Avvocato Vercellotti | Avvocato del Digitale | Legal for Digital
3.95K subscribers
6 photos
5 videos
425 links
Unico Avvocato del Digitale®️ d’Italia

In questo canale troverai aggiornamenti legali relativi al mondo del Digitale come Gdpr, Copyright, Contest, Digital Contracts e gestione legale della Brand Reputation

Per una consulenza: studio@legalfordigital.it
Download Telegram
🎯 NOI LEGALI TI STIAMO TRUFFANDO SUL GDPR!

Tag:
#GDPR

Questa è la frase che mi sono sentito dire da un imprenditore che poi è diventato cliente del nostro studio. Sebbene mi sento chiamato in causa, devo dire che non ha tutti i torti.

Se navighiamo online ne vediamo di tutti i colori in tema di privacy: un avvocato che dice il contrario dell’altro. Per il cliente medio questo può essere molto disorientante, anche perché la normativa è unica per tutti.

Quindi comprendo il momento di rabbia e sconforto.

Ecco cosa si può fare:

1️⃣ Iniziare a farsi una propria opinione che sia priva da condizionamenti e da conflitti d’interesse, basandosi sui principi che stanno alla base della normativa e costruire piano piano una competenza.
2️⃣ Cercare di capire se l’interlocutore con cui si discute sia davvero competente. Se, parlando di adeguamento privacy, quest’ultimo si riferisce solo a documenti, privacy policy e informative, ma non accenna ad un adeguamento tecnico forse non è il professionista giusto perché ha una visione parziale
3️⃣ Cercare di definire una strategia legale. Pensare che lo stesso tipo di adeguamento privacy possa essere applicato da una multinazionale, da una PMI o da un’agenzia marketing è un errore marchiano. Quindi, se ti offrono lo stesso servizio c’è un problema strategico.
4️⃣ Che ci sia un problema oggi è un dato di fatto: abbiamo un buco enorme che deriva da una mancanza di un accordo. C’è comunque una differenza tra il non agire, quindi farsi andar bene la soluzione più facile come ad esempio il corso che ti spiega come mettere tutto a posto senza avere problemi, e cercare di capire come creare una strategia, che sia a 3 o 6 mesi, che possa limitare al minimo i rischi.

📌 La mia riflessione, oggi, è quella di dire: non vi stiamo truffando o almeno non tutti noi (è chiaro che non sto utilizzando il termine truffa nell’accezione del codice penale. Specifico per il collega che potrebbe avere la coda di paglia).
DOPO GA ANCHE META?!? ☠️

Tag: #GDPR

Ebbene sì, dopo Google, anche per Meta è arrivato il giorno tanto atteso…il modello di business di Meta è stato dichiarato illegale in UE dall’EDPB!

Come in ogni miglior barzelletta ci sono 3 soggetti:
- EDPB: Comitato europeo per la protezione dei dati
- DPC: Commissione per il trattamento dati irlandese
- Noyb: organizzazione senza scopo di lucro per i diritti digitali (per capirci sono quelli che hanno già messo in dubbio l’esecutive order di Biden per la questione GA)
E poi Meta ma il buon Mark lo conoscete tutti.

Ma facciamo un passo indietro per capire come siamo arrivati a questa decisione:
1️⃣ in data 25.05.2018, a seguito dell’entrata in vigore del GDPR, Noyb presenta diversi reclami nei confronti di Meta poiché quest’ultima non chiede i consenso agli utenti per l’utilizzo dei loro dati per il tracciamento e la pubblicità online
2️⃣ Meta si è giustificata sostenendo che la pubblicità personalizzata è parte del servizio stabilito nei termini e condizioni, che vengono accettati dagli utenti al momento della registrazione alla piattaforma, quindi "è contrattualmente dovuto a questi ultimi"
3️⃣ l’EDPB rimanda la decisione al DPC irlandese con termine perentorio di un mese
4️⃣ Il DPC irlandese, a seguito di numerosi incontri con Meta, avrebbe consentito a Meta di inserire come elemento causale del contatto la pubblicità personalizzata, in modo da evitare l’opzione della prestazione del consenso degli utenti
5️⃣ Tuttavia, l’EDPB non ha gradito la decisione del DPC irlandese, annullando quindi la bozza di decisione che riteneva legale l’aggiramento del GDPR da parte di Meta

La decisione non è ancora stata pubblicata, ma verrà pubblicata nel gennaio 2023 insieme a quella del DPC irlandese.

N.B. la decisione dell’EDPB vieta solamente la pubblicità personalizzata, rimangono possibili altre forme di pubblicità: ad esempio, gli annunci contestuali che si basano sui contenuti di una pagina. Inoltre, Meta potrebbe comunque continuare ad utilizzare i dati non personali, come ad esempio i contenuti delle storie e dei post dell’utente, per la personalizzazione degli annunci pubblicitari.

➡️ In alternativa, dovrà chiedere il consenso all’utente per l’utilizzo dei dati per finalità di marketing e profilazione, come tutti noi comuni mortali nei nostri business 😏

❗️Prossimi step:
• la decisione verrà notificata a Meta e a Noyb entro gennaio 2023
• Meta potrebbe proporre opposizione ed è quasi certo che lo farà
• le possibilità di vincere il ricorso per Meta sono veramente minime, almeno questo è il parere del nostro studio legale, ma gli avvocati di Meta saranno sicuramente molto bravi nell'esporre le loro ragioni...
• c’è la possibilità che il caso venga portato dinanzi al tribunale con allungamento dei tempi
• la sanzione verrà verosimilmente erogata nei confronti dello stato irlandese che, prendendo le parti di Meta, ha ritardato la decisione di oltre quattro anni. Diciamo che potrebbero scalare la multa dalle tasse incassate da Meta in questi anni...

‼️ Quindi cosa fare:
Per ora non cambia nulla ma se le cose dovessero andare in una certa direzione, tutto il modello di Ads con Meta potrebbe cadere come un castello di carte travolto dalla tramontana

🍿🍻 Preparate birra e pop corn perché ne vedremo delle belle a gennaio!

P.s.: segnala e condividi questo post a smm, advertiser, strategist e chiunque lavori nel digital. Il diritto a conoscere la legge deve essere di tutti, il mio impegno è quello di rendervela potabile 🙏
390 MILIONI DI EURO DI SANZIONE A META
TAG:
#gdpr

Come avevamo preannunciato già il 9 dicembre qui su Telegram la multa a Meta è arrivata.

Se vuoi scoprire i perché di questa sanzione, come potrebbe impattare su tutti noi e soprattutto cosa fare adesso, clicca il pulsante qui sotto e guarda il video che ho espressamente preparato sul tema.
⛔️ DATA BREACH MAILCHIMP

Tag:
#GDPR

Il colosso dell’e-mail marketing MailChimp, ha subito un grave attacco hacker, infatti è stato identificato l’accesso ad uno degli strumenti utilizzati per l’assistenza clienti e l’amministrazione degli account da parte di un attore non autorizzato.

È la seconda volta che l’azienda viene attaccata negli ultimi 6 mesi e la violazione sembra essere quasi del tutto identica all’attacco precedente.

Ancora una volta risulta evidente l’importanza centrale che riveste l’adozione di misure preventive, tecniche ed organizzative, volte a ridurre il rischio di una violazione dei dati personali e alla miglior gestione nel caso in cui si verifichi.

Perché il sistema di sicurezza possa essere concretamente efficace, le misure di prevenzione devono poggiare su tre principi cardine:
1️⃣ Sulla consapevolezza della propria incidenza in capo ad ogni persona inserita nel flusso dei dati
2️⃣ Sulla puntuale previsione di processi aziendali volti a definire la connessione tra attività, ruoli e documenti nell’organizzazione aziendale
3️⃣ Sulla costante implementazione della tecnologia aziendale a seguito di una corretta valutazione dei rischi

Nel caso concreto MailChimp ha provveduto, nelle successive 24 ore dalla scoperta dell’hackeraggio, a sospendere l’accesso degli account per i quali sia stata rilevata attività sospetta e ha trasmesso una comunicazione agli account interessati con i passaggi da seguire per il ripristino degli stessi.

Fin qui tutto bene o quasi per Mailchimp ma che cosa possiamo impare da questo caso?

1️⃣ non possiamo essere garantiti al 100% da un data breach
2️⃣ in caso di obbligo di segnalazione al Garante di un Data Breach dobbiamo dimostrare di aver fatto tutto il possibile per la tutela dei dati
3️⃣ in caso di controllo successivo al data breach sarà analizzata tutta la documentazione privacy e la compliance aziendale
4️⃣ se subisco un data breach devo eliminare le vulnerabilità che sono state fruttate per lo stesso
5️⃣ dobbiamo avere delle buone procedure di ripristino dopo un data breach

Vi voglio lasciare con due domande tanto semplice quanto potenzialmente provocatorie:

⁉️ La tua azienda è pronta a un data breach?
‼️ La tua azienda è in grado di dimostrare la compliance al
Gdpr anche in caso di data breach?
🎯ATTENZIONE A NON SETTARE CALENDLY CON LEGGEREZZA

Tag
: #GDPR

Si sa, l’attenzione non è mai troppa. E grazie alla segnalazione di uno dei componenti della nostra community, ci siamo accorti di come un nostro competitor teoricamente esperto, abbia commesso un ERRORACCIO in materia di GDPR.

Il competitor, in occasione di un evento di formazione, ha pensato bene di creare un Calendly da far compilare a potenziali clienti che volessero iscriversi alla sua Newsletter.

GRAVISSIMO ERRORE!

Perché lo strumento di Calendly, nonostante sia economico, veloce e approvato da Legal for Digital (😉) per fissare call con i clienti ha una grande mancanza.

Calendly non è infatti pensato per il rispetto del GDPR: è possibile inserire un solo check-box esclusivamente per raccogliere il consenso al trattamento dati personali necessari alla call, come nome, cognome e numero di telefono.

In questo caso invece, il competitor ha utilizzato Calendly per richiedere l’iscrizione alla propria Newsletter, senza prevede né privacy policy, né consenso al trattamento dati per la finalità del contatto propria del Calendly.

In questo modo il rispetto del GDPR NON è stato garantito.

Ma tu, come il mio competitor non ci avevi pensato, vero?

Questo è un errore tecnico che avrebbe potuto essere evitato con una formazione specifica al riguardo. Nella nostra Academy puoi trovare corsi, notizie e percorsi che ti aiuteranno a evitare errori legali e tecnici di qualsiasi tipo.
🎯 TI HO FATTO RISPARMIARE 10K TOGLIENDOTI IL DPO

Tag: #GDPR

Questa mattina vi vogliamo portare il caso di una grande azienda che dopo anni di duro lavoro e impegno, a fine 2021 ha iniziato ad avere una grande crescita e ha quindi imparato l’importanza di adeguarsi al GDPR.

Si sono quindi rivolti a un avvocato che, dobbiamo ammetterlo, ha fatto un lavoro eccelso. La documentazione che ha redatto contiene tutto il necessario:

📌 MOP

📌Registro del responsabile

📌Privacy cliente

📌 Nomina a responsabile

📌 Analisi del rischio

Insomma, tutti gli elementi fondamentali per lo svolgimento delle attività erano stati inseriti e non c’era nulla di sbagliato.

