Pubblicato il 20/05/18 - aggiornato il  | 13 commenti :

GDPR: cosa è e come mettere in regola i siti su Blogger

Regolamento della UE GDPR, General Data Protection Regulation, cosa comporta per gli utenti della piattaforma Blogger e come aggiornare informativa breve e estesa
Il 25 Maggio 2018 entrerà in vigore il GDPR, acronimo di General Data Protection Regulation, emanato dalla Unione Europea il 27 Aprile del 2016 e valido per tutti i soggetti dell'Unione o che operano nella UE senza bisogna di alcuna ratifica da parte dei singoli stati.

Come era già accaduto per la Cookie Law mi aspettavo che Google implementasse nella piattaforma Blogger uno strumento in grado di ottemperare alle richieste di questa nuova normativa della privacy ma così non è stato a soli 5 giorni dalla entrata in vigore del regolamento. Si può consultare per intero il GDPR in italiano in formato PDF. Sono ben 88 pagine e la lettura non è delle più semplici visti i numerosi riferimenti legislativi.

Prima di passare alla illustrazione di questa nuova regolamentazione ci sono alcune considerazioni da fare: 1) Al momento oltre il 90% delle aziende interessate non è ancora in regola; 2) Il GDPR non dà delle regole precise da seguire ma dà solo degli indirizzi di comportamento; 3) È difficile trovare in rete due specialisti di questo settore a metà tra il giuridico e l'informatico che dicano la stessa cosa.

Questo sito è diventato uno dei punti di riferimento più importanti per la piattaforma Blogger in Italia quindi, come ho già fatto con la Cookie Law, cercherò di aiutare gli amministratori dei siti a rispettare queste nuove regole. Non basterà un articolo per affrontare tutti i temi. In questo primo post illustrerò brevemente quelle che sono le disposizioni a cui ottemperare mentre nei successivi darò delle indicazioni su come farlo.



gdpr





COSA È IL GDPR E CHI DEVE ADEGUARSI


Il GDPR o General Data Protection Regulation serve per uniformare la normativa privacy a livello europeo e sostituisce il decreto legislativo 196/2003. I soggetti tenuti ad adeguarsi sono i seguenti:
  1. Aziende e organizzazioni con base operativa in uno stato della UE
  2. Aziende e organizzazioni che operano in paese terzo ma che hanno clienti della UE.
L'obiettivo è quello di accrescere il livello di fiducia degli europei nei confronti di tutti i soggetti privati o pubblici che lavorano quotidianamente con le loro informazioni personali, sensibili o riservate. Comunque niente panico perché le eventuali multe per la non conformità al GDPR non saranno immediate. Si inizierà con un avvertimento, poi con un rimprovero, quindi con una sospensione dell'elaborazione dei dati, e in caso di violazione continuata della norma, allora potrebbero arrivare le multe.






OBBLIGHI PER UN AMMINISTRATORE DI UN SITO


Il primo obbligo è quello di dotarsi di una Privacy Policy ovvero di un documento che illustra in che modo vengono trattati i dati privati. Non si tratta di una novità. Già abbiamo implementato la Policy Privacy nei nostri siti all'epoca della cosiddetta Cookie Law. Queste informazioni devono essere aggiornate e contenere:
  1. la finalità del trattamento dei dati
  2. la modalità di questo trattamento
  3. i soggetti di terze parti che archiviano, controllano e usano questi dati tramite applicazioni o tecnologie installate nei siti come possono essere Google, Facebook e altri player del settore
  4. i diritti del navigatore
  5. i dati del titolare del trattamento dei dati ovvero l'amministratore del sito.
È quindi necessario aggiornare la Policy Privacy adattandola a questi nuovi requisiti. Ci deve essere una base giuridica per il trattamento dei dati personali e la presenza di un consenso dato dall'utente a una o più finalità di questo trattamento dei dati. Il titolare del sito di e-commerce può per esempio trattare i dati se un utente ha acquistato un bene o un servizio inserendo nome e recapito. Un discorso analogo vale per i lettori che si sono iscritti volontariamente alla newsletter di un blog.





