Cookie e privacy: sono tutti concentrati sul banner, ma non guardano il resto…

27 luglio 2022Ultimo aggiornamento 23 settembre 2022
Tempo di lettura stimato: 4'
Nell’ultimo articolo sui cookie e la privacy nei siti web e nelle App, ho parlato del rapporto fra DPO e Responsabile Marketing. Se non lo hai ancora letto, ti consiglio di dare un’occhiata e di tornare qui, perché quello che ti dirò in questo articolo è strettamente collegato al precedente.

Fatto?
Bene. 

Ci siamo lasciati con una riflessione: il DPO – ma anche il Consulente Privacy - non deve essere un Messia che vieta di fare le cose. Non deve essere un nemico per il Responsabile Marketing. Ma dovrebbe essere piuttosto una figura di accompagnamento, qualcuno che sia capace di ascoltare quello che i Responsabili Marketing dicono. Quindi dovrebbe partire da una domanda che non è “Cosa fai?" ma, piuttosto, “Cosa ti piacerebbe fare? Qual è il tuo obiettivo?” E insieme lavorare per arrivarci. 

Fin qui tutto bellissimo.
Peccato che, però, ci siano anche loro: i tecnici informatici, i tecnici web, quelli che installano le cose.
 

Quali cookie abbiamo? Chiedilo al tecnico che ha fatto il sito… 

Il tecnico è quello a cui, normalmente, il Responsabile Marketing chiede: 
"Ma noi che cookie abbiamo?"
E l’altro risponde: "Ma noi cosa facciamo?"

E si resta fermi lì. Non si va oltre. Si resta in uno stallo che impedisce una reale conformità. 

Allora, anche qua, è tutta colpa dei tecnici? In un mondo ideale dovrebbero essere loro ad essere formati anche sul trattamento dei dati. 

Ed è sicuramente una mancanza nelle scuole e nelle università.
Si studiano il trattamento dati e le relative implicazioni a Giurisprudenza - ci mancherebbe altro - ma perché a Ingegneria del Software no? O perché si studia solo in alcuni casi?
Male. Studiarli serve. Perché questi poi diventeranno programmatori…

Quindi anche con i tecnici bisogna cominciare a parlare: il DPO deve saper parlare anche con loro.

Bene. Queste 3 persone – Responsabile Marketing, tecnico, DPO – parlano. Tutto bellissimo. 

Peccato che, ancora, siano concentrati solo sul banner cookies…

Stanno tutti a guardare il cookie banner, ma siamo sicuri che sia la giusta prospettiva per gestire il problema?

Teniamo fuori la coda e intanto la testa la mettiamo sotto la sabbia.

Hai il cookie banner? 
Bene. Ma siamo sicuri che basti? 
Chiariamoci, non è che voglio sottostimare il banner cookie, anche ELMO, il nostro tool ce l’ha, però, guardare solo a quello è riduttivo. 

Magari un’azienda ha il banner, ma poi mancano l’informativa della newsletter, la privacy policy… Va in giro pensando di avere lo smoking e invece è solo in mutande (e per di più, sporche…). 

Perché? 
Perché ci sono mille cose da fare, centinaia di persone da gestire, si fanno cose complicatissime… E quando arriva il momento di fare l’adeguamento, si va dal tecnico e gli si dice “Dai, mettimi su sto banner sul sito, non mi interessa cosa, metti su sto banner che ho altro da fare…”

Siamo tutti concentrati sul banner. Testa in basso e coda fuori: 

 
A me, è una posizione che non piace tantissimo...  

Siamo sicuri che restare concentrati sul banner sia la giusta prospettiva?
Secondo me, se si guarda solo lì, si sbaglia.

Ti ribalto la cosa. Cosa faresti se, invece di un sito web, si trattasse di installare un impianto di videosorveglianza?  

L’accountability vale anche per i siti web e per le App

Prendiamo il caso della videosorveglianza, dell’installazione di un sistema di GPS all'interno delle autovetture aziendali, delle attività dello Human Resources… Perché in queste situazioni un DPO, un’azienda – non sempre, ma spesso – si muove gestendo la cosa in una logica di compliance corretta, in ottica di accountability, ma quando si tratta di siti e App, il discorso cambia?

Guada che non cambia.

Chi mi conosce sa che per me accountability non è responsabilità, ma è essere responsabile consapevolmente, sapendo cosa si sta facendo. È l'estensione anglosassone del termine. E vale anche per i siti web.

Se non sono consapevole di quello che faccio, se non sono consapevole degli strumenti che uso, non posso essere accountable. Punto.

È inutile dire “Io sono bravo, so le cose grandi, ma le piccole no, quelle le tralascio.”
Perché, se non sei bravo sulle piccole, non sei bravo neanche sulle grandi.

Conformità dei siti web: consapevolezza, responsabilità, competenza

Accountability, per quanto riguarda i siti web, vuol dire che devi partire da che cosa fai, dall'informativa, dalle finalità: perché stai facendo questo? Per quali finalità? Quali strumenti usi? 

Dopodiché, quando si guarderanno gli strumenti, verranno fuori sti benedetti cookie.

Dopo aver fatto questo, bisogna tenere aggiornato il registro. Perché i trattamenti che vengono fatti sul web - e sulle App! – vanno indicati nel registro!

Esempio classico: perché non c'è nel registro quella nuova App che hai messo? 
È un trattamento anche quello. È un trattamento come gli altri…

Privacy-by-design. Parti dall’inizio.
Se ormai l’azienda è partita col sito o con la app, recupera. Aggiorna il registro dei trattamenti.

Ma non lo fa nessuno… 

E a me vengono da dire le parolacce, perché – e qui parlo con i DPO e i consulenti - sei stato lì 6 mesi a fare un bel registro tutto arzigogolato e ti mancano solo 10, 20, 30 metri per una piena conformità.

Guarda che quello che metti sul sito è come una finestra su quello che l’azienda fa in casa! Se l’informativa non c’è, se è sbagliata, vuol dire che in casa non sei in regola, peggio, forse vuol dire che con i dati si stanno facendo le sporcaccionate… 

E magari, questo, è un po’ colpa anche dei DPO.
Perché noi consulenti non riusciamo a spiegarlo.

La mia è una provocazione, è vero. Ma mi sembra che manchi la giusta consapevolezza, a volte, anche fra gli addetti ai lavori. 

E, lo dico, lo ripeto e lo ripeterò sempre: la consapevolezza si acquisisce con la formazione.

Raise Academy: la formazione completa e aggiornata su GDPR, privacy e cybersecurity 

Raise Academy è l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è socio fondatore e CEO di PRIVACYLAB SRL, azienda che si occupa della produzione di PRIVACYLAB GDPR per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy