Tempo di lettura stimato: 4'
Nell’ultimo articolo sui cookie e la privacy nei siti web e nelle App, ho parlato del rapporto fra DPO e Responsabile Marketing. Se non lo hai ancora letto, ti consiglio di dare un’occhiata e di tornare qui, perché quello che ti dirò in questo articolo è strettamente collegato al precedente.
Fatto?
Bene.
Ci siamo lasciati con una riflessione: il DPO – ma anche il Consulente Privacy - non deve essere un Messia che vieta di fare le cose. Non deve essere un nemico per il Responsabile Marketing. Ma dovrebbe essere piuttosto una figura di accompagnamento, qualcuno che sia capace di ascoltare quello che i Responsabili Marketing dicono. Quindi dovrebbe partire da una domanda che non è “Cosa fai?" ma, piuttosto, “Cosa ti piacerebbe fare? Qual è il tuo obiettivo?” E insieme lavorare per arrivarci.
Fin qui tutto bellissimo.
Peccato che, però, ci siano anche loro: i tecnici informatici, i tecnici web, quelli che installano le cose.
Quali cookie abbiamo? Chiedilo al tecnico che ha fatto il sito…
Il tecnico è quello a cui, normalmente, il Responsabile Marketing chiede:
"Ma noi che cookie abbiamo?"
E l’altro risponde: "Ma noi cosa facciamo?"
E si resta fermi lì. Non si va oltre. Si resta in uno stallo che impedisce una reale conformità.
Allora, anche qua, è tutta colpa dei tecnici? In un mondo ideale dovrebbero essere loro ad essere formati anche sul trattamento dei dati.
Ed è sicuramente una mancanza nelle scuole e nelle università.
Si studiano il trattamento dati e le relative implicazioni a Giurisprudenza - ci mancherebbe altro - ma perché a Ingegneria del Software no? O perché si studia solo in alcuni casi?
Male. Studiarli serve. Perché questi poi diventeranno programmatori…
Quindi anche con i tecnici bisogna cominciare a parlare: il DPO deve saper parlare anche con loro.
Bene. Queste 3 persone – Responsabile Marketing, tecnico, DPO – parlano. Tutto bellissimo.
Peccato che, ancora, siano concentrati solo sul banner cookies…
Stanno tutti a guardare il cookie banner, ma siamo sicuri che sia la giusta prospettiva per gestire il problema?
Teniamo fuori la coda e intanto la testa la mettiamo sotto la sabbia.
Hai il cookie banner?
Bene. Ma siamo sicuri che basti?
Chiariamoci, non è che voglio sottostimare il banner cookie, anche ELMO, il nostro tool ce l’ha, però, guardare solo a quello è riduttivo.
Magari un’azienda ha il banner, ma poi mancano l’informativa della newsletter, la privacy policy… Va in giro pensando di avere lo smoking e invece è solo in mutande (e per di più, sporche…).
Perché?
Perché ci sono mille cose da fare, centinaia di persone da gestire, si fanno cose complicatissime… E quando arriva il momento di fare l’adeguamento, si va dal tecnico e gli si dice “Dai, mettimi su sto banner sul sito, non mi interessa cosa, metti su sto banner che ho altro da fare…”
Siamo tutti concentrati sul banner. Testa in basso e coda fuori:
![]()
A me, è una posizione che non piace tantissimo...
Siamo sicuri che restare concentrati sul banner sia la giusta prospettiva?
Secondo me, se si guarda solo lì, si sbaglia.
Ti ribalto la cosa. Cosa faresti se, invece di un sito web, si trattasse di installare un impianto di videosorveglianza?
L’accountability vale anche per i siti web e per le App
Prendiamo il caso della videosorveglianza, dell’installazione di un sistema di GPS all'interno delle autovetture aziendali, delle attività dello Human Resources… Perché in queste situazioni un DPO, un’azienda – non sempre, ma spesso – si muove gestendo la cosa in una logica di compliance corretta, in ottica di accountability, ma quando si tratta di siti e App, il discorso cambia?
Guada che non cambia.
Chi mi conosce sa che per me accountability non è responsabilità, ma è essere responsabile consapevolmente, sapendo cosa si sta facendo. È l'estensione anglosassone del termine. E vale anche per i siti web.
Se non sono consapevole di quello che faccio, se non sono consapevole degli strumenti che uso, non posso essere accountable. Punto.
È inutile dire “Io sono bravo, so le cose grandi, ma le piccole no, quelle le tralascio.”
Perché, se non sei bravo sulle piccole, non sei bravo neanche sulle grandi.
Conformità dei siti web: consapevolezza, responsabilità, competenza
Accountability, per quanto riguarda i siti web, vuol dire che devi partire da che cosa fai, dall'informativa, dalle finalità: perché stai facendo questo? Per quali finalità? Quali strumenti usi?
Dopo aver fatto questo, bisogna tenere aggiornato il registro. Perché i trattamenti che vengono fatti sul web - e sulle App! – vanno indicati nel registro!
Esempio classico: perché non c'è nel registro quella nuova App che hai messo?
È un trattamento anche quello. È un trattamento come gli altri…
Privacy-by-design. Parti dall’inizio.
Se ormai l’azienda è partita col sito o con la app, recupera. Aggiorna il registro dei trattamenti.
Ma non lo fa nessuno…
E a me vengono da dire le parolacce, perché – e qui parlo con i DPO e i consulenti - sei stato lì 6 mesi a fare un bel registro tutto arzigogolato e ti mancano solo 10, 20, 30 metri per una piena conformità.
Guarda che quello che metti sul sito è come una finestra su quello che l’azienda fa in casa! Se l’informativa non c’è, se è sbagliata, vuol dire che in casa non sei in regola, peggio, forse vuol dire che con i dati si stanno facendo le sporcaccionate…
E magari, questo, è un po’ colpa anche dei DPO.
Perché noi consulenti non riusciamo a spiegarlo.
La mia è una provocazione, è vero. Ma mi sembra che manchi la giusta consapevolezza, a volte, anche fra gli addetti ai lavori.
E, lo dico, lo ripeto e lo ripeterò sempre: la consapevolezza si acquisisce con la formazione.
Raise Academy: la formazione completa e aggiornata su GDPR, privacy e cybersecurity
Raise Academy è l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
