Lo scorso 25 maggio \u00e8 entrato in vigore a tutti gli effetti il GDPR, acronimo di General Data Protection Regulation<\/strong><\/span> (Regolamento Generale sulla Protezione dei Dati), il Regolamento Europeo 2016\/679 in materia di trattamento dei dati personali e di privacy. Da quando ho chiuso il post sul Salone del Libro di Torino<\/em><\/a>, mi sono buttata ogni microsecondo utile a vedere questo nuovo regolamento sulla privacy, conscia che WordPress stesso era in ritardo con i suoi rilasci e che non avrei avuto molto tempo per verificare gli aggiornamenti e trovare la soluzione migliore per essere in regola.<\/p>\n Mi sono ritrovata tutte le sere ad aggiornare plugin, rivedere pagine, moduli e cookies, verificare le privacy policy dei servizi di terze parti, scrivere, editare, testare, e no, non funziona, cambia impostazioni, ricomincia da capo, consulta il support di questo o quell’altro tool, in lingua inglese. Con un occhio al sito del nostro Garante della Privacy e tutti gli articoli che cercavano di dipanare la gran nebbia attorno a questo regolamento. <\/p>\n <\/p>\n Il regolamento GDPR \u00e8 uno stretto giro di vite, e non solo uno, a tutta la normativa in materia di protezione dei dati personali, uniformando le diverse normative in essere nei vari stati membri a maggior tutela dei cittadini europei. Di fatto, il nostro vecchio Codice Privacy (d.lgs. 196\/2003) viene totalmente sostituito da questo nuovo regolamento, che si applica anche alle aziende estere operanti nel territorio europeo. Quali sono le novit\u00e0 introdotte?<\/p>\n Ci sono tre principi fondamentali su cui si basa questo GDPR:<\/p>\n Inoltre, sono stati estesi i diritti degli utenti, cercando di eliminare la confusione generata negli anni da informative complesse e volutamente fumose:<\/p>\n Soprattutto il consenso dell’utente al trattamento dei suoi dati personali deve sempre essere esplicito<\/strong><\/span>, anche per trattamenti automatizzati. Non deve essere necessaria la forma scritta, ma il responsabile del trattamento deve poter dimostrare che l’interessato da prestato il suo consenso per uno specifico trattamento. Non sono pi\u00f9 ammessi comportamenti taciti o presunti, come informative accettate in seguito ad altra azione o caselle prespuntate nei moduli elettronici.<\/p>\n L’informativa, ovvero il testo con cui si dichiarano le modalit\u00e0 del trattamento dei dati, deve essere concisa, trasparente, intelligibile per l\u2019interessato e facilmente accessibile. Occorre utilizzare un linguaggio chiaro e semplice, evitando tecnicismi e un eccesso di riferimenti normativi. Questo per dare certezza che l’utente ha effettivamente compreso a quale trattamento ha prestato il suo consenso.<\/p>\n Il regolamento GDPR disciplina anche il trasferimento dei dati dei cittadini europei verso l’estero, consentendolo solo se sono soddisfatte determinate condizioni, soprattutto il relazione al livello di protezione dei dati personali del paese estero in cui vengono trasferiti. Lo spostamento dei dati verso gli Stati Uniti \u00e8 consentito solo verso aziende e istituzioni statunitensi che abbiamo aderito al Privacy Shield, un quadro normativo concordato tra l’Europa e gli Stati Uniti, e che l’utente ne sia preventivamente informato. Potete consultare l’elenco degli aderenti sul sito ufficiale: Privacy Shield Framework\u00a0<\/em><\/a> Per maggior chiarezza, non solo come blogger interessati dall’impatto del GDPR sui nostri siti ma anche come utenti che vogliano esercitare il proprio diritto alla privacy, ecco un ottimo schema di confronto tra il vecchio Codice Privacy italiano e questo nuovo GDPR europeo: Tabella di confronto tra Codice della Privacy (D.lgs. 196\/2003) e Regolamento Europeo della Privacy (GDPR 016\/679)\u00a0<\/em><\/a><\/p>\n Se poi volete un esempio di un elaborato conciso, trasparente, facilmente accessibile, con un linguaggio chiaro e semplice (!), ecco il testo completo del GDPR come pubblicato sulla Gazzetta ufficiale dell’Unione europea, tradotto in italiano: REGOLAMENTO (UE) 2016\/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO<\/em><\/a><\/p>\n Per maggiori dettagli e per riprendervi dalla precedente lettura, vi consiglio di consultare la pagina informativa messa a disposizione dal nostro Garante per la privacy, continuamente aggiornata con nuove indicazioni: Regolamento europeo in materia di protezione dei dati personali\u00a0<\/em><\/a><\/p>\n <\/p>\n Verrebbe da pensare che tutto questo trambusto non dovrebbe riguardare i blogger, che utilizzano il web semplicemente per condividere con il pubblico le proprie passioni, letterarie, culinarie, di moda, di viaggi, di giardinaggio, senza avere alcuna necessit\u00e0 di raccogliere i dati personali dei loro lettori. L’articolo 18 del GDPR recita infatti:<\/p>\n “Il presente regolamento non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di attivit\u00e0 a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attivit\u00e0 commerciale o professionale. Le attivit\u00e0 a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attivit\u00e0 online intraprese nel quadro di tali attivit\u00e0. Tuttavia, il presente regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attivit\u00e0 a carattere personale o domestico.”