riguardo.
Nel caso tu abbia una newsletter, puoi continuare a utilizzare la tua mailing list, a patto che tu abbia ottenuto il consenso secondo la normativa precedente al GDPR. Ma ai nuovi iscritti dovrai richiedere il consenso esplicito secondo il nuovo regolamento.
I moduli che invitano gli utenti a iscriversi alle newsletter o che indicano le preferenze di contatto non devono mostrare le caselle di attivazione come preselezionate.
Devi quindi aggiornare i tuoi form per l’iscrizione alla newsletter, tutti i provider si stanno adeguando.
Io utilizzo Mailchimp che permette di inviare fino a 12000 mail gratuitamente con una mailing list di massimo 2000 iscritti (dopo tale limite si passa alla versione a pagamento, e nel caso che anche tu la utilizzi, devi ottenere il Data Processing Addendum per il tuo account.
Sempre relativamente a Mailchimp, qui trovi una pagina informativa sul GDPR (in inglese).
In generale il consenso richiesto deve essere indicato separatamente per l’accettazione di termini e condizioni e l’accettazione del consenso per altri modi di utilizzo dei dati.
Gli utenti dovrebbero essere in grado di fornire un consenso separato per i diversi tipi di elaborazione, richiedendo un’autorizzazione specifica per ciascun tipo di elaborazione (posta, e-mail, telefono, ecc.) e anche il permesso di inoltrare i dettagli su una terza parte.
Deve essere altrettanto facile rimuovere il consenso come lo era per concederlo, e gli individui devono sempre sapere di avere il diritto di revocare il loro consenso. Ciò significa che l’annullamento dell’iscrizione potrebbe consistere nel ritiro selettivo del consenso a specifici flussi di comunicazione.
I moduli Web devono identificare chiaramente ciascuna parte per cui viene concesso il consenso. Se l’indirizzo mail verrà utilizzato per inviare email di vendita e newsletter e aggiornamenti da altri siti, l’utente dovrà dare espressamente consenso per ogni tipologia di comunicazione che riceverà da voi.
Probabilmente apporterò modifiche, integrazioni e chiarimenti a questa guida ogni volta che mi renderò conto di poter migliorare qualcuno degli aspetti trattati. In caso tu abbia dubbi o necessità di chiarimenti scrivimi una mail o contattami tramite Facebook.
