Gestione cookie e privacy di siti web e App: il rapporto fra DPO e Responsabile Marketing

20 luglio 2022Ultimo aggiornamento 29 febbraio 2024
Tempo di lettura stimato: 5'
Lo scorso maggio ho partecipato come speaker all’Ottavo Congresso di ASSODPO. 
Era da poco uscito ELMO, il nostro cookie manager per la gestione della cookie privacy nei siti web e nelle App. Mentre preparavo il mio intervento, mi sono chiesto: "Cosa faccio? Vado a parlare di ELMO, di quanto siamo belli e di quanto siamo bravi o guardiamo dove siamo arrivati dal 2018 a oggi?”

E mi sono detto: “Meglio guardare a dove siamo arrivati.” 

Per farlo sono andato a ripescare i miei interventi del 2018 ed è stato illuminante vedere che non è che ci siamo mossi tantissimo in 4 anni... E questo nonostante le Linee Guida sui cookie del Garante. Lo confesso, ho un po' la sensazione che ci manchi lo sprint da ultimo miglio. Ormai ci sei, lo sforzo lo hai fatto, vedi la meta… ma a un passo dal traguardo, rallenti. Ed è una cosa che, secondo me, manca a noi consulenti e forse anche le aziende.

Il punto, oggi come nel 2018, l’ho fatto applicando il teorema del Professor Giuliani, che è un po’ forte, lo so, ma chi mi conosce sa che tendo a usare metafore (a volte anche sopra le righe: hai presente quella della differenza fra titolare, responsabile e addetto? Ecco… hai capito).

Il teorema di Giuliani si chiama "Esibizionisti e mutande sporche" e lo applico quando si parla di sito internet e di trattamenti effettuati sulle App e sui siti web.

Esibizionisti e mutande sporche: dimmi che informativa hai sul sito (se ce l’hai) e ti dirò chi sei

Il Prof. Giuliani diceva che il sito internet è una finestra che permette a chi sta fuori - i navigatori del mondo - di vedere dentro l'azienda e quindi di farsi un’idea di come vengono trattati i dati.

Quindi, da fuori, noi guardiamo nel portale web e cosa vediamo? 

Vediamo che ci sono due grandi categorie di titolari del trattamento: 

1 - Gli esibizionisti

Sono quelli che girano nudi. Sono quelli che non hanno informative, non hanno policy privacy, non hanno niente. Nudi e crudi come mamma li ha fatti.

2 – Quelli in mutande (sporche)

Poi ci sono quelli che credono di essere a posto. Pensano di essere tutti tirati, con la cravatta e il tacco 12, perché loro, sai, hanno il cookie banner! Peccato però che, se guardi bene, manca l’informativa, manca la privacy policy, manca l'informativa sulla newsletter, gli manca tutto… Però, attenzione, il cookie banner loro ce l’hanno, eh! 
Ecco, questi in realtà hanno solo le mutande. E se le sono pure messe sporche, perché quello che trattano non è quello che fanno ed è tutto diverso. 

Nel 2022 siamo messi come nel 2018. 

C’è un articolo sul blog di PrivacyLab di 4 anni fa in cui dipingo la stessa identica situazione. È quello su cosa deve contenere un’informativa

Quindi mi sono chiesto: perché siamo ancora qui? Di chi è la colpa?

Titolari senza informativa e titolari che hanno solo il cookie banner: ma di chi è la colpa?

Forse è colpa delle aziende. Ma ne siamo sicuri? 
E se fosse invece colpa nostra, come consulenti, come DPO e come esperti? 
O se fosse colpa nostra solo in parte?

Così ho cercato di metter giù degli scenari per capire la situazione e anche l’approccio che hanno normalmente molti DPO e Privacy Manager.

Bene. 

Ecco cosa ho visto: 

 
Ho visto “Il consulente unto del Signore”, che parla come il Messia e che sentenzia come un Profeta dell’Antico Testamento. 

