Sul web i nostri dati personali sono al sicuro?

Privacy, GDPR, vita digitale: quando navighiamo sul web i nostri dati personali sono davvero al sicuro?

Con il diffondersi di siti e piattaforme on line nei settori più diversi, la maggior parte di noi si è registrata in un portale di e-commerce, ha attivato una o più utenze digitali per la gestione dei servizi individuali (luce, gas, telefono), per fruire di musica, film o vedere lo sport tramite lo streaming, oppure ha dovuto registrare il proprio figlio ai servizi 2.0 della scuola (registro elettronico, gestione della mensa, etc.) senza considerare tutti i social network che usiamo ogni giorno e che, se sono gratis, è proprio perché li ripaghiamo cedendo loro costantemente i nostri dati personali. Quale sia stata la necessità di iscriversi ad una qualsiasi piattaforma, la sostanza non cambia: abbiamo un’identità digitale e forniamo regolarmente “dati sensibili” a soggetti terzi per poter fruire dei loro servizi. Ma quanto ne sappiamo di questa cessione dei nostri “dati”? Possiamo sapere se chi li usa è in regola con gli adempimenti previsti dalla legge? Quali sono questi obblighi che le società hanno nei nostri confronti? Dal portale di shopping on line più importante al mondo, al sito internet della bocciofila del paese, per essere sul web bisogna rispettare delle regole e gli utenti hanno tutto il diritto di rivolgersi ai responsabili del trattamento dei dati personali nel caso questo non avvenisse. Abbiamo chiesto all’avvocato Francesca Bassa, docente, attiva nel campo della data protection e cybersecurity da circa un decennio e consulente di varie multinazionali, di aiutarci a saperne di più di una materia che interessa tutti noi e che si evolve con estrema rapidità perché il web, per sua natura, è in continuo cambiamento. L’emergenza sanitaria ha portato molte aziende a potenziare la loro presenza sul web, spesso implementando i loro siti istituzionali e di e-commerce. Ma, nella fretta di “esserci”, non sempre si presta particolare attenzione all’adeguamento normativo e di tutela della privacy obbligatorio per legge. Da esperta, quanto ritiene sia diffusa questa dimenticanza e quanto potrebbe incidere, negativamente, sull’azienda inadempiente? Il GDPR (“Regolamento Ue n.679/2016) è entrato ufficialmente in vigore nel maggio del 2018, ma sono ancora molti i siti che non rispettano i parametri stabiliti dalla legge. E’ facile cliccare su siti internet con privacy policy non adeguate e incomplete, trovarsi su banner che non rispettano i provvedimenti del Garante in materia di cookie, imbattersi in attività di profilazione o di analisi svolte senza il consenso dell’utente. Si potrebbe dire che un’azienda, o un privato, che è online senza tener conto della privacy è “out”. Non solo perché è obbligo di legge adeguarsi al GDPR (e quindi nessuna azienda può fare eccezione), ma anche perché chi intende fare business sul web non può tralasciare, in un mondo lavorativo avviato alla trasformazione digitale, la propria reputazione e immagine. Un sito internet che non garantisce la protezione dei dati personali è oggi più che mai non affidabile e non competitivo. Il digitale è un mondo particolarmente fluido dove, secondo molti, le regole ci sono, ma possono essere interpretate con una certa elasticità. E’ proprio così? Prima di investire migliaia di euro per un sito professionale, quindi non realizzato dall'immancabile cugino, occorre informarsi con molta attenzione sulle normative vigenti che spesso hanno valenza europea, come nel caso del GDPR sul trattamento dei dati personali? Si è soliti pensare che nel web non esistano regole, ma non è cosi e il GDPR ne è l’esempio. Quando si affida la creazione di un sito internet all’informatico è necessario “pensarlo” anche in termini legali e di adeguamento: uno dei principi del GDPR è infatti la cosiddetta. “privacy by design”. Significa che nell'intero ciclo di progettazione del sito internet è necessario tenere conto delle operazioni di trattamento dei dati degli utenti affinché queste siano conformi alla normativa vigente. Nella mia esperienza, per realizzare un sito internet si dovrebbe sempre preventivamente consultare un giurista esperto in digitale. In caso contrario, il sito internet risulterebbe “zoppo” e non garantirebbe un livello di serietà. Ci sono anche molte agenzie di comunicazione e di marketing che puntano più sugli strumenti con cui promuovere il cliente, ma trascurano l’aspetto giuridico e legale del loro utilizzo. C’è bisogno di maggiore consapevolezza sul tema o, nell’ottica del risparmio, è comprensibile che alla fine non si tenga in debito conto il percorso di formazione e aggiornamento necessario alla professione? Gli strumenti di marketing sono importanti, ma è altresì fondamentale saper scegliere quelli che offrano garanzie tecniche e legali elevati. E’ per questo che è fondamentale affidarsi a fornitori che abbiano messo in moto un processo di adeguamento GDPR serio. Le agenzie di comunicazione e di digital marketing sono tenute a dimostrare al cliente di essersi adeguate al GDPR offrendo sia garanzie