Oltre a tutti questi elementi, il collega ha anche inserito la figura professionale del DPO.

Avere un DPO è sicuramente utilissimo, perché è un avvocato esperto che almeno una volta al mese si presenta in azienda ed è sempre disponibile per risolverne tutti i problemi del caso.

Per mantenere questo tipo di servizio, l’azienda pagava intorno ai 10.000 euro all’anno.

Dopo un anno di utilizzo, l’azienda si è rivolta a noi di Legal for Digital per usufruire del nostro servizio di Check Up Privacy.

Dopo aver esaminato la loro documentazione abbiamo verificato che la figura del DPO non era necessaria per la loro azienda.

Il nostro cliente infatti NON aveva le tre caratteristiche necessarie per la presenza del DPO:

NON trattava dati particolari

NON aveva a che fare con dati su larga scala

NON aveva più di 250 dipendenti

QUINDI

NON aveva le caratteristiche necessarie per avere la figura del DPO e in più spendeva per averlo più di 10k all’anno!

Il servizio del DPO è utilissimo, ma se sei come i nostri clienti e non ti è necessario, fatti un favore:

Risparmiateli questi 10.000 euro.
🎯KLAVIYO RISPETTA IL GDPR?

Tag:
#GDPR

Parlando di e-mail marketing, spesso ci viene chiesto se tools specifici, proprio come klaviyo siano a norma o no con il gdpr.

In questi casi non esiste una domanda giusta o sbagliata.

La vera differenza, infatti, non la fa il tool, MA come lo si usa.

Strumenti come Klaviyo non sono stati creati nell’Unione Europea ed è per questo che non sono pensati per il gdpr.

Bisogna quindi essere in grado di “smanettare” per renderne a norma l’utilizzo.

Klaviyo è una piattaforma di e-mail marketing usata soprattutto per la vendita online e ha un problema relativo al consenso.

La piattaforma non fa distinzione tra:

1️⃣ le e-mail registrate attraverso il consenso Marketing o in generale per l’iscrizione alla newsletter

2️⃣quelle registrate in seguito all’acquisto di un prodotto, a cui è possibile fare soft spam

Questi come ben saprai se lavori in questo settore, sono due tipi di consensi (o meglio un consenso e un’attività nascente da legittimo interesse) COMPLETAMENTE diversi e come tali devono essere trattati.

Altro ostacolo di sistema è dato dalla data di acquisizione del contatto.

Per legge, questa deve essere presentata in modo chiaro, ma se l’utente dovesse registrarsi e oggi e decidere di acquistare dall’e-commerce dopo un mese, nel database ci sarà una sola data di registrazione. Quella più recente.

Entrambe le problematiche possono essere risolte con un semplice cambio delle impostazioni, che se non fatto, lascerà l’acquisizione dei dati completamente non a norma.

Bastano semplici accortezze per rendere queste piattaforme compliant al Gdpr: basta rispettare la normativa e sapersi affidare ai giusti professionisti che possano consigliare correttamente.

Noi ne conosciamo giusto alcuni che possano fare al caso vostro. 😎
🎯L’ERRORE GRAVISSIMO DI LEGAL FOR DIGITAL SULLA NEWSLETTER

Tag:
#GDPR

Anche noi di Legal for Digital commettiamo errori e qualche settimana fa ne abbiamo commesso uno da matita rossa…

Per le attività di email marketing utilizziamo Active Campaing già da qualche anno e ogni settimana mandiamo una newsletter ai nostri oltre 4000 iscritti.

Fin qui tutto bene, i tassi di cancellazione per ogni invio sono sotto l’1% e i tassi di apertura si attestano su una media del 60%.

Con lo stesso strumento gestiamo l’invio di comunicazioni anche ai clienti per le seguenti finalità:

1️⃣ Attività di soft spam, vale a dire comunicazioni commerciali per la vendita di servizi analoghi a quelli già acquistati dal cliente
2️⃣ Aggiornamenti costanti sulle novità legali per chi ha acquisto specifici servizi come i nostri servizi Serenity

Per rendere la gestione più semplice abbiamo creato liste diverse, che gestiamo in modo diverso trattandosi di finalità del trattamento differenti tra loro.

Ma ogni tanto c’è l’errore e qualche settimana fa ne abbiamo fatto uno molto grave.

Infatti, quando è stato ora di scegliere le liste a cui inviare la newsletter c’è stato un click in più e la mail è stata inviata anche a tutti i nostri clienti con il servizio Serenity.

Potrei dire che tanti di questi sono iscritti anche alla newsletter di Legal for Digital, ma è un dato di fatto che qualche decina di loro si è visto recapitare una mail senza che avesse espresso il suo consenso a questo trattamento dati.

E quindi va bene così, o meglio, ringraziamo il fatto di avere clienti comprensivi ma in astratto saremmo stati passibili di una segnalazione al Garante e una possibile sanzione.

Dobbiamo anche ringraziare che la lista selezionata per errore non fosse stata quella per il soft spam perché in quel caso le mail inopportune sarebbero state oltre 2k.

Questo è l’esempio di un errore banale ma potenzialmente dannoso ma pensa a quanti mettono nelle stesse liste iscritti alla newsletter, clienti, prospect che hanno chiesto solo un preventivo e via dicendo.

Se il tuo business si basa anche sull’email marketing non puoi esimerti da un’analisi legale del tuo database perché tutto sia a norma di legge e a prova di Garante!

Infine un consiglio personale: quando stai per mandare una mail con uno strumento automatizzato fai sempre un controllino in più perché non si sa mai…
🎯 COME GESTISCI LA LISTA DELLE E-MAIL?

Tag: #GDPR

A cosa serve una consulenza di data strategy per la gestione di un database?
Ti aiuta a capire se stai raccogliendo e usando i dati delle persone in modo legale.
E non è scontato.

Partiamo da un esempio concreto: grande azienda si rivolge a noi per una consulenza legale strategica sulla gestione di un database con 28.000 indirizzi e-mail (continua a leggere perché potresti trovarti in un caso simile, anche con un numero minore di contatti eh).

Primo punto: quando è iniziata la raccolta degli iscritti alla newsletter?
I titolari raccontano che l’attività è cominciata nel 2016. Siamo nel 2023, occhio alle date.

Punto due: è stato chiesto il rinnovo all’iscrizione?
No: gli utenti sono stati aggiunti negli anni ma l’azienda non ha pensato ai rinnovi.
Questo è un primo problema da gestire: dal 2016 a oggi sono trascorsi sette anni e sarebbe necessario richiedere un nuovo consenso.

Punto tre: a livello aziendale, quali sono le tempistiche previste per il salvataggio del consenso marketing?
Nonostante il fattore “durata del consenso” si debba precisare nel momento in cui viene preparato l’adeguamento alla privacy, l’azienda non ne è consapevole: i titolari spiegano di aver delegato l’adeguamento al GDPR a una società esterna che non ha posto domande in merito.

Punto quattro: oltre agli iscritti alla newsletter e alle persone che lasciano il consenso marketing spontaneo, state caricando nelle liste anche i clienti?
A risposta affermativa segue una domanda classica: come li avete distinti dai soggetti che hanno dato il consenso marketing?
In nessun modo, sono tutti sulla stessa lista.
Eh no, sono due cose differenti: i clienti hanno un interesse legittimo che nasce dall’acquisto di un prodotto o un servizio, le finalità connesse al trattamento del dato sono diverse. Altro bel problema.

Punto cinque: a quale privacy policy sono riferiti i consensi degli iscritti? Come viene conservato il consenso?
Qui, silenzio stampa.

Ciliegina sulla torta: l’azienda salva in automatico - nelle liste - i nominativi di tutte le persone che richiedono informazioni con la compilazione del form di contatto.
Ops.
La finalità, in questo caso, è precontrattuale: richiedere informazioni e interagire con il brand non significa iscriversi alla newsletter.

Conclusione: lista sporca, contatti mescolati, utenti che ricevono newsletter senza aver mai lasciato un consenso.
E, soprattutto, dati utilizzati senza una strategia, quindi sprecati.

Per fortuna, nessun utente ha segnalato problemi al Garante della Privacy, altrimenti la sanzione sarebbe stata salata.

Ora la domanda a te: commetti anche tu uno di questi errori?
🎯 𝑻𝑰𝑷𝑶𝑳𝑶𝑮𝑰𝑬 𝑫𝑰 𝑪𝑶𝑶𝑲𝑰𝑬

Tag: #GDPR

Hai presente i banner che appaiono ogni volta che apri un sito? Servono a gestire i 𝗖𝗢𝗢𝗞𝗜𝗘, stringhe di codice che permettono determinate operazioni sui siti web.

Ricordiamo ancora una volta che ne esistono 3 macro tipologie:

1️⃣ 𝐓𝐄𝐂𝐍𝐈𝐂𝐈 O 𝐍𝐄𝐂𝐄𝐒𝐒𝐀𝐑𝐈 sono quelli che non necessitano del consenso da parte dell’utente ma partono in automatico.

2️⃣ 𝐒𝐓𝐀𝐓𝐈𝐒𝐓𝐈𝐂𝐈 come Google Analytics.

3️⃣ 𝐏𝐑𝐎𝐅𝐈𝐋𝐀𝐍𝐓𝐈 raccolgono le informazioni sugli utenti del sito dunque necessitano del consenso da parte dell’utente.

Inoltre è necessaria un’apposita pagina dove l’utente possa revocare o modificare il consenso. Avendo anche a disposizione un quadro di:

♦️ quali cookie ha accettato
♦️ in quale data
♦️ possibilità di modificarli

Magari vi sarà capitato di vedere dei cookie in cui potete scegliere fra 𝟑 𝐩𝐮𝐥𝐬𝐚𝐧𝐭𝐢:

🔸accettazione
🔸gestione dei cookie specifica
🔸rifiuto di tutti i cookie profilanti

Oppure 𝟐 𝐩𝐮𝐥𝐬𝐚𝐧𝐭𝐢 𝐩𝐢ù 𝐥𝐚 𝐗.
Cosa cambia? Il pulsante dei cookie profilanti viene sostituito con la X ma porterà al medesimo risultato.

Come sceglierne uno piuttosto che un altro?
Vi racconto la mia esperienza sul mio sito di 𝑳𝒆𝒈𝒂𝒍 𝑭𝒐𝒓 𝑫𝒊𝒈𝒊𝒕𝒂𝒍.Quando siamo passati dai 3 pulsanti all’opzione 2 pulsanti più la X i tassi di consensi alla profilazione sono aumentati del 25%. È bastata una semplice modifica per cambiare i consensi raccolti.

Scommetto che queste mie info ti hanno incuriosito.
Questa è la lezione numero 18 della mia 𝑨𝒄𝒂𝒅𝒆𝒎𝒚 se vuoi approfondire l’argomento GDPR.
🎯𝗦𝗢𝗙𝗧 𝗦𝗣𝗔𝗠 𝗲 𝗚𝗗𝗣𝗥: 𝗰𝗼𝗺𝗲 𝘃𝗲𝗻𝗴𝗼𝗻𝗼 𝘂𝘁𝗶𝗹𝗶𝘇𝘇𝗮𝘁𝗶 𝗶 𝘁𝘂𝗼𝗶 𝗱𝗮𝘁𝗶 𝗽𝗲𝗿𝘀𝗼𝗻𝗮𝗹𝗶?

Tag: #GDPR

Il 𝘀𝗼𝗳𝘁 𝘀𝗽𝗮𝗺 fa riferimento alle comunicazioni promozionali inviate da un soggetto commerciale ai propri clienti, proponendo loro la vendita di prodotti/servizi uguali o analoghi a quelli precedentemente acquistati.

L’invio di email commerciali di questo tipo 𝗻𝗼𝗻 𝗿𝗶𝗰𝗵𝗶𝗲𝗱𝗲 𝘂𝗻’𝘂𝗹𝘁𝗲𝗿𝗶𝗼𝗿𝗲 𝗮𝘂𝘁𝗼𝗿𝗶𝘇𝘇𝗮𝘇𝗶𝗼𝗻𝗲 𝗱𝗮 𝗽𝗮𝗿𝘁𝗲 𝗱𝗲𝗹 𝗰𝗹𝗶𝗲𝗻𝘁𝗲 rendendo il soft spam un potentissimo strumento di digital marketing!

Ma facciamo un passo indietro, per poter svolgere l’attività di cui sopra devono essere rispettati alcuni requisiti:

👉 ll destinatario deve aver 𝐠𝐢𝐚̀ 𝐚𝐜𝐪𝐮𝐢𝐬𝐭𝐚𝐭𝐨 𝐝𝐚𝐥𝐥’𝐞-𝐜𝐨𝐦𝐦𝐞𝐫𝐜𝐞 da cui riceve la comunicazione commerciale

👉L’oggetto della comunicazione deve riguardare 𝐒𝐎𝐋𝐎 𝐩𝐫𝐨𝐝𝐨𝐭𝐭𝐢 𝐮𝐠𝐮𝐚𝐥𝐢 𝐨 𝐚𝐧𝐚𝐥𝐨𝐠𝐡𝐢

👉I termini e condizioni dello shop devono 𝐩𝐫𝐞𝐯𝐞𝐝𝐞𝐫𝐞 𝐥’𝐚𝐭𝐭𝐢𝐯𝐢𝐭𝐚̀ 𝐝𝐢 𝐬𝐨𝐟𝐭 𝐬𝐩𝐚𝐦

👉I clienti devono avere la 𝐩𝐨𝐬𝐬𝐢𝐛𝐢𝐥𝐢𝐭𝐚̀ 𝐝𝐢 𝐫𝐢𝐟𝐢𝐮𝐭𝐚𝐫𝐞 𝐥’𝐢𝐧𝐯𝐢𝐨
di comunicazioni soft spam.

🛑𝐐𝐮𝐚𝐥 𝐞̀ 𝐥𝐚 𝐝𝐢𝐟𝐟𝐢𝐜𝐨𝐥𝐭𝐚̀? Capire quali siano effettivamente i prodotti analoghi poiché non esiste una definizione univoca.

Gli esperti di privacy hanno spesso un’opinione discordante: per i più rigorosi i prodotti/servizi analoghi sono MOLTO vicini a quelli già venduti.

💻In questo caso, 𝘂𝗻 𝗽𝗿𝗼𝗱𝗼𝘁𝘁𝗼 𝗮𝗻𝗮𝗹𝗼𝗴𝗼 𝗱𝗶 𝘂𝗻 𝗣𝗖 𝗽𝗼𝘁𝗿𝗲𝗯𝗯𝗲 𝗲𝘀𝘀𝗲𝗿𝗲 𝗶𝗹 𝘀𝘂𝗼 𝗰𝗮𝗿𝗶𝗰𝗮𝗯𝗮𝘁𝘁𝗲𝗿𝗶𝗲.

Al contrario, i più tolleranti ritengono che ci sia maggiore margine di scelta tra i prodotti/servizi analoghi del soft spam.

💻Ad esempio, 𝗹𝗮 𝗰𝗼𝘃𝗲𝗿 𝗱𝗶 𝘂𝗻 𝗣𝗖 (sebbene non sia un accessorio tech) 𝗽𝗼𝘁𝗿𝗲𝗯𝗯𝗲 𝗿𝗮𝗽𝗽𝗿𝗲𝘀𝗲𝗻𝘁𝗮𝗿𝗲 𝘂𝗻 𝘀𝘂𝗼 𝗽𝗿𝗼𝗱𝗼𝘁𝘁𝗼 𝗮𝗻𝗮𝗹𝗼𝗴𝗼.

🧠 Non esiste risposta giusta quando subentra l’interpretazione ma voglio dirvi la mia: il limite del soft spam dovrebbe essere definito dalla medesima categoria merceologica del prodotto/servizio già venduto.

Tuttavia, è bene valutare caso per caso per definire la migliore strategia legale per il business di riferimento.

Scopri tante altre curiosità sulla gestione dei dati e della privacy nell’Academy di Legal for Digital.
🎯Meta a pagamento? Lo avevamo già preannunciato…
Tag: #gdpr

Proprio qualche giorno fa in una puntata del Caffettino di Mario Moroni abbiamo parlato di futuro dei social e della deriva a pagamento che naturalmente avrebbero intrapreso per salvaguardare la raccolta dei nostri dati personali.

Se ora Meta sarà a pagamento c’è solo qualcuno che dobbiamo ringraziare e non è il buon Mark…

Diciamolo insieme: GRAZIE GDPR!

O meglio: GRAZIE SILENZIO ASSORDANTE…

Infatti quasi un anno fa le testate giornalistiche hanno cominciato a proporre banner cookie la cui scelta era: o ti fai profilare oppure ti abboni.

Il Garante della privacy aveva emesso un comunicato stampa in cui indicava come questo comportamento fosse di per sé sbagliato e che stavano approfondendo.

È passato un anno, ma tutto tace non solo a livello Italia ma anche Ue…

Nel frattempo, a gennaio, qualcuno delle alte sfere europee si è degnato di leggere i termini e condizioni di Meta e ha “scoperto” che la profilazione è prevista al loro interno e quindi non come elemento basato sul consenso in una privacy/cookie policy. E quindi è “male”…

Tutto questo breve racconto per ragionare insieme sul come ad una azione segue sempre una reazione e a volte manca una vera e propria strategia…

Quindi ora tirate fuori il cash o continuate a farvi profilare la pubblicità come è peggio di prima
🎯𝐐𝐮𝐚𝐧𝐝𝐨 𝐢𝐥 𝐃𝐚𝐭𝐚 𝐛𝐫𝐞𝐚𝐜𝐡 𝐭𝐢 𝐠𝐚𝐫𝐚𝐧𝐭𝐢𝐬𝐜𝐞 𝐮𝐧𝐚 𝐦𝐮𝐥𝐭𝐚!

Tag: #GDPR

Il termine 𝐃𝐚𝐭𝐚 𝐁𝐫𝐞𝐚𝐜𝐡 potrebbe scaturire timori comprensibili, ma comprenderne l'importanza è vitale nel mondo digitale d'oggi.

Si tratta di una violazione dei dati personali, un rischio serio per le imprese e le persone.Ma cosa significa veramente?

Il Data Breach è la perdita, la modifica, la divulgazione non autorizzata o l'accesso a informazioni sensibili che può verificarsi in diverse modalità, dai comuni errori umani ai sofisticati cyber attacchi.

Un esempio concreto? Un incendio che distrugge dati aziendali, un dispositivo smarrito che contiene informazioni sensibili, l'accesso non autorizzato ai dati o ancora, la divulgazione accidentale di informazioni personali.

Ciò che è importante ricordare è che, in caso di Data Breach, c'è un obbligo fondamentale: il titolare del trattamento dei dati deve notificare all’autorità competente la violazione dei dati personali entro le tempistiche previste dal GDPR (72 ore).

𝐋𝐚 𝐩𝐫𝐞𝐯𝐞𝐧𝐳𝐢𝐨𝐧𝐞 𝐞̀ 𝐥𝐚 𝐜𝐡𝐢𝐚𝐯𝐞.

Come fare? Attraverso la formazione, la sicurezza informatica, i test regolari sulla rete aziendale e l'implementazione di misure di protezione dei dati.

⚠️Attenzione, violare il GDPR può comportare sanzioni significative, incluse multe che possono raggiungere il 4% del fatturato annuo dell’azienda.

La sicurezza dei dati non rappresenta solo un adempimento legale, ma costituisce anche un investimento cruciale per il futuro del tuo business.
🎯 A cosa serve il registro del trattamento?
Tag: #GDPR

Il registro del trattamento è davvero il documento fondamentale per quanto riguarda il trattamento dei dati personali dei clienti.

In realtà, il registro del trattamento è proprio il documento sul quale costruire l'infrastruttura del trattamento dei dati personali qualsiasi trattamento di dati personali.

Ecco che, oltre ai dati dei clieni, andrà disciplinata anche la gestione dei dati personali di qualsiasi altro che interagisce con noi come collaboratori, fornitori, ecc.

Ma pensiamo ai soggetti che si candidano a lavorare nella nostra realtà imprenditoriale, ma anche i dati personali degli utenti che interagiscono con noi tramite il form di contatto sul sito web e, in generale, qualsiasi soggetto che interagisce con noi conferendo i suoi dati personali.

Quindi quali sono gli elementi fondamentali da inserire nel registro del trattamento?

Indicativamente sono almeno sette le domande fondamentali da farsi:

1. Prima di tutto, quali sono i dati personali trattati?
2. Chi è il titolare di questi dati, vale a dire il soggetto interessato al trattamento.
3. Con quali modalità vengono trattati singolarmente questi dati personali?
4. Quali sono le finalità del trattamento in relazione a ogni singolo dato personale oppure per ogni dato, se ci sono più finalità del trattamento?
5. Per quanto tempo viene trattato ciascun dato personale?
6. Con quali strumenti vengono trattati i dati? Anche a livello tecnico come vengono trattati i singoli dati personali?
7. Da quali soggetti vengono trattati i dati personali?

Ecco che per redigere in modo corretto un registro del titolare del trattamento ci vuole tempo, ci vuole impegno e serve l'analisi dettagliata del flusso di raccolta di qualsiasi dato personale.

Analizzando singolarmente ogni flusso, possiamo raccogliere tutte queste informazioni e poter predisporre un registro del trattamento davvero completo e quindi a norma di Gdpr.

Ecco che in quest'ottica il fac simile di documento che trovi online forse è buono solo per scriverci la lista della spesa o poco più 😜
🎯 Il cuore del Gdpr: le finalità del trattamento dei dati
Tag: #GDPR

Perché trattiamo certi dati personali? Per quali obiettivi? E quindi per quali finalità l'interessato deve sempre sapere per quali finalità i suoi dati personali sono trattati?

Nei vari documenti legali non basta indicare la tipologia di dati trattati, la durata del trattamento, ma anche la relativa finalità, perché lo stesso dato potrebbe essere trattato per finalità diametralmente opposte.

Facciamo un esempio interessato al trattamento dati si iscrive alla nostra newsletter, riceve una mail con un'offerta commerciale per l'acquisto di un prodotto, procede all'acquisto di quel prodotto.

Nel nostro crm avremo un unico dato personale che è quello della mail, ma lo tratteremo per due finalità del trattamento diverse.

Da una parte avremo la finalità contrattuale insieme a tutti gli altri dati legati alla spedizione del prodotto, alla fatturazione e via dicendo.

Dall'altra parte la finalità di marketing, quindi ad esempio comunicazioni commerciali e questo da quando il soggeto si è iscritto alla nostra newsletter.

Ogni finalità ha un suo time stamp di raccolta del consenso, una relativa scadenza del consenso e modalità di gestione e condivisione del dato potenzialmente diversissime tra loro.

Ma quali sono le altre finalità del trattamento?

Possono essere tantissime come profilazione, raccolta curriculum, programmi fedeltà, partecipazione a manifestazioni a premi e cosi via...

In altre parole le finalità del trattamento sono il vaso di Pandora del Gdpr...
🎯 Aprire OF senza rischi LEGALI
Tag: #GDPR #COPYRIGHT

La piattaforma blu è oramai in hype da qualche tempo ma ancora in tanti non hanno compreso come gli aspetti legali da considerare siano tantissimi:

1. Leggi sulla maggiore età e consenso: per diventare un creator devi essere maggiorenne e ti saranno chiesti i documenti per provarlo. In caso di contenuti con terzi dovrai dimostrare di aver raccolto il loro consenso in modo conforme alla legge.

2. Tasse e dichiarazioni fiscali: meglio sentire un buon commercialista perché il discorso dei 5k annuali è assolutamente falso...

3. Protezione della privacy: quando utilizzi la piattaforma entri in contatto con fan che potrebbero chiederti di acquistare contenuti anche fuori piattaforma. Ecco che in questo caso dovrai garantire la corretta gestione dei loro dati e la non divulgazione dei loro nominativi.

4. Diritto d'autore e proprietà intellettuale: i contenuti che crei sono tuoi ma li concedi in licenza ai tuoi fan che sottoscrivono un abbonamento mensile, trimestrale, semestrale o annuale. Anche se questa licenza non permette di condividere all'esterno della piattaforma i tuoi contenuti questa è una scomoda realtà che affligge molti creator. In quest'ottica, a livello legale potresti agire per cessione di tue foto e video senza consenso richiedendo anche un risarcimento danni o un equo compenso.

5. Contratti con la piattaforma: OF ha le sue regole e per lavorarci in modo profittevole devi conoscerle nel dettaglio. Magari in un prossimo contenuto le potremmo analizzere n modo dettagliato. Metti un cuore a questo contenuto se sei interessato.

Ma non finisce qui, perché ad esempio la creazione di contenuti personalizzati per gli utenti porta con sé una serie di risvolti a livello di licenze di utilizzo, pagamenti, privacy e responsabilità legali quasi infinite...

Questo è proprio uno di quei casi in cui una buona consulenza legale è il miglior investimento che puoi fare per aprire il tuo business su OF.
🎯 Gestire dati sanitari senza rischiare mega multe per la privacy
Tag: #GDPR

Ci sono diversi aspetti della privacy dei dati da considerare quando si gestisce un'azienda che tratta informazioni sanitarie sensibili, tra i più importanti:

1. Conformità normativa
È essenziale rispettare le leggi ei regolamenti sulla privacy dei dati sanitari, come l'HIPAA (Health Insurance Portability and Accountability Act) negli Stati Uniti o il GDPR (General Data Protection Regolamento) in Europa. Questi regolamenti stabiliscono standard rigidi per la raccolta, l'archiviazione, l'uso e la condivisione dei dati sanitari.

2. Conservazione dei dati
Va definita la durata per la quale i dati sanitari verranno conservati e stabilire procedure per l'archiviazione sicura e la successiva cancellazione dei dati quando non sono più necessari.

3 Controllo degli accessi ai dati
va limitato l'accesso ai dati particolari solo al personale autorizzato. Utilizzare sistemi di autenticazione a più fattori e assegnare i privilegi di accesso in modo mirato in base alle mansioni specifiche dei dipendenti.

4. Protezione e sicurezza dei dati
Vanno implementare misure di sicurezza informatica importanti come la crittografia dei dati, la protezione antivirus, i firewall ei protocolli di sicurezza delle reti per proteggere i dati sanitari da accessi non autorizzati o da violazioni.

5. Formazione dei dipendenti
Bisogna assicurarsi che il personale sia adeguatamente formato e consapevole dei rischi per la privacy dei dati e abbia acquisito le procedurre in caso di Data Breach

6. Consenso al trattamento del dato
È necessario ottenere il consenso informato dai pazienti o utenti per la raccolta e l'uso dei loro dati sanitari, fornendo informazioni chiare e trasparenti su come verranno utilizzati i dati e con chi verranno condivisi.

Questi sono solo gli elementi minimi necessari per gestire dati sanitari...

Prima di iniziare un business che si basi sul trattamento di questi dati forse è il caso di organizzare un'ottima data strategy.
🎯 Check list per scrivere la privacy policy di un ecommerce
Tag: #GDPR

Creare una privacy policy per un e-commerce è qualcosa di davvero complesso soprattutto per le ripercussioni che potrebbe avere un errore a livello sanzionatorio.

Proprio per questo noi di Legal for Digital abbiamo pensato a realizzare questa piccola ma completa check list per non sbagliare!

Ecco a te gli elementi fondamentali da cui partire:

1. Informazioni di contatto
Fornisci informazioni di contatto della tua realtà imprenditoriale, inclusi indirizzo, numero di telefono e indirizzo e-mail, in modo che le persone possano contattarti per domande sulla privacy.

2. Dati raccolti
Descrivi chiaramente i tipi di dati personali che raccogli, come nome, indirizzo, indirizzo e-mail, dati di pagamento e così via.

3. Finalità del trattamento
Spiega le finalità per cui raccogli e mantieni i dati personali degli utenti e dei clienti. Ad esempio, potrebbe essere necessario raccogliere informazioni per elaborare gli ordini, fornire assistenza clienti, o inviare aggiornamenti e promozioni.

4.Base giuridica per il trattamento
Indica la base giuridica su cui ti basi per il trattamento dei dati personali. Ad esempio, potrebbe essere il consenso dell'utente o la necessità di trattare i dati per l'esecuzione di un contratto per l'acquisto di un prodotto dal tuo shop online.

5.Consenso:
Spiega come ottini il consenso degli utenti e dei clienti per la raccolta e il trattamento dei loro dati personali. Controlla che anche tutti i form sull'ecommerce sia a norma di Gdpr!

6. Conservazione dei dati:
Specifica per quanto tempo i dati personali verranno conservati e le procedure per la cancellazione dei dati quando non sono più necessari.

7. Condivisione dei dati:
Se condividi i dati personali con terze parti, indica chiaramente con chi vengono condivisi e per quali scopi.

8. Sicurezza dei dati:
Descrivi le misure di sicurezza che hai implementato per proteggere i dati personali da accessi non autorizzati, perdite o alterazioni.

9.Diritti degli utenti:
Informa gli utenti dei loro diritti in termini di accesso, rettifica, cancellazione e opposizione al trattamento dei loro dati personali.

10. Cookie:
Se si utilizzano cookie o altre tecnologie di tracciamento, spiega come e perché vengono utilizzati.

Se vuoi portare le tue competenze in ambito privacy al livello superiore puoi acquistare il corso di 24 lezioni che abbiamo realizzato e trovi qui sotto.
🎯 Check list per una cookie policy a prova di Garante della privacy
Tag: #GDPR

Dopo il grande successo della check list per la privacy policy di uno shop online abbiamo deciso di replicare con la check list per una cookie policy perfettamente a norma di Gdpr.

La Cookie Policy è il documento che spiega come il tuo sito web utilizza i cookie e gli elementi essenziali che deve comprendere sono i seguenti:

1. Introduzione al documento
Inizia con un'introduzione che spiega cosa sono i cookie e l'obiettivo della tua Cookie Policy in relazione al tipo di sito: vetrina, landing page, ecommerce, ecc.

2. Definizioni dei tipi di cookie
Fornisci definizioni chiare di termini come "cookie", "tecnologie di tracciamento", ecc., per assicurarti che i visitatori comprendano il linguaggio utilizzato.

3. Cookie utilizzati
Descrivi i diversi tipi di cookie utilizzati sul tuo sito. Ad esempio, cookie tecnici, cookie di profilazione, cookie di terze parti, ecc.

4. Scopo dei cookie
Spiega per quali scopi specifici vengono utilizzati i cookie sul tuo sito web. Ad esempio, migliorare l'esperienza dell'utente, analisi del sito, personalizzazione dei contenuti, pubblicità mirata, ecc.

5. Eventuali Cookie di terze parti
Se il tuo sito utilizza cookie di terze parti (come quelli di Google Analytics o pixel di facebook), spiega chiaramente quali sono e per quali scopi vengono utilizzati.

6. Consenso:
Descrivi come gli utenti possono dare il loro consenso all'uso dei cookie e come funziona il banner dei cookie.

7. Rifiuto dei cookie
Informa gli utenti su come possono rifiutare o revocare il consenso all'uso dei cookie e spiega eventuali conseguenze di tale rifiuto.

8. Durata delle sessioni
Indica per quanto tempo i cookie rimarranno attivi sul dispositivo dell'utente.

9. Gestione dei cookie:
Fornisci istruzioni su come gli utenti possono gestire i cookie sul proprio dispositivo, anche come eliminare o disattivare i cookie attraverso le impostazioni del browser.

10.Contatti e dati del Titolare del trattamento
Fornisci informazioni di contatto per domande o dubbi relativi alla Cookie Policy e tutti i tuoi dati aziendali.

Ora hai tutto quello che ti serve per redigere la cookie policy del tuo sito web ma stai attento a verificare che nessun cookie profilante si attivi prima di aver raccolto il consenso dell'utente!
🎯 IL FREELANCE NON DEVE PENSARE ALL'ADEGUAMENTO PRIVACY OFFLINE?
Tag: #gdpr

La risposta è chiaramente certo che ci deve pensare ma cosa deve fare in concreto?

Il Gdpr non ce lo dice esplicitamente ma noi di Legal for Digital vi raccontiamo la nostra ricetta per un adeguamento privacy offline a prova di bomba!

Cosa facciamo in contreto:

1) analisi dei soggetti coinvolti nel trattamento dati (ruoli, compiti e responsabilità)
2) analisi legale e valutazione di tutte le finalità e trattamenti svolti
3) valutazione documentale delle misure di sicurezza adottate
4) valutazione dei locali lavorativi e possibili rischi privacy
5) valutazione analitica dei dati trattati per ciascun trattamento svolto
6) definizione dell’organigramma privacy
7) redazione di tutti i contratti di nomina a responsabili del trattamento
8) redazione del registro dei trattamenti come titolare
9) redazione del registro del responsabile del trattamento
10) registro delle richieste di accesso degli interessati
11) registro di gestione e documentazione dei data breach
12)redazione e consegna del MOP (Modello organizzativo Privacy)

Spero di aver dato un'idea chiara su come il Gdpr per freelance non sia solo una semplice inforamtiva privacy nel contratto

E tu quanti di questi 12 punti hai già messo a norma?