Tutto quello che c’è o ci sarebbe da sapere sulla consulenza legale GDPR: a cosa serve realmente, chi fa cosa, quali procedimenti mettono a norma un sito web, che si tratti di un grande portale, di un “semplice” blog (un blog non è mai “semplice”), o un sito portfolio personale.
Il GDPR, cioè Regolamento generale europeo sulla protezione dei dati (GDPR, dall’inglese General Data Protection Regulation) è un regolamento del 2016 che prevede il corretto trattamento dei dati degli utenti da parte dei titolari del trattamento;
adeguarsi a questo regolamento vuol dire da un lato dare ai propri lettori il controllo sui propri dati e la reale possibilità di scegliere in che modo farli gestire dai proprietari dei siti web nei quali si imbattono (che, in genere, appunto, rivestono la figura di titolari del trattamento) dall’altro, per chi ha un sito e quindi tratta dati, è un modo per evitare pesanti sanzioni.
Rispondo ad alcune domande che i proprietari di siti web di ogni tipo pongono molto spesso in merito ad una consulenza legale per adeguare a dovere il proprio portale al Regolamento Europeo sulla Protezione dei dati.
Io sono l’Avv. Valentina Fiorenza, esperta in diritto digitale, GDPR, marchi e affiancamento legale per professionisti e aziende.
Come “funziona” una consulenza legale per l’adeguamento di un sito al GDPR?
Ogni sito web è diverso da un altro, ogni sito web usa plugin diversi, widget diversi, afferenti a diverse società, che archiviano i dati in paesi diversi, anche quando si tratta di plugin e widget con lo stesso scopo.
Alcuni siti sono di informazione, e accettano commenti agli articoli, altri legano lo spazio commenti al plugin di Facebook o di un altro social. Alcuni siti e blog hanno una newsletter, altri hanno un e-commerce. Alcuni hanno dei moduli contatto che raccolgono indirizzi e-mail, altri ancora hanno pop up di inserzioni pubblicitarie o affiliazioni.
Ognuna di queste caratteristiche corrisponde a diversi punti da inserire nei documenti legali necessari per adeguarsi al GDPR.
La prima cosa che avviene durante una consulenza legale per adeguare un sito al GDPR, è un piccolo ma accurato “audit” dei dati che il sito tratta.
Molti titolari di siti web, soprattutto quelli creati e gestiti da una sola persona (che non è un web developer o che non ha competenze di web marketing) non hanno idea di quali sono i reali dati raccolti e da chi.
Un legale esperto in GDPR e documenti legali per i siti web, può fare domande specifiche e raccogliere informazioni, che poi convoglieranno nei documenti legali corretti per ogni singolo sito web.
Alla fase di audit e analisi, che può essere fatta tramite questionario o con un vero e proprio video colloquio molto dettagliato (nel mio caso la scelta è alternativa in base alle necessità del cliente e alla dimensione dell’organizzazione), segue la redazione del o dei documenti necessari, ovviamente dopo aver reso trasparente e chiaro il costo definitivo del servizio (dei costi della consulenza legale GDPR parliamo nel dettaglio nell’ultimo paragrafo).
Ma prima è bene spiegare cosa può fare e cosa non può fare un consulente legale che ti aiuta a mettere a norma il tuo sito web:
Cosa può fare un consulente
- analizzare con te i dati effettivamente trattati
- fare un elenco di documenti dei quali hai bisogno sul tuo sito, in base all’analisi del sito stesso
- redazione dei documenti necessari
- fare periodiche revisioni dei documenti (perché sì, è saggio ricontrollare perché i plugin dei siti possono cambiare e anche la normativa).
Cosa NON può fare un consulente legale per il tuo adeguamento al GDPR
- entrare nel tuo sito web: una volta ricevuti i documenti, il titolare del sito dovrà pubblicarli nei luoghi preposti, al netto del fatto che il consulente dà delle indicazioni in merito.
- Garantire che quanto scritto nell’informativa oggi, sia del tutto corretto tra un anno o due: serve fare periodiche revisioni e, ovviamente, anche queste vanno concordate in costi e modalità.
Devo fare una consulenza legale anche se ho un semplice blog personale?
