Di Iubenda, avvocati, privacy e GDPR
17 Gen 2021
Avv. Livia Passalacqua
Lo spauracchio del GDPR
Nel maggio 2018 si è cominciato a parlare seriamente di GDPR e di compliance privacy. Il GDPR, che prima sembrava non esistere (ma giuro, esisteva), è diventato lo spauracchio di molti. Ovunque campeggiavano articoli (ed annunci) sulla necessità di conformarsi alle norme sulla privacy (le stesse norme che esistevano anche prima, comunque).
Iubenda mi è subito saltato all’occhio come uno strumento utile, semplice, ed un’idea geniale: automatizzare un processo legale? Wow!
Serve davvero a qualcosa Iubenda?
Col tempo e con lo studio del GDPR però mi sono chiesta: ma serve davvero a qualcosa, Iubenda? Non fraintendetemi: sulla carta Iubenda rimane, per me, uno strumento geniale. Può drasticamente abbattere i costi dell’assistenza legale e velocizzare il processo informativo.
Ma se mi rivolgo ai micro imprenditori, ai professionisti, alle partite iva, insomma, a quella fetta di web che sa di avere bisogno di una privacy policy, che probabilmente non ha un consulente legale fisso, e probabilmente non ha nemmeno troppe risorse economiche da investire in un professionista che rediga la propria privacy policy… Ecco, Iubenda sembra la soluzione perfetta. Ma non lo è.
(E nel dubbio di sbagliarmi, ho anche ottenuto la certificazione di esperto in compliance e adeguamenti tecnici base di Iubenda).
Le basi del GDPR che mancano in Iubenda (ed ogni servizio analogo): le finalità di trattamento
Il GDPR, infatti, come spiega chiaramente Stefano Poretti in questo articolo poggia tutto il suo sistema (che sembra complicato, ma una volta studiate le basi diventa piuttosto intelleggibile) sulle finalità di trattamento dei dati.
In altre parole, IMPONE a chi raccoglie un dato (un nome, un’email, un numero di telefono, e così via…) di spiegare all’utente per cosa lo sta raccogliendo, cosa ne farà, dove lo conserverà, per quanto, e se lo cederà. Ecco, questo primo passaggio di individuazione delle finalità di trattamento, è la base del regolamento.
Eppure, nessun non-addetto-ai-lavori sembra capire davvero di cosa si tratta, soprattutto perché il GDPR non ci da un elenco chiuso di possibili trattamenti.
Utilizzare dati senza distinguere le finalità
Quindi è facile che il titolare del trattamento che non ha beneficiato di una disamina del proprio impianto privacy da parte di un professionista (un avvocato, un esperto privacy, …), raccolga dati che si utilizzeranno indistintamente per la spedizione del prodotto acquistato, per l’invio della newsletter, per la fatturazione, per offerte e promozioni, per la profilazione, per essere ceduti a partner commerciali (e potrei andare avanti) senza però che l’utente ne abbia la più pallida idea (proprio ciò che il GDPR tende a voler evitare che accada). E senza che il titolare del trattamento dei dati sappia di non poterlo fare.
Quanti form di raccolta contatti abbiamo visto con una puntuale differenziazione delle finalità di trattamento dei dati (e relative spunte per la raccolta di consensi)?
E se Iubenda è geniale (forse l’ho già detto?) perché ci da la possibilità di automatizzare la redazione della privacy e cookie policy, di gestire in conseguenza le spunte dei consensi, di preparare un registro di trattamento interno (e molto altro) sgravandoci della necessità di preparare il nostro personale template… Se non si conoscono le basi del GDPR, diventa inutile. A tratti dannoso.
Perché non si potrà essere automaticamente compliant col regolamento, per il solo fatto di avere il plugin di Iubenda sul proprio sito.
Un caso concreto, ed un consiglio finale
Recentemente, mi è capitato di fornire una consulenza ad una cliente sulla gestione del suo impianto privacy. Aveva Iubenda installato (anche la versione pro!), ma tutti i dati raccolti dagli utenti (alcuni dei quali anche dati particolari a sensi dell’art. 9 paragrafo 1 del GDPR) finivano in un unico calderone, senza che fosse possibile per l’utente scegliere (o capire) per quali finalità prestava il consenso, e se i propri dati sarebbero stati ceduti.
La verità era che i dati erano utilizzati per rendere il servizio, per il marketing, per la profilazione, e persino per la cessione a terzi. Bastava cliccare “submit” sul modulo di contatto, ed ecco che tutti i dati erano diffusi (non nell’etere, ma quasi). E se la cliente era ovviamente in buona fede, quale garanzia poteva rimanere all’utente anche sull’utilizzo che i terzi cessionari avrebbero fatto dei suoi dati?
Insomma, Iubenda è geniale, ma se non conoscete il GDPR, vi serve comunque una consulenza legale.
Se vuoi saperne di più, puoi scoprire Soluzioni MPMI
