Errori nelle informative privacy e cookie policy particolarmente diffusi, che forse stai facendo anche tu
Errori nelle informative privacy e cookie policy ne vedo tanti, perché ne leggo quotidianamente per lavoro e per deformazione professionale. Alcuni di essi sono dozzinali o ingenui, altri molto gravi, ma oggi vorrei parlare con voi dei più frequenti, quelli che vedo in almeno 8 informative su 10.
Fai tesoro di questo articolo per accertarti che anche tu non stia facendo degli errori molto comuni nelle informative privacy e nelle cookie policy.
Io sono Valentina Fiorenza, esperta in diritto digitale, GDPR e contratti.
1. Non averla riletta (o tradotta) dopo averla generata attraverso un servizio automatico
Molte persone creano la loro informativa privacy generandola in automatico attraverso bot e plugin sia gratuiti per wordpress che a pagamento. E fin qui, nulla questio, ognuno decide come affrontare la propria attività d’impresa.
Tuttavia è sempre bene fare attenzione perchè, qualsiasi cosa ci sia scritta su quella informativa, ne siete responsabili VOI.
Motivo per cui: 1. è bene che tale informativa sia corretta e corrispondente agli effettivi trattamenti che vengono effettuati, quindi rileggiamo il tutto;
2. se i plug ai quali vi siete affidati generano il documento o meglio, la pagina con l’informativa più o meno personalizzata, in inglese e i nostri lettori sono italiani rileggiamolo e, per favore, traduciamolo.
La prima regola del GDPR, non è, come per il Fight Club, che non esiste il GDPR, ma che le informative servono per informare e devono essere chiare. Quasi a prova di tonto.
2. Avere una sola informativa per la newsletter e per l’accesso al sito
Ripetiamo insieme: raccogliere dati tramite un sito è una cosa, raccogliere dati tramite newsletter è un’altra.
Si tratta di trattamenti, in genere, diversi (spesso e volentieri i trattamenti effettuati mediante newsletter sono più spiccatamente di marketing, mentre quelli effettuati tramite sito sono commisti perchè servono, ad esempio, a concludere i contratti o a dare risposte alle richieste degli utenti). Quindi, azioni diverse, scelte diverse e… dati raccolti diversi e informative diverse.
Ogni volta che compiamo un’azione su un sito, che sia la semplice richiesta di informazioni nello spazio commenti o un acquisto, è necessario autorizzare uno specifico trattamento dei nostri dati (che no, non è una formalità).
Quindi, diverso trattamento = diversa informativa. E non scordiamoci di inserire la simpatica casellina da flaggare in ogni modulo del nostro sito in cui è necessario o utile richiedere il trattamento dei dati personali all’utente.
(NB. lo sappiamo, vero, che non possiamo iscrivere coattamente alla newsletter qualcuno che ci ha dato la sua e-mail per ricevere un freebie? Cioè, proprio no, non possiamo farla questa cosa!)
3. Non consentire di rifiutare tutti i cookie non necessari con un click
Ormai ci siamo dovuti rassegnare, sia come proprietari e autori di siti web e dunque come titolari di trattamenti che come utenti del web e naviganti di Google, che ad ogni sito che apriamo ci deve apparire davanti un banner spesso fastidioso con delle opzioni del tipo:
accetta tutto, approfondisci o similari.
Oltre a queste due voci è giusto, etico e legale (nonché facile) inserire la terza opzione: continua senza accettare, oppure Continua accettando solo i cookie necessari.
Pensaci un attimo: questa opzione, che non si capisce come mai tanti non utilizzano, permette alle persone di premere un solo tasto in pochi decimi di secondo e arrivare al tuo contenuto; quel contenuto che ti sei impegnato a scrivere e magari ad indicizzare e che potrebbe anche portare delle vendite.
Inserire questa opzione ci consente anche di “infastidire” di meno chi vuole andare subito al contenuto (lo dico nonostante, chi mi sopporta nelle mie farneticazioni online lo sa, sono promotrice del leggere e approfondire ogni volta che possiamo).
4. Ci auto-garantiamo il legittimo interesse al trattamento dati
Andiamoci piano con questa storia del legittimo interesse che con tanto zelo ci auto garantiamo nelle nostre informative provacy!
Piccolo promemoria. Cosa è il legittimo interesse nelle informative provacy?
Il legittimo interesse è una base giuridica relativa al trattamento dati in base alla quale il titolare del trattamento può ritenere opportuno, a seguito di ponderata valutazione, trattare i dati personali degli utenti senza ricorrere all’esplicito consenso degli interessati.
Vedo spesso siti web, soprattutto commerciali, con informative privacy che recitano “trattiamo i tuoi dati sulla base al legittimo interesse” o ancora “abbiamo il legittimo interesse a trattare i dati dei nostri utenti” senza altre specifiche motivazioni e questo è il primo di una serie di errori comuni.
Il legittimo interesse non va trattato con leggerezza; si tratta, di fatto, di una ponderata valutazione tra diritto e necessità del titolare del trattamento e diritti di chi naviga e non una facoltà da usare de plano.
Approfondisci qui quando puoi usare il Legittimo Interesse nelle informative privacy.
5. Non indicare la durata del trattamento
Ogni trattamento dei dati non sarà come lo yogurt o lo stracchino, ma come il latte a lunga conservazione sì.
Ha una scadenza, non brevissima (che poi anche questo è tutto da considerare in base a che tipo di dato stiamo trattando) ma che comunque è giusto che sia indicata.
Quanto a lungo il tuo sito trattiene gli indirizzi ip di chi naviga e i nomi e le e-mail di chi lascia un commento? E i dati di fatturazione di chi fa un acquisto?
Questo tempo deve essere indicato nella tua informativa, nei modi indicati dalla legge, insieme alle modalità mediante le quali è possibile chiedere al titolare del trattamento (cioè a te) di cancellarli prima del tempo previsto. Sì, anche questo è un diritto dell’interessato.
6. Non aggiornare mai la tua informativa
Anche quando fate redigere (molto saggiamente) la vostra informativa privacy e i vostri documenti legali online da professionisti nel campo dei documenti per i siti, non pensate di non dovervi mai più rimettere mano o farci di tanto in tanto una lettura per capire se è ancora tutto a posto.
Sono certa infatti che il tuo sito e blog si evolve con il tempo. A volte creiamo una newsletter che un anno fa non avevamo, oppure creiamo un e-commerce.
Inseriamo sul sito un pdf da scaricare gratuitamente che sei mesi fa non c’era, facciamo delle affiliazioni che prima non facevamo… o, come è successo, intervengono delle mutazioni della normativa o delle sue interpretazioni che, in qualità di titolari siamo obbligati a conoscere e considerare.
Questi sono tutte evoluzioni che possono comportare una frasetta in più all’interno della tua informativa sul trattamento dati e in alcuni casi, come nel caso della newsletter e dell’e-commerce, anche di nuovi documenti (per la newsletter serve un’informativa a parte e per un e-commerce servono condizioni generali di vendita).
Potrebbe interessarti anche “GDPR per un blog: come mettere il blog in regola“
Ora, buona parte di questi errori sono dovuti principalmente al fatto che molte informative privacy non sono redatte da professionisti (e noi avvocati esperti in diritto digitale che stiamo qui a [studiare ogni giorno ogni nuovo aggiornamento a…] fare?).
Inutile ribadire che buona parte degli errori più grossolani sono legati al principale e più dozzinale di tutti gli errori, cioè il fare un copia-incolla dalle informative di altri siti web.
In tal caso, lo dico sempre, almeno cambiate i dati del titolare del trattamento perché a volte vedo copiare anche quelli e questo vi mette di fronte a problemi serissimi perché se indichi un indirizzo che non è il tuo e persino, a volte, un nome che non è il tuo, vai incontro, nella migliore delle ipotesi, ad un problema reputazionale piuttosto grave nei confronti dei tuoi utenti. E poi sì, anche problematiche con la legge.
Scopri 5 modi per creare (bene) la tua informativa privacy