GDPR per un blog: valgono le stesse regole che per un sito web che vende prodotti?
Devo adeguarmi anche io, “semplice” blogger? La risposta è sì. Sul come e sul perché, ti spiego tutto o quasi in questo articolo.
Non si contano i messaggi che ricevo in direct dalla mia community di Instagram in cui mi si chiede “Ma io ho solo un blog, non vendo niente e non raccolgo dati: devo adeguarmi al GDPR? Devo fare anche io tutto lo spiegone su come tratto i dati e fare il banner per i Cookie?”.
Ad essere sincera, questi messaggi erano massivi qualche mese fa, ma dopo l’enorme mole di storie (ora in evidenza alla voce BLOG) in cui ho approfondito il tema pur cercando (con insuccesso) di non fare terrorismo psicologico a blogger, forse sono un po’ diminuiti.
Tuttavia mi sento comunque in dovere di chiarire la posizione di coloro i quali hanno “solo un blog” in merito all’adeguamento alla normativa sulla gestione dei dati sensibili e relativa informativa.
Cosa vuol dire avere “solo un blog”?
Mi ha sempre stupito la posizione di chi crede di avere “solo” un blog, che per quanto possa essere povero (e mai del tutto privo) di elementi legati alla raccolta di dati personali è pur sempre un potentissimo mezzo di divulgazione di informazioni.
Tanto per cominciare, un lettore prima di arrivare ad un blog, passa spesso dai più grandi aggregatori di dati personali, cioè i motori di ricerca o i social, e già questo deve farci capire quanto alcune informazioni sui naviganti siano importanti per il tuo lavoro di “semplice” blogger.
Ma vediamo di chiarire meglio di cosa parliamo e di come può fare un semplice-ma-neanche-tanto blogger per mettersi in regola (e farsi amare dai lettori, che apprezzeranno).
Cosa è il GDPR
GDPR sta per General data protection regulation: il GDPR è, dunque, un regolamento generale europeo sulla tutela della privacy e dei dati del navigante/utente del web, definitivamente operativo dal 25 maggio 2018 (un giorno vi narrerò del temuto Armageddon e della conferenza fiume in diretta YouTube dell’allora Garante per la Privacy Antonello Soro).
Ciò che il GDPR impone a chi è proprietario di un sito (e/o di un blog, non si sfugge) è, in generale un diritto, per l’utente, di essere informato sul trattamento dei dati che viene effettuato da un determinato Titolare del trattamento. E quindi ci troviamo a dover fare i conti con il diritto all’informazione sulle modalità di gestione dei dati di ogni portale, il diritto alla cancellazione, che permette al visitatore di chiedere in ogni momento la rimozione dei propri dati, la portabilità dei dati (si possono scaricare e trasferire dati da una piattaforma all’altra), l’obbligo di notifica in caso di data breach entro 72 ore e tante altre amenità.
Soprattutto, ciò che interessa particolarmente anche a voi blogger, è la richiesta di consenso all’uso dei dati in forma chiara, la cristallina indicazione di chi è il titolare della gestione e l’eventuale responsabile protezione dati e l’altrettanto lapalissiana possibilità dell’utente di far sì che i propri dati non vengano immagazzinati o trattati per ragioni non esplicite.
Cosa sono i Cookie
(Sulla foto: per i pochi che ancora non lo sapessero, cookie in inglese vuol dire biscotto e il biscotto è in verità la prima cosa che mi viene in mente quando parlo di cookie policy, abbiate pazienza).
I cookie sono stringhe di testo che permettono di tracciare la navigazione dell’utente e, a secondo della provenienza e della funzione, possono venire indicati in maniera differente.
I cookie che certamente preferisco sono quelli tecnici: evitano di loggarci ad ogni pagina e salvano i prodotti che mettiamo nel carrello.
Insomma, sono quelli che ci permettono di fruire del sito serenamente e senza intoppi; sono temporanei, cioè si cancellano appena usciamo dal sito.
Altri sono permanenti e rientrano in connessione con l’applicazione web ogni volta che ti riconnetti al sito. Alcuni di questi cookie sono importanti per le analytics, per farci capire la provenienza, l’età, la durata di sessione dei nostri utenti.