organizzative, sia tecniche in conformità con la legge. Inoltre, nel caso in cui trattino dati su larga scala e compiano attività di profilazione per conto del cliente, le agenzie devono aver provveduto alla nomina di un data protection officer. Si consiglia di seguire corsi di formazione in materia di protezione dati e di istruire i propri dipendenti e collaboratori alla normativa in modo da assicurare che le attività siano svolte in conformità con il regolamento. E’ raccomandato ai privati e alle aziende, prima di affidarsi ad un’agenzia, di verificare se questa tenga conto della legge sulla privacy, stipulando appositi accordi sulla gestione dei dati. Anche le campagne marketing online devono essere predisposte in conformità con la legge e i regolamenti. La pandemia ha convinto molti piccoli imprenditori ad aprire siti di e-commerce più o meno improvvisati per adeguarsi alla sempre maggiore richiesta del mercato. Prima di buttarsi in questa avventura in maniera un po’ brancaleonica, cosa consiglia debbano fare per muoversi su un terreno solido e non buttare i loro soldi in un’impresa fallimentare? In primo luogo l’imprenditore è tenuto seriamente a valutare la professionalità dei propri consulenti e a verificarne le competenze, ad esempio sottoscrivendo un incarico di consulenza e un accordo di protezione dati ai sensi del GDPR al fine di manlevarsi da eventuali responsabilità. In secondo luogo, al fine di contenere i costi è necessario compiere un’analisi tecnica accurata che tenga conto se convenga per davvero avviare un’attività di vendita online: oggi, ad esempio, esistono già piattaforme “pre-confezionate” come i marketplace (es. Amazon, Alibaba) che consentono la vendita diretta senza dover per forza aprire un proprio e-commerce. Uno dei modi per farsi conoscere sul web è quello di farlo in modo consapevole. Creare un sito internet, aprire un e-commerce, gestire una pagina aziendale su Facebook richiede la conoscenza degli strumenti informatici e sensibilità rispetto la protezione dei dati personali. Quali sono le questioni legali che, da avvocato esperto di digitale, si trova a dover affrontare con le aziende per le quali lavora? Il GDPR è una normativa complessa, soggetta a nuove interpretazioni e dipende dai pareri dell’European Data Protection Board e del Garante Privacy. E’ necessario avere cultura della materia e appassionarsi per poter restare sul pezzo. Uno dei compiti di un buon consulente è quello di offrire soluzioni pratiche e mirate. Le questioni sono diverse: istanze da parte di utenti non soddisfatti, violazione di dati personali (“data breach”), gestione contrattuale, supervisione degli aggiornamenti normativi, attivarsi in caso di crisi e consigliare il cliente come avviare procedure corrette di trattamento, assisterlo in caso di diritto all’oblio. Affrontare un buon adeguamento GDPR, non è solo produzione di documenti (l’informativa privacy): tale adempimento migliora la credibilità dell’azienda; incentiva le opportunità di lavoro; anticipa i rischi, non solo legali ma quelli IT e consente di affrontare crisi ed eventuali violazioni dei dati da parte di competitors o terzi. Parlare di privacy è obsoleto, spesso riduttivo, perché è più corretto parlare di “tutela dei dati personali” che sono essenziali per il funzionamento dei siti di e-commerce o per l’attività di un’agenzia di comunicazione. Esiste un parametro per dare valore a questi dati e, di conseguenza, per definire gli investimenti necessari a proteggerli? Il GDPR tutela i dati personali delle persone fisiche e le operazioni di trattamento compiute su di essi; significa che il GDPR ha la funzione di rafforzare il controllo dei dati da parte degli utenti e aumentarne il loro valore sancendo il divieto a trasformare il dato in monetizzazione. Sicuramente questa sarà la sfida dei prossimi anni. Ciò che si consiglia alle aziende è quello di raccogliere dati e di incrementare le loro banche dati con buon senso rispettando i parametri legislativi. Se ad esempio si vuole dare avvio a una campagna di advertising sarà importante tenere conto dei paletti della legge e, ogni tanto, organizzare dei piani di “manutenzione” sui propri database cancellando i dati raccolti in modo illecito o che sono diventati ormai obsoleti e inesatti.

Riccardo Santagati

 

L'avvocato Francesca Bassa

L’avvocato Francesca Bassa è un avvocato del Foro di Asti e Delegato Federprivacy per la Provincia di Asti. Privacy Officer certificato, si è laureata in legge a pieni voti all’Università Bocconi di Milano e ha successivamente conseguito un Master in Sicurezza delle informazioni all’Università La Sapienza di Roma. Attiva nel campo della data protection e cybersecurity da circa un decennio, ha lavorato a Roma e Milano in contesti internazionali e per multinazionali del settore internet. Assiste aziende su tutto il territorio nazionale per progetti di adeguamenti normativi e GDPR. E’ docente di alta formazione in ambito privacy, collabora con Università ed Enti. E’ socia fondatrice dello Studio legale Bd LEGAL di Milano (bd-legal.it) e collabora con lo Studio legale Florio di Asti.