Privacy e Blog. Le nuove regole
Il 25 maggio 2018 entrerà in vigore il tanto atteso, o temuto, GDPR (General Data Protection Regulation, Regolamento UE 2016/679), vale a dire il nuovo regolamento voluto e approvato dal Parlamento Europeo in merito alla gestione dei dati personali online. Queste modifiche vanno analizzate con molta attenzione in quanto cambiano molti paradigmi in merito alla tutela della privacy sul web.
Come dobbiamo comportarci, dunque, se abbiamo aperto un blog e vogliamo adeguarci a queste nuove regole? Se invece stiamo per aprirne uno proprio in questo periodo, quali norme dobbiamo rispettare per ciò che riguarda la tutela della privacy, i cookie, e tutti i dati degli utenti che si dovranno registrare?
Prima di entrare nel merito delle varie questioni, una premessa è d’obbligo: tutto ciò che vedremo saranno vere e proprie aspettative o previsioni, certo fondate sulle solide basi di ciò che è scritto nero su bianco nella norma in questione. Tuttavia, sarà soltanto la giurisprudenza futura a poter rendere più certi e definiti i confini di questo nuovo regolamento, che è davvero vasto e molto complesso.
1. Modifiche per la gestione quotidiana del blog
Ciò di cui va tenuto conto per essere pienamente pronti ad affrontare l’introduzione del GDPR è la gestione dei dati personali degli utenti: nome, e-mail, dati di residenza o eventuali dati bancari, indirizzo IP, e così via. Anche l’utilizzo dei cookie rientra nella categoria dei dati personali, quando tramite gli stessi cookie si è in grado di identificare un utente attraverso il suo indirizzo IP.
Se quindi usiamo Google Analytics per ottenere le statistiche relative ai visitatori del nostro blog, senza mascherare gli indirizzi IP degli utenti, significa che stiamo utilizzando proprio quei dati personali oggetto del nuovo regolamento e, in questo caso, occorre perciò rivedere il banner per il consenso sui cookie in base alla direttiva UE, consenso che deve essere preventivo, informato e documentato. Bisogna specificare se e quali informazioni verranno condivise con terze parti, per quale motivo, dove andranno a finire tali dati e per quanto tempo resteranno disponibili.
Va poi aggiornata anche la privacy policy, cioè quel documento che riporta come e da parte di chi vengono gestiti gli stessi dati personali. A proposito della privacy policy, potrebbe essere un’ottima scelta quella di chiedere suggerimenti a un consulente legale: si tratta di una fattispecie per cui non è possibile cercare in rete un testo standardizzato e limitarsi a copiarlo sul nostro blog, perché naturalmente le modalità di sfruttamento delle informazioni degli utenti possono variare notevolmente da un sito all’altro.
Va infine sottolineato anche che il GDPR non considera tutti i cookie come dei dati personali da trattare allo stesso modo: se possediamo un blog molto semplice, che non ha nessun interesse nella profilazione degli utenti, i cookie impostati non raccolgono dati sensibili e pertanto non rientrano nella sfera di privacy toccata dalla modifica normativa. In tale circostanza rimane in vigore il regolamento precedente e non c’è dunque bisogno di nessun genere di adeguamento.
2. Obiettivo privacy?
Certo, lo scopo del GDRP è quello di andare a tutelare gli utenti online migliorandone la privacy e limitando il brokeraggio dei dati, sviluppatosi in modo selvaggio negli ultimi anni. Ma, a conti fatti, possiamo dire che la normativa risulterà davvero efficace? Di sicuro andrà a riguardare praticamente le società di tutto il mondo, non solo quelle europee: è vero che si tratta di una direttiva UE, ma a esserne coinvolti sono anche i cittadini e non solo le aziende.
Dunque, non basta spostare un blog sulla piattaforma di Google (Blogger) per aggirare la normativa, in quanto ciò che conta è la provenienza geografica dell’utente finale. Se anche i titolari del trattamento dei dati non hanno sede in UE, quando vengono offerti beni o servizi diretti a persone fisiche all’interno dell’Unione o quando vengono raccolte informazioni tramite monitoraggio degli utenti interessati sul territorio europeo, allora si ricade pienamente all’interno della nuova normativa.
Tuttavia, va infine sottolineata anche quella che è una pecca, magari inconsapevole, del GDRP: pur con le nuove regole, le autorizzazioni per lo sfruttamento dei dati sensibili possono essere presentate in modo piuttosto criptico. Inoltre, non tutti gli utenti hanno la capacità e l’attenzione di leggerle accuratamente. Spesso ci si accontenta di fornire il consenso il più in fretta possibile, per esempio sui social, per poter tornare a postare quanto prima e non rischiare di dover cancellare il proprio account.
Creare invece dei messaggi chiari per la nostra privacy policy e cercare di sensibilizzare e informare al meglio gli utenti su come sfruttiamo i loro dati personali, non solo è un segno di correttezza verso questi ultimi, ma anche un modo per farci conoscere positivamente e mostrare loro la nostra etica professionale.
Alessandro Savino, AvvocatoFlash
Fonti
https://www.alfonsostriano.it/gdpr-e-wordpress/
https://www.laleggepertutti.it/201029_privacy-le-nuove-regole-per-chi-ha-un-blog/amp
https://www.glacom.it/blog-it/Che-cosa-%C3%A8-la-Privacy-Policy-354.html
http://www.ilsole24ore.com/art/mondo/2018-05-04/direttiva-gdpr-perche-privacy-rete-restera-un-utopia-160826.shtml?uuid=AEYwttiE
Commento