<\/p><\/blockquote>\n Sibillino non vi pare? Mi \u00e8 chiaro il concetto che non divento responsabile del trattamento degli indirizzi email degli amici che mi scrivono privatamente, e nemmeno dei dati personali che i miei stessi amici condividono con me nei social network. Ma il blog pu\u00f2 essere considerata un’attivit\u00e0 a carattere esclusivamente personale?<\/strong><\/span> E quell’ultima frase che cosa significa esattamente?<\/p>\n Secondo questo articolo di SqualoMail, piattaforma di invio di email marketing, Tutto quello che devi sapere sul GDPR in 8 passi<\/em><\/a> spiega:<\/p>\n “Si applica a tutte le organizzazioni che gestiscono, custodiscono, trattano, trasmettono o operano in altro modo con i dati personali di persone fisiche, che sono cittadini dei paesi dell\u2019Unione europea.[…] L\u2019organizzazione in questo contesto significa un\u2019azienda, un istituto o un\u2019istituzione nazionale, cos\u00ec come un\u2019associazione, un sindacato, partito politico e altre forme di organizzazioni. Gli unici esenti sono (altre) persone fisiche.”<\/p><\/blockquote>\n Quindi dato che il blog, sia come dominio che come hosting, \u00e8 intestato a me, persona fisica, tramite il codice fiscale (e non la Partiva IVA), dovrei essere esclusa da tutto questo. Non sono un’azienda, un istituto, n\u00e9 un’associazione o qualsiasi altro tipo di organizzazione.<\/p>\n Ma secondo quest’altro articolo di Iubenda, piattaforma web specializzata da anni nella consulenza in merito alla privacy policy informatica, Guida GDPR<\/em><\/a> specifica:<\/p>\n “Con il termine \u201ctitolare del trattamento\u201d si intende una qualsiasi persona fisica o giuridica coinvolta nella determinazione delle finalit\u00e0 e delle modalit\u00e0 del trattamento dei dati personali degli utenti.”<\/p><\/blockquote>\n Non mi pare che questa definizione lasci molto scampo. <\/p>\n In rete trovate anche una vasta scelta di testi, pi\u00f9 o meno tecnici, su come attuare gli adempimenti del GDPR all’interno del vostro blog, ma tutti concludono tristemente con lo stesso avvertimento: “Il nostro articolo ha puramente valore informativo. Vi invitiamo pertanto a consultare il vostro legale di fiducia.” E cos\u00ec sono bravi tutti.<\/p>\n Il fulcro del problema \u00e8 che lo stesso regolamento non \u00e8 del tutto chiaro<\/strong><\/span>, delinea una direzione da seguire, ma a livello pratico \u00e8 difficile darne un’unica interpretazione. La stessa guida del Garante della Privacy Italiano “\u00e8 soggetta a integrazioni e modifiche alla luce dell’evoluzione della riflessione a livello nazionale ed europeo”<\/em> (Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali<\/em><\/a>) E se non lo sa lui come applicare questa norma, come lo possiamo sapere noi blogger squattrinati?!<\/p>\n Allora mi \u00e8 tornata in mente una lezione di Diritto delle superiori: in tema di adempimenti, uno dei criteri di misurazione della diligenza del debitore nei confronti del creditore, qualsiasi sia l’obbligazione che li lega, \u00e8 il concetto della “diligenza del buon padre di famiglia”<\/strong><\/span> che ha origine dall’antico diritto romano (in latino bonus pater familias<\/em>). Ed \u00e8 questa diligenza che ho inteso di utilizzare nei confronti degli utenti, cercando la soluzione migliore per la loro protezione.<\/p>\n In tutto questo, WordPress ha rilasciato in ritardo gli aggiornamenti previsti per l’entrata in vigore del GDPR: la release 4.9.6 era prevista per i primi di maggio, spostata al 15\/5, poi di nuovo al 17\/5 per vari bug riscontrati in fase di test e infine \u00e8 arrivata alle 22.14 di sera, un altro giorno perso! Ci si aspettava grandi cose, ma alla fine c’\u00e8 solo una pagina dedicata all’informativa privacy con una guida per la compilazione sulla base dei plugin installati.