La paura come tecnica di vendita: il caso GDPR in Italia (e come evitare di farsi spillare soldi)

[Aggiornamento 2019: Ovviamente l’articolo si riferisce al 2018, data di entrata in vigore del GDPR…Ho deciso di mantenerlo inalterato perché credo insegni come mettere fretta o giocare sul terrore sia una tecnica che va conosciuta per evitare di cascarci. Il discorso dell’adeguamento al GDPR è comunque un argomento serio, motivo per il quale ho poi scritto l’articolo “Come adeguarsi al GDPR e alle norme sulla privacy: quattro soluzioni per farlo“]

Ormai da qualche mese non si fa che parlare di GDPR (General Data Protection Regulation), vale a dire il regolamento europeo a tutela dei dati delle persone in un’epoca in cui tutti fanno un po’ tutto che gli pare. Del resto il vecchio regolamento risaliva al 1995, quando dicevi a qualcuno di aver comprato il PC e lui ti rispondeva

“sapevo che il Partito Comunista era in cattive acque, ma non fino a questo punto”.

Diciamolo chiaramente: alla gente comune gliene frega poco e niente, al di là dei proclami. Se uno tenesse davvero ai propri dati, non userebbe Facebook, le carte fedeltà del supermercato e qualunque altro strumento di raccolta di informazioni personali che verranno usate contro di te per propinarti pubblicità.

Le aziende però sono costrette a mettersi a norma, considerando che la normativa europea è un po’ più rigida rispetto al facciamounpocomecazzocipare (cit. per intenditori) italiano…Finirà allo stesso modo, sia chiaro, però il punto è un altro.

Vuoi per il discorso “L’Europa ci impone…” che ormai sta bene su tutto, vuoi per l’ignoranza generale in materia, c’è gente che sta facendo vagonate di soldi a scapito dei piccoli imprenditori, mettendogli addosso una fifa blu come nemmeno quando appare la marionetta di Saw L’Enigmista sullo schermo del malcapitato di turno. Fifa usata solo per spillare molti più soldi del dovuto, giocando molto sull’imminenza (ufficiale, non reale) della cosa.

Da qui l’idea di scrivere un articolo dissacrante sull’argomento dedicato alle PMI. Non certo per far sottovalutare la cosa, ci mancherebbe, ma per dargli una giusta dimensione in questa fase, dato che, come scriverò, il panico generale perché pochi sanno come fare ad adeguarsi in modo corretto è reale…ma il panico generato da chi vuole farlo per convincerti ad adottare soluzioni ancora acerbe è ancora più reale.

Ansia da GDPR: adeguati (pagandomi) e non ti succederà niente

“Bisogna adeguarsi al GDPR in Italia e in Europa entro il 25 Maggio 2018, altrimenti scattano sanzioni pari al 4% del fatturato mondiale dell’annualità precedente e FINO A VENTI MILIONI DI EURO!”

Una grande azienda come Amazon legge una notizia del genere, chiama chi di dovere, che a sua volta chiama chi di dovere e si interfaccia con un pool di esperti per adeguarsi. Sa che deve farlo perché nel mirino di chi controlla.

Una Pubblica Amministrazione si fa il segno della croce perché ancora non s’è ripresa dalla questione fattura elettronica ma sa che deve trovare una soluzione perché lì di dati sensibili ne girano parecchio.

Ma potete immaginare la faccia del panettiere di turno, che ha aperto un sito monopagina strapagato giusto perché gli hanno detto che tutti stanno su internet e ci deve stare pure lui, quando lo stesso esperto di UEBMARCHETING che gli ha fatto strapagare il sito monopagina si ripresenta in negozio per metterlo in guardia sull’avvento dell’apocalisse (VENTI MILIONI DI EURO DI MULTA!) e offrendogli l’adeguamento al GDPR a un prezzo folle convenientissimo.

Per l’esperto di UEBMARCHETING, ovviamente.

Panettiere: “Si ma io i clienti li conosco, li vedo in facc…”

Esperto di UEBMARCHETING: “Appunto, pure peggio! Perché sapere il nome, cognome e indirizzo email senza conservare questi dati porta multe salatissime! E vogliamo parlare dell’indirizzo IP? NE VOGLIAMO PARLARE??”

Panettiere: “No, la fermo subito, qua non c’è l’IP, c’è la Q8 e se non ha chiuso pure un Agip in fondo alla strada.”

E’ già accaduto con la legge sui cookies: apocalisse imminente, prospettive di diabete globale perché i biscottini sarebbe risultati letali per tutti, gente che chiedeva agli imprenditori 3000 euro per mettere

• • un banner (tempo richiesto: 3 minuti)

• una pagina con la policy (tempo richiesto: sufficiente a trovarne una online da un sito qualunque e fare copia incolla, senza nemmeno cambiare i dati personali…a una clinica veterinaria che si è rivolta a me per una consulenza avevano lasciato l’intestazione di un B&B…e nemmeno se n’erano accorti, perché chi la va a rileggere? Pagano e si fidano.)

…e ora siamo a tarallucci e vino. Dove i tarallucci sono ovviamente i cookies.

GDPR in Italia: nessuno sa nulla ma tutti sanno tutto

Se ne parla ovunque:

• • gli avvocati devono venderti il testo corretto da mettere nel sito

• i web-qualcosa devono implementare il sistema per il trattamento dei dati (tempo richiesto: due ore, mentre guardi Facebook e ti finisci di vedere La Casa di Carta su Netflix)
• i formatori devono spiegare ad avvocati e esperti web come fare

…peccato che gli esperti in questione non abbiano un’idea chiara di come fare, ad oggi. E’ tutto un giro di supposizioni, un’interpretazione dei tasti manco fossero le profezie di Nostradamus. E nemmeno per colpa loro, è che in assenza di strumenti maturi bisogna trovare soluzioni più o meno complesse.

Nei forum e nei gruppi di gente che fa questo di mestiere sembra di assistere al backstage del concerto dei Backstreet Boys negli anni 90, con gente che invece di urlare “Uuuu, che faccio se Kevin mi guarda?? CHE FACCIO??” (N.B. un Kevin ci sarà stato di sicuro, nei Backstreet Boys) posta otto volte al giorno robe tipo

Ma del GDPR in Italia si sa niente?

Voi cosa fate?

C’è una guida seria?

Siamo al 18 Maggio, si sa niente?

Ma è vero che se pago Iubenda 19 euro l’anno risolvo?

Io ho risolto con Cookiebot, voi?

Ma voi come avete fatto?

ODDIO HO SCOPERTO CHE COOKIEBOT NON SERVE A NIENTE

etc etc. Poi c’è pure chi ne approfitta:

Ho scritto una guida per chi vuole adeguarsi al GDPR!

Uno va a leggere, speranzoso, e trova robe come

“Vuoi adeguarti al GDPR? E’ un’ottima idea adeguarsi al GDPR in Italia perché se non ti adegui al GDPR allora sarà il GDPR ad adeguare parte del tuo corpo a un cuneo fiscale che…capisciammè. E comunque quando si saprà come adeguare i siti al GDPR lo scriverò qui”

E, sì, è la stessa gente che si presenta in sede o al panificio per suggerire di intervenire sul sito prima che sia troppo tardi.

GDPR e multe: cosa c’è di vero?

Si, c’è il regolamento.

Si, parla di sanzioni per chi non si adegua.

No, le sanzioni non scattano in automatico il 25 Maggio 2018.

L’idea instillata è che il 25 Maggio 2018 avverrà una specie di ecatombe, mix tra profezia dei Maya e l’angelo del Signore che passa e uccide tutti i primogeniti, a meno che tu non abbia cosparso l’uscio di casa tua con sangue di agnello e/o pagato profumatamente l’esperto di UEBMARCHETING di turno per adeguare il tuo sito.

Nella realtà succederà questo, almeno in fase iniziale:

Nulla

A meno che non scatti la segnalazione del tuo mancato adeguamento al Garante della Privacy da parte di qualcuno. Cosa che può avvenire molto più di frequente da parte dell’esperto di UEBMARCHETING a cui hai rifiutato l’intervento piuttosto che da un concorrente. E neanche…perché non saprebbe come farlo.

Per la cronaca, almeno un terzo dei siti di PMI dovrebbero subire multe salatissime perché c’è chi ancora non specifica la ragione sociale e la partita IVA nel footer, altro che GDPR. E l’altra volta l’ho dovuto far notare a uno studio legale con 10 sedi nel mondo, mica al panettiere.

Comunque sia, al di là di tutto, nessuno stranamente rivela nella propria offerta commerciale che, al momento, a meno di una settimana dalla fatidica data il Garante della Privacy non ha ancora l’ufficio predisposto a gestire la questione GDPR in Italia. Si vocifera addirittura uno slittamento di sei mesi (in legalese “periodo di tolleranza e/o di assestamento”)…In pratica è come se l’Ikea aprisse un mega negozio senza avere né le casse per pagare né i sistemi antifurto.

“Si, ok, ma prima o poi l’avrà!”

Assolutamente si, e per allora probabilmente sarete a norma perché saranno uscite delle linee guida valide per chi ha un sito WordPress, ad esempio. Probabilmente tutto sarà più semplice di quanto si creda oggi.

Perchè “semplice” = più veloce e quindi più economico da implementare.

E se non mi adeguo al GDPR?

Ok, perfetto. Mettiamo il caso che a seguito di tale segnalazione al Garante voi non foste ancora a posto con il GDPR.

“Aiuto, la multa da venti milioni di euro!”

Come no. Arrivata e gestita la segnalazione al Garante della Privacy (che non dispone e – ahimé – non  credo disporrà mai di sistemi autonomi per verificare se il sitarello del panettiere sia a norma, preferendo – giustamente – concentrarsi sui grandi colossi o sugli eCommerce che gestiscono migliaia di dati di clienti), questi provvederebbe a bussare alla vostra porta, chiedendo l’adeguamento.

A quel punto cosa succede?