COSA FARE PER AVERE IL CONSENSO DEL LETTORE


Qui le cose si fanno più nebulose e qualche volta cozzano con la impossibilità informatica di creare uno strumento efficace, specie per gli utenti di Blogger. Il consenso deve essere libero, specifico, informato e revocabile

La visualizzazione del banner con l'informativa breve serve appunto per avere questo libero consenso. Continuano a essere validi i consensi ottenuti con il banner dei cookie prima del 25 Maggio 2018.

Gli obblighi maggiori sono nei confronti dei siti che consentono agli utenti di registrarsi e di acquistare beni e servizi. In fase di registrazione ci deve essere un quadratino di controllo per avere il consenso al trattamento dei dati, così come in fase di acquisto. Queste disposizioni non sono applicabili a siti navigabili senza registrazione.

L'unica possibilità che ha il blogger di detenere i dati degli utenti è quella della iscrizione alla newsletter. In un prossimo post vedremo come verificare la volontà della iscrizione e come informare l'utente della possibilità di recesso dalla iscrizione tramite il pulsante Unsubscribe visibile in calce alla email della newsletter.

COOKIE LAW E GDPR


Cosa cambia con questa nuova normativa per la Cookie Law?. La Cookie Law resta invariata così come gli accorgimenti che abbiamo adottato fino a questo momento. Non è quindi necessario far approvare all'utente l'installazione di ogni singolo cookie, ma mostrare un banner con il pulsante per accedere alla informativa estesa su cosa siano e come funzionino i cookie e quali siano quelli di terze parti installati.

Il consenso dell'utente potrà quindi essere dato cliccando cu un pulsante o proseguendo la navigazione. Un utente potrà navigare anche senza un cookie specifico, attivando l'opzione attraverso le modalità e i moduli opt-in opt-out messi a disposizione dalle terze parti o direttamente dalle impostazioni del browser.

Un discorso particolare lo merita Google Analytics con l'anonimizzazione dei dati che affronterò in modo più dettagliato in un prossimo post. Nella Cookie Policy dovrà essere inserita l'informazione sulla anonimizzazione dei dati e sulla possibilità di chiedere a Google di non essere tracciato da GA.

ALTRI OBBLIGHI DEL GDPR


Il GDPR non si limita a queste disposizioni ma introduce altri obblighi soprattutto per le aziende. Devono essere individuati tutti i soggetti che trattano i dati degli utenti per conto del titolare. In alcuni casi si rende necessario nominare un DPO, ovvero un Data Protection Officer, per il controllo della conformità aziendale al GDPR. Quest'ultimo dovrà mettere in  atto dei processi DPIA (Data Protection Impact Assessment) per valutare l'impatto delle nuove tecnologie con i principi del GDPR. Credo sia inutile specificare che queste richieste non si applicano a un semplice sito anche professionale.

CONSIDERAZIONI FINALI


Allo stato dell'arte e visto che Google non ci ha fornito strumenti specifici, quello che un utente di Blogger può fare per adeguarsi alle disposizioni del GDPR è di aggiornare informativa breve e informativa estesa per aggiungerci tutte queste nuove informazioni per gli utenti e per i navigatori.

Nei prossimi giorni illustrerò come si possa procedere, in un'ottica di buon senso, anche in relazione agli annunci di Adsense che possono essere mostrati con la profilazione dell'utente o non personalizzati. Non sono un esperto giuridico e quindi i miei vanno presi come consigli e non  come verità rivelata. Sono pronto a considerare tutti i suggerimenti in materia che mi venissero dati nei commenti. Tutti i post che pubblicherò su questo tema verranno linkati alla fine di questa pagina in modo da avere un post di riferimento per tutte le eventuali novità.

