Fabio Prettico
Ott 4, 2022

GDPR: novità Ottobre 2022…cosa fare?

In quest’ultimo periodo ho ascoltato, letto e seguito tonnellate di webinar, corsi, confronti, interviste e articoli inerenti all’argomento più caldo degli ultimi tempi…ossia il GDPR.

Nessuno di questi ha dato delle risposte precise e fatto chiarezza sul da farsi e la confusione l’ha sempre fatta da padrona. La problematica principale è che ha spaventato tutti, ma che è solo la punta dell’Iceberg, è quella legata a Google Analytics…possiamo usarlo o meno?

Ho capito che NESSUN Garante ci potrà dare una risposta chiara sull’utilizzo e sulla configurazione di uno strumento per via di un principio cardine che è alla base del GDPR, ossia quello dell’accountability del titolare del trattamento il quale sarà lui che dovrà decidere cosa fare e nello specifico:

  • quale strumenti utilizzare;
  • come utilizzarli;
  • come andarli a settare;
  • quali dati trattare;
  • etc…

Le Premesse (che non vi piaceranno)

Google Analytics, senza misure aggiuntive, NON può essere utilizzato il che significa che lo strumento, così come ci viene fornito da Google NON va bene così come come anche solo le impostazioni di default fornite da Google NON possono essere utilizzate per essere a norma di GDPR.

Terribile vero? Siamo davvero in un bel pasticcio, ma non ci dobbiamo preoccupare oltre misura.

Cosa dicono le Linee Guida?

Da quello che ho capito e che è alla base di tutto questo grandissimo casino è che:

  • La Configurazione di Google Analytics deve evitare il trasferimento dei dati fuori dall’UE.

Su questo punto recentemente si è pronunciato il Garante Danese il quale ha detto che se il Titolare del Trattamento ritiene che sia possibile utilizzare GA in modo corretto, può farlo e che in ogni caso dovrà documentare nel dettaglio come l’ha fatto di modo da poter dimostrare quel tipo di attività in caso di un eventuale controllo.

Così facendo, come potrebbe sembrare, ha scaricato la responsabilità sul Titolare del Trattamento rifacendosi al principio di accountability.

Dal momento che nei mesi scorsi avevano tutti discusso sulla questione di Universal Analytic (il vecchio GA che tutti utilizzavamo e che verrà dismesso a Luglio 2023), il Garante Danese si pronuncia anche in merito al nuovo GA4 parlando di “pseudo-animizzazione” del dato in quanto il dato che ha in pancia GA è impossibile che non possa più essere riconducibile ad un soggetto (persona fisica) per via della marea di dati che Google ha a disposizione. Detto questo non è quindi sufficiente la pseudo animizzazione o cifratura del dato così come poteva sembrare e questo ha gettato un velo di tristezza su tutti.

Perché occorre adeguarsi al GDPR?

Dobbiamo iniziare a capire che quando parliamo di GDPR non stiamo parlando solo di Google Analytics, ma di tutti quei processi legati al trattamento dei dati che ne prevedono il trasferimento fuori dalla UE e che quindi riguardano qualsiasi strumento:

  • Strumenti di email marketing;
  • Gestionali;
  • Strumenti per fissare le call;
  • Zoom/Google Meet (che mostrano il nome dell’utente durante la videochiamata);
  • Gmail  e Gsouite o Microsoft se si ha il salvataggio dei documenti in cloud;
  • etc…

Il problema è molto più ampio e ogni Garante pare possa decidere autonomamente in merito al proprio paese.

Alcune Riflessioni:

I vari Garanti non hanno dato e non daranno molto probabilmente una risposta chiara e certa su GA e in generale sul trasferimento dati fuori UE perché se lo facessero si aprirebbero infinite discussioni e dovrebbero poi dare indicazioni su come settario, quanto dover scendere in profondità nella ripulitura del dato, e tantissime altre cose specifiche senza una fine.

Va detto che se ci dicessero chiaramente che NO non si possono più utilizzare i vari strumenti di Marketing che attualmente tutti utilizziamo (essendo il 99% americani), in quel caso sarebbe un casino totale perché questo vorrebbe dire tornare al vecchio modo di fare marketing con l’uso di cartelloni pubblicitari e carta stampata.

È richiesta una scelta strategica

Nell’ottica di continuare a utilizzare strumenti che trasferiscono i dati fuori UE, da qui in futuro le aziende dovranno mettere in conto una sempre maggior presa di responsabilità da valutare a seconda dei vari obiettivi di business.

Ad oggi siamo, vista la situazione attuale, TUTTI siamo passibili di una sanzione perché stiamo portando avanti un trattamento che di fatto è vietato da ormai 2 anni (dal 16 luglio 2020 non è più valido…e quindi non esiste più…il Privacy Shield).

E allora che si fa?

Dal momento che non è possibile tornare al pre-digitale occorre però fare una scelta strategica (il massimo possibile) attraverso alcune azioni del tipo:

  • Mettere a norma con il registro del trattamento;
  • Definire nel dettaglio il trattamento, i soggetti interessati, le modalità del trattamento, la durata del trattamento;
  • Effettuare, insieme al proprio legale un’analisi del rischio.

Da quello che ho capito, ogni trattamento automatizzato necessita di una analisi del rischio la quale è poi quella che potremo mostrare in caso di controllo per dire che noi l’analisi l’abbiamo fatta e che questa ci ha dato un rischio basso (esempio).

Il concetto alla base di tutto è quello di avere a disposizione una documentazione in grado di GIUSTIFICARE un trattamento nella maniera più dettagliata possibile, posto che il trasferimento dati fuori UE oggi NON è possibile.

In questo modo, di fronte ad un controllo e a un giustificativo il più ampio possibile, l’accountability del titolare sarà in qualche modo rispettata il più possibile.

L’alternativa sarebbe quella di passare tutte le attività di marketing su strumenti EUROPEI che trasferiscono e gestiscono dati SOLO in Europa o su nostri Server, cosa che sappiamo essere impossibile nel 99% dei casi.

Google Analytics è la punta dell’iceberg

Come dicevamo Google Analytics è solo la punta dell’iceberg perché il GDPR parla di un problema legato a QUALSIASI trattamento dati.

Ogni volta che trasferiamo dati fuori UE o utilizziamo uno strumento come anche solo Zoom (che mostra il nome cognome della persona con cui stiamo dialogando) e andiamo a registrare quel video, di fatto stiamo violando il GDPR.

Non è possiamo chiudere tutto ma occorre ragionare sul come trattare questi dati, sul fatto che più siamo a norma e ci siamo adoperati per adeguarci al GDPR online e offline (soprattutto) e più possiamo limitare l’eventuale esborso di una sanzione (se mai ci sarà…dubito) e in generale gestire in modo corretto il trattamento dei dati.

Professionisti e Freelance…CHE FARE?

Dal momento che sono un professionista del settore del marketing, mi trovo a dover lavorare per i miei clienti con strumenti che, come abbiamo visto,  trasferiscono dati fuori dalla UE. Vorrei spezzare una lancia nei miei confronti e di tutti i vari professionisti nel senso che questo tema è molto delicato e non può essere un tema che posso gestire in prima persona.

Il cliente, anche se poco digitalizzato o non ha competenze specifiche, deve essere RESO PARTECIPE di quello che succede per diversi motivi:

  • Perché è sua responsabilità (essendo suo il business);
  • Perché in caso di problemi non è giusto che venga a lamentarsi da noi sul cosa è stato fatto come se fosse all’oscuro di tutto.

Ecco perché è bene rendere PARTECIPE il Titolare (cliente) ponendo a LUI le scelte strategiche che lui stesso dovrà valutare e, nel caso, accettare in modo tale da ci permette di dimostrare un domani, in caso di problemi, che era al corrente di tutto e lo ha confermato prendendosi le sue responsabilità e RIDUCENDO al minimo la responsabilità di chi sta facendo il suo lavoro e che però NON è quello di fare consulenze legali, ma di rettare strumenti, occuparsi della comunicazione e del marketing.

A quanto pare a Marzo arriverà il nuovo Privacy Shield (accordo tra USA e UE) e quindi tutto questo potrebbe subire ulteriori variazioni.

Staremo a vedere e intanto incrociamo le dita!!!

No Comments InGDPR