• Vi adeguate? Amici come prima.
• Non vi adeguate nonostante l’avviso? Vi arriva la multa.

I venti milioni di euro li paga Amazon, in caso. A voi, piccoli imprenditori, male che vada il massimo è il 4% del fatturato dell’annualità precedente. Ma, ripeto, dovete proprio andarvela a cercare non rimediando nonostante l’ammonizione.

E’ come se vi fermasse la polizia stradale, constatasse che non avete fatto la revisione e, chiudendo un occhio, vi consigliasse di andare a farla il giorno dopo. Se dopo due mesi vi ferma di nuovo e voi non avete fatto la revisione, vi multa e sequestra il mezzo. E fa pure bene.

GDPR in Italia: come adeguarsi

[Aggiornamento 2019: sull’argomento ho successivamente scritto l’articolo “Come adeguarsi al GDPR e alle norme sulla privacy: quattro soluzioni per farlo“]

Allo stato attuale, per dare l’idea dei punti chiave e semplificando le cose, si dovrà

• • aggiornare l’informativa sulla privacy e della cookie policy (che, auspicabilmente, dovreste già avere): tradotto, si dovrà scrivere in modo chiaro quali dati del cliente/visitatore verranno registrati in automatico, che fine faranno e per quanto tempo verranno conservati. Questo potete farlo subito, a prescindere. Se tramite il mio blog mi mandate un messaggio, è ovvio che ci sarà il nome e l’email del mittente, altrimenti come farò a rispondere? Se qualcuno lascia un commento a un articolo ci sarà il suo indirizzo IP, volgarmente il numero univoco che identifica un dispositivo connesso a internet, e così via. Se non li davo a terzi prima, custodendoli gelosamente, figuriamoci ora.

• • dare la possibilità a ciascuno di mettere una spunta per accettare la suddetta informativa e il regolamento per il trattamento dei dati al momento, per esempio, della compilazione di un modulo di contatto. E’ una sciocchezza, lo so, come se flaggare un casella (che non deve presentare in automatico la spunta) fosse così determinante per attestare la propria volontà, ma tant’è…Anche qui è molto più importante per le grandi aziende che carpivano i dati perché uno nelle ventitre pagine di modulo cliccava sempre su “Avanti” senza leggere, non certo per il sito del panettiere. Tuttavia anche questo è facile da implementare, potete trovarne un esempio nella mia pagina contatti.

• • dare la possibilità a ciascuno di cancellare i propri dati personali dalla vostra banca dati e/o sito. Se per esempio qualcuno volesse far scomparire i propri commenti dal mio sito, basterà comunicarmelo. Come farò a ritrovarli tutti? Dall’email che avete lasciato per far sì che io potessi rispondere, ossia uno dei dati sensibili. Tutto fila, no? E per la cronaca c’era già tale possibilità, bastava chiedere. A breve inserirò anche un sistema automatico per farlo.

• eventualmente nominare un DPO (Data Protection Officer), figura già regolamentata dal 2016, che si occupa di valutare e organizzare la gestione del trattamento/protezione dei dati personali all’interno di un’azienda, nel rispetto delle normative europee. Ancora una volta: buona parte della piccole imprese non dovrà assumere un tecnico esterno all’azienda, potendo gestire il tutto con poche accortezze, semplicemente perché non c’è bisogno. In realtà in questo caso la questione è più complessa perché dovrebbe essere associato ad un’altra figura, il Data Processor ma…fermiamoci qua.

4 trucchi per evitare di farsi prendere per il…GDPR

Ci sarà di sicuro qualcuno che vi solleverà la questione. I più onesti vi diranno di non sottovalutare la cosa perché importante, quelli meno onesti strabuzzeranno gli occhi e vi metteranno pressione come se avessero appena riconosciuto nei vostri occhi i sintomi precoci di un’ischemia e stessero chiamando il 118.

Dunque ricordate che…

• • se vi mettono fretta con la storia del 25 Maggio 2018

• • se giocano sul panico dell’apocalisse imminente

• • se chi parla è tutto un GDPR qua, un DPO qua e un indirizzo IP (e non Q8) là, senza spiegarvi per filo e per segno anche i retroscena della questione

• chi vi dice che dopo vi arrivano 20 milioni di euro di multa perché “pure a mio cugggino Equitalia ha mandato una cartella esattoriale”

…ma, ancora più semplicemente, se non avete un sito che deve adeguarsi perché non raccoglie dati personali, non ha moduli di contatto, non usa Google Analytics e via dicendo, state tranquilli, mandateli a GDPR (inventate un insulto a scelta che rispetti questo acronimo, io ne ho trovati quattro che non scrivo per decenza) e andatevi a mangiare un taralluccio alla faccia loro.

E’ tutto. Se non siete d’accordo, se siete il Garante della Privacy in carne ed ossa e martelletto, se siete un DPO che vuole denunciarmi perché ho sminuito il ruolo o semplicemente per dire come state affrontando la vicenda, commentate pure. Vi prometto che non divulgherò i vostri dati a nessuno, nel rispetto del GDPR.