GDPR per aziende, agenzie e freelance

Il 12 marzo 2020 ho avuto il piacere di fare una lunga chiacchierata con Martina Medri, Business Developer di iubenda, il servizio online che supporta aziende, agenzie e freelance nelle pratiche relative al GDPR ed agli aspetti legali in generale.

Durante quell’intervista Martina ha risposto a 11 domande. 11 dubbi che spesso mi venivano rivolti da clienti che seguo e che volevo risolvere una volta per tutte.

Alcune domande sono nate anche a seguito della ricerca che ho effettuato sui 50 siti più popolari in Italia, per la quale ho analizzato la presenza dei tag su questi siti e le privacy policy e cookie policy delle 25 aziende italiane presenti tra i 50 siti analizzati.

Così ho raccolto quelle domande e quelle risposte, le ho suddivise in 11 video pillole che pubblicherò tra il 6 aprile e l’11 maggio sul mio canale.

Aggiornerò progressivamente questo articolo in modo che tu possa trovare sempre l’elenco di tutti i video.

Di seguito l’elenco dei video

#1 Cos’è un dato personale per il GDPR?

Martina ci aiuta a capire cosa si intende per dato personale nel contesto del GDPR e perchè dobbiamo prestare attenzione a questo concetto per il sito della nostra azienda.

Cosa deve essere riportato nel documento di privacy policy?
Ad esempio, devono essere riportati tutti i singoli dati “nome, cognome, email, ecc” o solo delle categorie?

#2 I dati di navigazione degli utenti del nostro sito sono dati personali?

In questo video, Martina ci aiuta a chiarire un dubbio diffuso: i dati di navigazione degli utenti del nostro sito (indirizzo IP, versione del sistema operativo, cronologia delle pagine visitate, ecc) devono essere considerati dati personali? Quali obblighi abbiamo rispetto al GDPR per questi dati?

#3 Nella privacy policy dobbiamo citare i nomi dei dipendenti che hanno accesso ai dati?

Quando parliamo di dati personali, tra gli aspetti che interessano gli utenti c’è anche il chi avrà accesso ai nostri dati.

Qui in genere si identificano cinque figure principali:

  1. titolare
  2. personale interno (dipendenti dell’azienda come il personale tecnico o amministrativo)
  3. personale esterno che però è stato nominato “responsabile esterno del trattamento” sottoscrivendo il cosiddetto DPA – Data Processing Agreement (in genere per Agenzie e professionisti web) – vedi https://www.iubenda.com/it/help/7720
  4. personale esterno che non ha alcun rapporto diretto con il titolare del sito, ma che ha accesso ad alcuni dati (in genere i dati di navigazione) perchè lavora per le aziende che hanno sviluppato i tag che vengono inseriti sul sito direttamente da chi il sito lo gestisce (è il caso del tag di Google Analytics, del pixel di tracciamento di Facebook o LinkedIn, del codice di strumenti di condivisione come può essere AddThis e così via)
  5. [se è stato nominato] il DPO (Data Protection Officer)

In questo video chiariamo definitivamente chi va nominato e chi no, all’interno della privacy policy.

#4 Piggybacking e la gestione dei tag che non controlliamo nella privacy

In questo video affrontiamo la tematica del piggybacking, ossia quella tecnica attraverso la quale, i tag di profilazione che inseriamo sui nostri siti web inseriscono a loro volta altri tag, che non possiamo controllare direttamente.

Come vanno gestiti questi tag nella cookie policy? Chi è il responsabile per i dati che vengono acquisiti e gestiti dalle aziende dietro a questi tag?

#5 Il privacy shield e il luogo di trattamento dei dati dei nostri utenti

Considera questo scenario: su un sito web hai un modulo di contatto per raccogliere le richieste dei tuoi utenti. Utilizzi anche Google Analytics per analizzare il traffico del tuo sito. I dati che raccogli attraverso il modulo non escono dalla tua azienda e sono utilizzati solo ed esclusivamente per evadere le richieste di contatto.

Domanda: qual è il luogo di trattamento dei dati che devi specificare sulla privacy policy? In questo video la risposta.

#6 Posso pubblicare la privacy e la cookie policy come documento unico?

Quando e come è possibile pubblicare la privacy policy e la cookie policy come un documento unico? Le due policy, quasi sempre entrambe obbligatorie, fanno capo a normative differenti. Tuttavia è possibile pubblicarle come documento unico, anche se vanno rispettate le caratteristiche che analizziamo in questo video.

#7 Reverse DNS per la lead generation: posso contattare le persone che visitano il mio sito?

Parliamo di strumenti di Reverse DNS (come Albacross, Leadfeeder, Leady o VisitorQueue, giusto per citarne alcuni).

Sono strumenti sempre più utilizzati in ambito B2B che permettono di conoscere meglio le aziende che visitano il nostro sito, arricchendo queste informazioni con altre recuperate ad esempio da LinkedIn. Abbiamo così a disposizione in alcuni casi anche gli indirizzi email di potenziali visitatori.

Ma è lecito utilizzare queste informazioni per contattare questi utenti per proposte commerciali? E cosa dire invece degli indirizzi email generici?

#8 GDPR: consigli per la gestione del consenso

Una volta acquisito il consenso da parte dell’utente (che in genere – ma non è l’unico modo – viene espresso selezionando una o più checkbox che si trovano sotto al modulo) il GDPR prevede alcune pratiche specifiche da seguire per archiviare in maniera corretta questo consenso.

Le vediamo in dettaglio in questo video insieme alla soluzione presentata da iubenda

#9 GDPR: quante checkbox obbligatorie sotto le form?

Parliamo delle checkbox che vengono inserite sotto i moduli di contatto. Sono quelle che servono per raccogliere il consenso dell’utente. Ma è lecito, dal punto di vista del GDPR, inserire una checkbox obbligatoria? E più di una?

#10 I servizi di iubenda per aziende, agenzie e professionisti

In questo video Martina presenta i servizi di iubenda come il generatore di privacy e cookie policy, la consent solution e tutti gli altri servizi a disposizione di aziende, agenzie e professionisti.

#11 DPA: il contratto che agenzie e freelance dovrebbero sempre stipulare con i propri clienti

In quest’ultimo video affrontiamo un tema molto importante per aziende e professionisti che, per i propri clienti, hanno accesso ai dati personali dei loro clienti e utenti del sito web.

Al fine di poter gestire il tutto secondo la norma è opportuno che i clienti sottoscrivano un contratto di nomina a responsabile del trattamento dei dati (DPA – Data Process Agreement). iubenda fornisce un modulo di questo contratto dal quale è possibile partire.


Lasciami nei commenti le tue domande, condividi l’articolo con qualcuno a cui pensi possa interessare e linkalo nel tuo blog se ne hai uno.