Il DPO unto del Signore non indica la via, vieta. Punto

Il DPO-Messia è quello che ti dice: “Fratello, tu devi trattare solo questi dati.”
E poi, puntandoti il dito indice davanti agli occhi, precisa “Se non fai così, vai all’inferno!”

Ci sono dei DPO che lavorano in questo modo, bada bene. 

In queste situazioni il rapporto fiduciario azienda-DPO, titolare-operativi, diventa un po’ complicato. Per capirci, immaginati questo scambio:  

Azienda: “Sai vorrei usare i dati per…”
DPO: “Ti ho detto che non si può fare.”
E l’azienda: “Ma… se invece facessimo…”
DPO: “Non si può fare.”

Ecco, io mi chiedo allora: ma siamo sicuri di avere in mano la Verità? Siamo sicuri di avere tutti gli strumenti in mano per potere dire “non si può fare”?
 
È vero che poi ci confrontiamo spesso con dei Responsabili Marketing che vorrebbero usare i dati per fare le peggio cose… 

Quando il Responsabile Marketing è come quello che usa il GHB alle feste…

Me lo immagino il dialogo fra il DPO unto del Signore e un Responsabile Marketing che vorrebbe usare i dati per fare delle sporcaccionate – scherzo… ma mica tanto! – e si trova davanti a un muro: 

Responsabile Marketing: “Sai DPO, stavo pensando di comprare i dati di potenziali clienti su internet e inviare gli SMS…”
DPO: “Non si può fare.”
Responsabile Marketing: “Allora posso usarli per mandare la newsletter? La newsletter posso mandarla, vero?”
DPO: “Ti ho detto che non si può fare.”
Responsabile Marketing: “E una brochure a casa?”

A quel punto il DPO lo guarda negli occhi, scuote la testa e tira dritto, lasciando il Responsabile Marketing sconsolato, come uno che si sente dire che non può usare il GHB per conquistare le ragazze a una festa - che ovviamente è un reato, non si può fare! – e che piagnucola sconsolato dicendo “Ma così non conquisterò mai nessuna donna…”. 

 
Sì, lo so, l’esempio è forte. Però è calzante: con i dati personali non puoi fare le sporcaccionate. Non puoi fare quello che ti pare.

Anche perché non devi per forza fare le sporcaccionate per ottenere risultati!

E questa è mancanza di consapevolezza.

Mancanza del Marketing, certo, ma forse anche mancanza di consapevolezza del consulente. 

Marketing e DPO devono parlare la stessa lingua

Siamo sicuri che, dall’alto, chi ha in mano l’idea del trattamento dati – il DPO, il Consulente Privacy - sia capace di ascoltare quello che i Responsabili Marketing dicono? E ascoltare – attenzione! - non vuol dire chiedere "Che cosa fai?", ma vuol dire domandare "Cosa ti piacerebbe fare?".

Dimmi cosa ti piacerebbe fare. Qual è il tuo obiettivo? 
E insieme, DPO e Responsabile Marketing, decideranno come procedere:
  • il Marketing sceglierà gli strumenti
  • il Data Protection Officer lo aiuterà a scegliere le modalità affinché funzioni il tutto, affinché non si debbano chiedere 777 consensi - perché non ha senso certe volte… - o affinché l’azienda non dica “Sì, sì, tutto a posto non facciamo niente…” E poi, sotto sotto, traccia tutto e fa quello che le pare… 
Queste due figure devono parlare.

Lo so, col marketing si fa fatica, perché ti dicono "Falliremo, non venderemo più niente".

Allora, può darsi che noi - consulenti e DPO – si debba cominciare ad avere non solo il linguaggio del trattamento dati, ma che si inizi anche a fornire soluzioni, a indicare - senza prevaricare – e ad accompagnare l'azienda. Dicendo: “Non andrai all’inferno, vediamo se con un po’ di purgatorio riusciamo a passarla…” 

Parlare la stessa lingua, gli uni e gli altri.
Ma come? Partendo dalla consapevolezza.
E come si acquisisce la consapevolezza?
Con la formazione.

La consapevolezza si acquisisce con la formazione

E la formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è il fondatore di PRIVACYLAB, per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy