UPDATE: Nonostante la mia migrazione su WP ho deciso di mantenere questo articolo in modo che possa riusultare comunque una guida utile per chi utilizza per il proprio blog la piattaforma Blogger.

Tutte negli  ultimi mesi avrete sentito parlare di GDPR acronimo di General Data Protection Regulation, la nuova Normativa Europea divenuta ufficialmente applicabile dal 25 Maggio 2018 ma emanata dall’Unione Europea in realtà già dal lontanto 27 Aprile 2016.

Tale normativa va a coinvolgere sia le aziende e/o organizzazioni aventi base operativa all’interno di uno stato della Comunità Europea, sia quelle che operano in un Paese Extraeuropeo ma possiedono clienti all’interno della CE.
Ora vediamo di fare un po’ di chiarezza, con la premessa che non sono un legale e che il “legalese” non è la mia madrelingua, tuttavia ho avuto l’opporutnità di partecipare ad un webinar previsto dal Master “La SQcuola di Blog” dedicato proprio alla GDPR e relativo adeguamento di blog/siti che ha contribuito a fare chiarezza, fornendomi le indicazioni necessarie per procedere nella maniera più corretta dal punto di vista legislativo e più chiara ed esaustiva per quanto riguarda voi che frequentate il mio blog!

 

La tanto temuta GDPR nasce per uniformare la normativa privacy a livello europeo e sostituisce il decreto legislativo 196/2003, incrementando in questo modo il livello di fiducia degli utenti europei nei confronti di tutti i soggetti privati o pubblici che  quotidianamente lavorano con le loro informazioni personali, sensibili e/o riservate.
Se da un lato quindi deve essere libero, tutelato ed avere l’opportunità di esprimere un libero consento rivolto al trattamento di tutti i suoi dati personali, l’azienda o comunque nel nostro caso l’amministratore di un blog o di un sito deve fornire la sicurezza di un trattamento dei dati adeguato, corretto e perfettamente in conformità con la normativa stessa.

 

State comunque tranquille, almeno per il momento:  le sanzioni pecuniare, penali e prescrittive previste per la non conformità al GDPR non saranno immediate.
Giovedì 17 maggio 2018 infatti, giorno in in Senato hanno avuto inizio le procedure della Commissione speciale per l’esame dello “Schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679″ (qui trovi la relazione completa)e in cui in cui sarebbe scaduta la delega conferita dalle Camere al Governo sono state riscontrate criticità che hanno portato alla proroga di tale delega al 21 agosto 2018 con uno slittamento quindi di 3 mesi.
Tuttavia il 25 maggio 2018 entra comunque in vigore il regolamento UE ma nell’immediato potrebbero coesistere due fonti in materia di privacy: il codice, come modificato, e il Regolamento UE.
General Data Protection Regulation

 

Avete quindi tutto il tempo necessario per regolarizzarvi anche perché, detto tra noi, eventuali verifiche da parte del Garante, verranno effettuate sicuramente prima su aziende ed organizzazioni di rilievo, difficilmente su uno spazio gestito in maniera amatoriale e che a livello di fatturato non ha particolare peso. Ad ogni modo le “voci” relative ai controlli che ho raccolto su web sono le seguenti:  qualora il Garante riscontri lacune o criticità legate alla conformità del sito procederà con un’iniziale avvertimento, seguito da un ammonimento. Si avrà quindi un termine ultimo per effettuare il corretto adeguamento che, qualora non venisse rispettatto determinerebbe la

 sospensione dell’elaborazione dei dati, e in caso di violazione prolungata della normativa, i procedimenti penali e pecuniari previsti.

Ora, dopo tutti questi doverosi “preamboli iniziali”, veniamo al sodo: cosa dobbiamo fare noi bloggers per adeguarci in maniera corretta a tale normativa? Se da un lato WordPress ha ovviato il problema aggiornandosi alla versione 4.9.6 Privacy & Maintenance Release, Blogger ( ma vale anche per i domini personalizzati), fino all’ultimo ci ha fatto tremare non poco per poi passare nelle nostre mani la classica “patata bollente”, implementando si il banner per l’autorizzazione all’utilizzo di cookie di terze parti (fondamentalmente la pietra dello scandalo!), ma costringendoci a creare una nuova Policy aggiornata e contenente tutte le informative dei servizi presenti sul nostro blog scritta di nostro pugno.

Il 25 maggio all’interno delle nostre dashboard è apparso questo avviso:

“Il diritto dell’Unione Europea ti impone di informare i visitatori provenienti dall’UE sui cookie utilizzati e i dati raccolti sul tuo blog. In molti casi, le normative ti impongono anche di ottenerne il consenso. A titolo di cortesia, abbiamo aggiunto una nota al tuo blog per spiegare l’uso da parte di Google di determinati cookie di Blogger e Google, compresi i cookie Google Analytics e AdSense e altri dati raccolti da Google. Spetta a te confermare che questa nota sia effettivamente visualizzata sul tuo blog ed efficace. Se utilizzi altri cookie, ad esempio tramite l’aggiunta di funzioni di terze parti, questa nota potrebbe non essere sufficiente per te. Se includi funzionalità di altri provider, è possibile che vengano raccolti ulteriori dati sull’utente.”

Viene da sè che tale informativa richiede che noi stessi interveniamo sulla vecchia Privacy Policy definendo i seguenti punti (io parlo per me, ma non prendetelo come un dogma visto che non so di quali servizi usufruiate nello specifico nei vostri spazi personali:

  • Chi è il responsabile del sito e quindi del trattamento dei dati raccolto e come contattarlo: nome, cognome ed eventualmente p.iva  e sede legale nel caso abbiate un’azienda, unitamente all’indirizzo email del responsabile stesso;
  • Cosa sono i cookie e per quale finalità vengono utilizzati: ocorre spiegare in modo chiaro e comprensibile cosa sono i cookie, perché vengono usati, quali sono le tipologie utilizzate sul blog (tecnici e di profilazione) e loro utilizzo da terze parti;
  • Cookie di profilazione e consenso da parte del lettore: spiegazione della necessità del consenso per i cookie di profilazione per offrire annunci pertinenti al lettore;
  • Banner  informativa breve: di cosa si tratta e come funziona;
  • Cookie utilizzati all’interno del blog o sito: elenco dei cookie di terze parti utilizzati dal sito elencando eventuali player e widget quali Google, Facebook, Google+, Twitter, Instagram, Pinterest, inserendo opportunamente tutti i link relativi alle rispettive Cookie Policy;
  • Google Analytics e anonimizzazione dei dati: spiegazioe su come rendere tecnici i cookie di Google Analytics anonimizzando gli IP per avere solo dati aggregati (io ho provveduto ad anonimizzarli preventivamente mediante lo stesso pannello Analytics;
  • Cancellazione dei cookie: spiegazione delle modalità di cancellazione di tutti i cookie o solo di una parte di essi;
  • Navigazione anonima: modalità e opzioni necessaria per  navigare anonimamente con tutti i browser
  • Cos’è il GDPR: introduzione al regolamento GDPR, espozione degli obblighi del webmaster e dei diritti del navigatore nel voler mantenere riservati i propri dati;
  • Trattamento della Privacy da parte di Google: particolare attenzione va attribuita al trattamento della privacy da parte di Google con link alle varie pagine di istruzione;
  • Pubblicità e personalizzazione degli annunci: è necessario avvertire i lettori che possono visualizzare annunci personalizzati secondo i loro interessi che sono desunti dalla loro navigazione in rete. Questo dovrebbe essere fatto per ciascuna affiliazione pubblicitaria;
  • Commenti sul sito: occorre informare chi commenta mediante gli appositi form presenti, che il suo profilo rimarrà nella pagina e potrà essere cliccato. Inoltre il browser terrà nota dei dati per un più rapido accesso futuro. Altresi i commenti possono essere eliminati dallo stesso autore e, a richiesta, anche dal webmaster.
  • Modulo di contatto del sito: chi invia un messaggio all’amministratore del sito, inserisce  nome, email e URL del proprio sito web, oltre al corpo del messaggio, deve essere ribadito questo;
  • Newsletter inviata tramite Feedburner, Mailchimp o qualsivoglia fornitore di servizi similari: qualora inviaste una newslettere, è necessario avvertire in fase di registrazione o di verifica dell’indirizzo web, che la loro email resterà nel database del servizio.
Questi sono i requisiti necessari e le spiegazioni che occorrono per formulare una privacy Policy adeguata alla nuova GDPR. La mia informativa estesa è visibile in questa pagina.
Ma come ho realizzato tutto? Son sincera, effettuare tutte le varie spiegazioni “manualmente” non è cosa mia, ergo mi sono avvalsa di un servizio a mio avviso efficente e valido quale Iubenda che con una quota annuale di 19.00€ per il piano premium che ho sottoscritto io, consente di creare una policy personalizzata in base a quelli che sono i servizi presenti sul blog. Per blog molto piccoli c’e’ la possibilità di effettuare tutto gratuitamente ma tale servizio è applicabile solo se avete meno di 100 sottopagine (nel mio caso ho sforato decisamente!). Ad ogni modo un piccolo investimento consente di fare le cose nel modo più corretto e in maniera facile e molto intuitiva.
Iubenda offre un menu’ dove spuntare tutte le opzioni presenti nel blog e fornisce successivamente il codice da inserire nell’ html del blog (sezione tema) in modo da avere da subito il banner per il consenso e per l’informativa breve e una policy estesa facilmente consultabile mediante i pulsanti presenti in fondo alla sidebar.
Per quanto riguarda Mailchimp, il servizio che io ho adottato per la newsletter, è stato tutto implementato nel form semplicemente spuntando la casella relativa alla GDPR presente nella piattaforma. Se utilizzare questo servizio avrete sicuramente ricevuto la mail informativa con allegato tutorial su come provvedere facilmente all’adeguamento. Io ho fatto in modo che apparissero i campi flaggabili sia nel modulo pop up che appare all’apertura del sito, sia nella pagina preposta dedicata all’iscrizione. Nulla di infattibile.
Insomma, per quanto mi riguarda, pur consapevole che difficilmente il Garante potrà colpire proprio me, ho preferito procedere in questo modo per far si che tutto fosse adeguato alla normativa vigente.
Tuttavia nel caso voleste fare le varie implementazioni del caso in modo autonomo vi suggerisco di consultare il blog Idee Per Computer ed Internet che nei giorni scorsi ha rilasciato una serie di tutorial chiari ed esaustivi da cui peraltro ho attinto per sistemare la policy estesa ed ottimizzarla ulteriormente.
Spero di aver contribuito a chiarirvi le idee, nel caso sono a disposizione per ogni genere di domanda o chiarimento!