Del motivo per cui un blog personale, da un punto di vista di raccolta dati sensibili, non è affatto “semplice” ne ho parlato in modo più approfondito in questo post.
Di certo un blogger, anche solo per hobby, ha il dovere di inserire nel suo blog, in posizione visibile in ogni pagina (ad esempio nel footer) una informativa privacy e la cookie policy, rispettando gli standard richiesti di chiarezza e trasparenza.
Che queste informative siano create da un legale esperto in GDPR o da un tool gratuito o a pagamento, l’importante è che siano corrette.
Meglio una consulenza legale o un tool automatico per adeguarsi al GDPR?
I tool e i plugin, gratuiti o a pagamento, che generano informative per i siti web, hanno vantaggi e svantaggi.
Pare un paradosso, ma io, da legale, consiglio l’utilizzo di tool automatici solo a persona che conoscono molto bene il mondo dei plugin, dei widget, e che in genere non si spaventano davanti a codici html e java.
Questo perché, affinché un’informativa generata automaticamente da un tool sia corretta, bisogna saper rispondere a delle impostazioni del tool stesso in modo circostanziato, cioè bisogna saper gestire bene tutte le impostazioni del tool. Oltre, chiaramente a conoscere a menadito il proprio flusso di dati.
Sono spesso stata contattata come consulente per fare “revisioni” di informative cookie e privacy generate da tool e praticamente… erano tutte da rifare.
La “colpa” non era certo dei tool, ma dalle impostazioni approssimative fatte dai proprietari dei siti web.
Ah, una piccola postilla a riguardo: se leggete le condizioni contrattuali dei maggiori tool, troverete un piccolo insignificante dettaglino: non si considerano responsabili dell’informativa fornita. Il che vuol dire che, in caso di errori, problemi, sanzioni, sarete voi gli unici responsabili per quanto scritto.
Inoltre i tool gratuiti spesso generano delle informative in inglese, e questo non è del tutto conforme ai parametri di chiarezza e trasparenza laddove il blogger si rivolga ad un pubblico italiano, ad esempio,
Dunque, se si sceglie di usare un plugin gratuito è bene poi tradurre il testo che i lettori leggeranno.
Per generare un’informativa cookie o una privacy policy a norma, però, che si usi un tool a pagamento o gratuito, è necessario riempire tutti i campi richiesti dal plug in stesso (elenco dei widget usati, tipo di dati raccolti, tempi di archiviazione dei dati); il plugin non genera da solo un’informativa corretta, ma serve dare al plugin stesso tutti i dati corretti relativamente alla nostra gestione dati, dagli indirizzi IP alle mail ecc.
Attenzione ai “blog semplici” che raccolgono indirizzi per invio di una newsletter: la newsletter ha bisogno di un’informativa a parte perchè si tratta di un trattamento diverso rispetto a quello principale.
Una consulenza legale con una persona che analizza con te il tuo sito ti permette ad esempio di sapere, in base a come il tuo sito è strutturato in un preciso momento, di avere un elenco di documenti da inserire per essere conformi, il luogo del sito e la modalità per rendere questi documenti fruibili.
Quanto costa una consulenza legale GDPR
Ovviamente, alla luce di quanto possono essere diversi, complessi e vari i siti web con tutti i dati trattati, la risposta è “dipende“.
Ad esempio, se un sito ha un e-commerce e una newsletter, il sito avrà bisogno di 4 documenti legali: privacy, cookie, informativa newsletter e condizioni generali di vendita, di base, senza considerare gli eventuali rapporti con i soggetti terzi.
Un sito-blog business senza newsletter e senza e-commerce avrà bisogno solo di cookie e privacy policy.
Un’organizzazione più grande, oltre alla redazione, può avere decisamente bisogno di un consulente che, dopo aver redatto i documenti, possa periodicamente revisionarli in base alle nuove norme europee, ai nuovi plugin e widget inseriti sul sito, alle nuove esigenze dell’organizzazione stessa.
Diciamo che una consulenza legale GDPR, come ogni servizio prestato da professionisti, ha un costo variabile, sempre a seconda della complessità del progetto.