Questi sono, appunto, i cookie analitici.
Altri cookie invece servono a fini di marketing, per analizzare le preferenze di ogni singolo lettore e capire quale banner pubblicitario proporre all’utente di sessione in sessione, ad esempio nel caso in cui avessimo le Google Adsense, cioè i banner pubblicitari generati da Google.
Mi spiace dirvelo ma anche l’uso di questi “biscottini traccianti” è disciplinato dalla normativa.
Come mettersi in regola con il GDPR come blogger?
Una volta snocciolati dettagli più tecnici, che è sempre importante conoscere, è bene che io vi dia le indicazioni e le risposte per via delle quali siete qui, su questo articolo.
[In aggiunta, vi segnalo anche un webinar gratuito tenuto nell’ambito della manifestazione DIG.eat, in cui vi parlo nel dettaglio di Cookie & consenso].
Come posso, come blogger, mettermi in regola, al netto del fatto che sì, anche un blogger si deve adeguare al GDPR?
- Devi creare la tua informativa sulla privacy (privacy policy), adeguata ai dati che effettivamente gestisci.
Per intenderci, anche se non hai una sola pubblicità o banner ma raccogli commenti, affinché quei commenti arrivino a destinazione (cioè a te) il tuo server deve registrare nome, cognome e e-mail, cioè dati personali.
Questa informativa varia da blog a blog perché ogni blog raccoglie e gestisce dati diversi.
C’è il blog che ha pubblicità e il blog che non ne ha, c’è il blog che ha affiliazioni, c’è chi gestisce i commenti attraverso la registrazione al sito, come su detto, e chi accetta i commenti tramite registrazione a mezzo social, che è diverso. *Ecco, questo è il motivo per cui ti sconsiglio il copia-incolla delle informative. Magari uno fa un trattamento dati da multinazionale e te lo copi tu che gestisci 3 dati in croce. Non mi sembra sensato, non trovi?Ah, per inciso, se poi non riesci a resistere all’impellente impulso di copiare i documenti altrui, per favore, accertati di cambiare i nomi in ogni parte dell’informativa* - Se invii una newsletter devi raccogliere i dati di utenti e questi ultimi devono darti un consenso specifico per ricevere questa newsletter.
Attenzione, amici cari, perché il consenso generale al trattamento dei dati è diverso dal consenso all’invio della newsletter.
Serve dunque un’informativa newsletter da poter “flaggare” quando un utente decide di registrarsi per la ricezione della tua.
Anche se la tua newsletter non manda promozioni commerciali ma solo un riassunto dei tuoi ultimi articoli, questo consenso esplicito e relativa informativa sono comunque consigliabili. - Devi avere il cookie banner in regola.
I cookie banner, vi prego, fateli bene. Chi mi segue (saggiamente) su Instagram sa che da anni conduco una battaglia personale contro i banner in cui è già tutto flaggato, sia per i cookie necessari che per quelli non necessari. Il cookie banner deve permettere all’utente, in maniera estremamente chiara, di accettare o rifiutare i cookie; accettarne tutti o solo alcuni. Insomma, non sta lì giusto come pro forma ma è uno strumento di controllo concesso dalla legge. *No, quei meravigliosi banner di default che dicono una cosa simile a “su questo sito sono in uso i cookie per migliorare la tua esperienza di navigazione e assumiamo che tu ne sia felice” non vanno bene. E no, non sono assolutamente felice di vederli*
Questo banner, se serve, facciamoli fare dai professionisti. È bene, ribadiamolo, che l’utente possa accettare i tipi di cookie diversi da quelli tecnici necessari che sono gli unici a poter essere preflaggati per ammissione del Garante stesso. - In questo articolo, per renderti il meccanismo più semplice, ti indico 5 modi per creare una informativa privacy conforme al GDPR.
- Facciamo controllare la nostra situazione da professionisti delle leggi sul web.
Tra questi, ci sono io, severa, bionda ma giusta.
Se vuoi un aiuto per metterti in regola con la tua informativa privacy, GDPR, annessi e connessi, contattami.