DISCLAIMER: NON SONO UN AVVOCATO E QUESTE LINEE GUIDA SONO SOLO UN SUGGERIMENTO E UNA LIBERA INTERPRETAZIONE DELLE NORME.




13 commenti :

  1. Grazie mille, allora attenderò i prossimi post :)in effetti su Blogger al momento possiamo fare ben poco, io per ora mi sono limitata ad aggiungere un testo al di sopra del box commenti,(chiusi ad utenti Google) con link che rimanda alla privacy di google ed uno alla newsletter con link diretto per potersi cancellare, ma in realtà non so se entrambi le azioni sono utili o no per le nuove normative :(

    RispondiElimina
  2. Ciao, impostare "Annunci non personalizzati" su Adsense dovrebbe mettere in regola sito, giusto?

    RispondiElimina
    Risposte
    1. Per quella parte lì dove si deve avere il consenso per la profilazione, sicuramente
      @#

      Elimina
  3. Ciao. Ma un utente come me su piattaforma gratuita e non con dominio personalizzato che non ha adsense nè analitycs di suo (solo quello messo da google d'ufficio) che dati ha dei lettori?
    Nome cognome o nick dei lettori fissi o di chi commenta. Che altro ho?
    Scusa ma ci capisco poco. :)

    RispondiElimina
    Risposte
    1. La cookie policy la dovresti già avere, basta che aggiungi qualcosa come i link alla privacy di Google e di Facebook, se lo usi
      @#

      Elimina
    2. Sì sì, quella c'è già! Già ammattita per quella ahahahah
      Altro non ho. Nè Facebook nè altro. Blog nudo e crudo ahahhahaha
      Grazie infinite! Ciaoo

      Elimina
  4. Ciao, sono un'ignorante informatica.
    Il blog l'ho aperto solo per recensire a mio piacimento i libri che leggo.
    Ho a malapena il tasto segui e la possibilità di ricevere aggiornamenti per ricevere aggiornamenti a nuovi post che scrivo inserendo la propria mail, non ho una vera newsletter che redigo. Non saprei nemmeno come farla e da dove partire.
    Dati non ne maneggio né so come trovarli. So che i cookies sono attivi e che registrano le informazioni di chi viene sul mio blog che non ha chissà che seguito, tutt'altro, ma che comunque viene saltuariamente letto.
    Guadagni non ne faccio.
    Quindi queste nuove leggi mi mettono in crisi e non vorrei chiudere al fine di evitare sanzioni perchè non sono in grado di mettermi in regola.
    In sostanza devo creare una pagina col titolo sulle normative GDPR e link alla versione estesa? Creare un banner che linki alla normativa? In sintesi che faccio????
    So che quando apro il mi blog come altri esce questa scritta: " Questo sito utilizza cookie di Google per erogare i propri servizi e per analizzare il traffico. Il tuo indirizzo IP e il tuo agente utente sono condivisi con Google, unitamente alle metriche sulle prestazioni e sulla sicurezza, per garantire la qualità del servizio, generare statistiche di utilizzo e rilevare e contrastare eventuali abusi." con relativo "ulteriori informazioni" o "Ok". Ma mi par di capire che non basti.
    La grafica me la sono fatta fare, quindi a livello generale di informatica e grafica non capisco un tubo.
    Se puoi illuminarmi un pò ti ringrazio!

    RispondiElimina
    Risposte
    1. Puoi modificare il messaggio della informativa breve o lasciarlo com'è. Dovresti aver già creato una informativa lunga che adesso deve essere aggiornata per poi linkarla nel banner al posti di quella di Google. Segui i post di questo articolo solo nelle parti che ti servono
      @#

      Elimina

Non inserire link cliccabili altrimenti il commento verrà eliminato. Metti la spunta a Inviami notifiche per essere avvertito via email di nuovi commenti.
Info sulla Privacy