<\/p>\n Cos\u00ec ho iniziato ad analizzare ogni componente del blog<\/strong><\/span>, per vedere quali gestiscono i dati personali degli utenti, in particolare:<\/p>\n Per ognuno di questi, sono andata alla ricerca della loro privacy policy, perch\u00e9 la stessa deve essere inserita nella mia informativa quale dettaglio di approfondimento per gli utenti. Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ci\u00f2 potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della societ\u00e0 dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattivit\u00e0 o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attivit\u00e0 di trattamento svolte per la stessa o le stesse finalit\u00e0. Qualora il trattamento abbia pi\u00f9 finalit\u00e0, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato \u00e8 richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso \u00e8 espresso.<\/p><\/blockquote>\n Di conseguenza tutti i moduli di acquisizione devono contenere una casella con cui l’utente possa esprimere il consenso esplicito alla stessa privacy policy. Non \u00e8 sufficiente scriverla e pubblicarla, dobbiamo essere certi che l’abbiano letta e compresa. Alla fine, questa \u00e8 la nuova informativa sul trattamento dei dati personali del blog: Privacy Policy<\/em><\/a><\/p>\n <\/p>\n Qualcuno ha scritto che la normativa GDPR non modifica affatto le disposizioni gi\u00e0 in vigore in materia di cookie, regolamentati dalla Direttiva ePrivacy<\/em><\/a>\u00a0(conosciuta come Cookie Law). Dal momento che il GDPR richiede un consenso preventivo al trattamento dei dati personali, e dato che pure i cookie concorrono a questo trattamento, tutti dobbiamo adeguare la barra informativa che compare in automatico al primo accesso al sito: prima bastava semplicemente notificare agli utenti che il blog fa uso di cookie e che continuando a navigare ne avrebbero accettato l’utilizzo.
\nIn realt\u00e0 era stato approvato ancora il 27 aprile 2016 e pubblicato in Gazzetta Ufficiale Europea il 4 maggio: dunque la sua efficacia risale al 25 maggio 2016, ma erano previsti due anni perch\u00e9 ogni stato membro dell’Unione si preparasse all’introduzione di questi nuovi adempimenti. Invece pare che tutta la rete se ne sia resa conto solo dallo scorso gennaio e soprattutto le piattaforme di blogging siano arrivate alla fatidica data impreparate.<\/p>\n
\nE in tutto questo, l’unico dato gestito da un blog come il mio \u00e8 l’indirizzo email<\/strong><\/span>, che potrebbe pure essere fasullo!
\nDalla mia ho le mie conoscenze informatiche, che sicuramente mi facilitano, non posso negarlo. Ma gli altri blogger?
\nMi \u00e8 spiaciuto vedere che all’incauta indifferenza totale di alcuni si \u00e8 contrapposta la paranoia assoluta di altri, arrivati addirittura a chiudere in blocco tutte le attivit\u00e0 scrittorie (qualcuno ha proprio spento il sito!) in attesa di tempi migliori.
\nE allora mi sono chiesta: ma questo GDPR serve davvero a proteggerci tutti come utenti dagli occhi indiscreti o \u00e8 solo una maniera legale di imbavagliare la rete?<\/p>\nCosa prevede questo GDPR<\/span><\/h2>\n
\n
\n
\n(tutte le volte che sento nominare il Privacy Shield mi vengono in mente gli eroi dei fumetti di casa Marvel \ud83d\ude00 )<\/p>\nChi deve adeguarsi<\/span><\/h2>\n
\nMa qui inizia la confusione.<\/p>\n
\nVa di conseguenza che anche un blog semplice come questo, pur senza inserzioni pubblicitarie (di solito mirate all’utente), senza alcuna vendita (e quindi dati di pagamento), ma con la sola gestione degli indirizzi email per i commenti e l’iscrizione alla newsletter (e l’indirizzo email \u00e8 un dato personale dell’utente) deve comunque adeguarsi a questa nuova legge.<\/p>\nCome mettersi in regola<\/span>
\nLa diligenza del buon padre di famiglia<\/span><\/h2>\n\n
\nUna volta redatto il nuovo testo della privacy policy<\/strong><\/span>, che spieghi appunto in maniera chiara e concisa come trattiamo i dati personali dei lettori, l’articolo 32 \u00e8 quello che maggiormente ci interessa del GDPR, perch\u00e9 quello che vogliamo ora \u00e8 il consenso dei nostri lettori su come tratteremo i loro dati personali:<\/p>\n
\nEcco perch\u00e9 in una sola settimana sono arrivati gli aggiornamenti di praticamente tutti i plugin attivi: ognuno di loro stava a sua volta inserendo le modifiche per il GDPR. Ed ho dovuto testarli nuovamente tutti quanti!<\/p>\nLa confusione con la Cookie Law<\/span><\/h2>\n
\nPurtroppo non \u00e8 vero, e credo ve ne siate accorti pure voi.<\/p>\n
\nLa maggior parte dei plugin per visualizzare questi messaggi salvava gi\u00e0 i cookie sul browser dell’utente. Inoltre era sufficiente scrollare il blog per fornire un consenso tacito.<\/p>\n