Andrea Giannangelo, CEO di iubenda | L’intervista di 4Dem

25 Maggio 2018, data storica che aziende e professionisti impegnati in campo digitale ricordano bene: il giorno dell'entrata in vigore del GDPR. Ma cosa è successo da quel giorno ad oggi? Cosa è davvero cambiato? Come si sono evolute le aziende per mandare in soffitta il vecchio codice privacy e dare il benvenuto al nuovo?

Proprio nel 2018, 4Dem ha collaborato con un brand italiano che si è dimostrato prontissimo in fatto strumenti e competenze messe a disposizione delle aziende per applicare questo grande cambiamento e per aiutare loro a vederlo come un'opportunità e non come una sconfitta. Due anni dopo, chiediamo proprio ad Andrea Giannangelo, CEO di iubenda, a che punto siamo con gli adempimenti, se le aziende si sono finalmente adeguate al nuovo regolamento sulla privacy e come aiutare le imprese che ancora oggi non lo sono, a farlo.

Ciao Andrea, è un piacere ospitarti sul blog di 4Dem per questa intervista. Posso chiederti di presentarti ai nostri lettori e a tutti coloro che ancora non ti conoscono?

Ciao Valentina, ho sempre voluto fare impresa e progetti web, fin dall’età di 11-12 anni. Durante il liceo classico ho creato il mio primo sito, un aggregatore di palinsesti tv. Avevo però bisogno di creare una privacy policy. Ho iniziato a studiare per cercare di capirne di più, e mi sono reso conto che praticamente tutti i siti web devono avere quel tipo di documento. Nel 2011 ho fondato iubenda assieme al tutt’ora CTO Domenico Vele per sviluppare un software in grado di permettere a chiunque di rispettare facilmente questo obbligo.

Da allora abbiamo generato più di 1 milione di documenti legali, e abbiamo arricchito la nostra offerta affiancando al Generatore di Privacy e Cookie Policy la Cookie Solution, due soluzioni per soddisfare i requisiti di consenso e di compliance interna introdotti dal GDPR (la Consent Solution e l’Internal Privacy Management) e il Generatore di Termini e Condizioni. Siamo stati anche i primi ad offrire un servizio per costituire SRL online.

Ad oggi il nostro team conta più di 50 persone di varie nazionalità, e abbiamo oltre 60.000 clienti in più di cento paesi, fra questi grandi aziende come RAI, Mediaset e Mondadori. Operiamo sia in Italia che all'estero, in particolare Stati Uniti, Canada, Australia e in tutti i paesi europei.

---

Un bel percorso e, possiamo dirlo, anche quello di tutte le aziende che da Maggio 2018 hanno dovuto necessariamente adeguarsi alla Normativa sulla Privacy. A distanza di più di un anno, in base alla tua esperienza, qual è il tuo pensiero sulla situazione attuale?

Ti rispondo segnalando i dati secondo me più significativi: il Garante Privacy italiano ha comunicato che nei soli primi 4 mesi di applicazione i reclami e le segnalazioni sono aumentati del 40% rispetto allo stesso periodo dell'anno precedente, fino a raggiungere un totale di 14.500 a dicembre 2019.

Tra maggio 2018 e dicembre 2019, sempre il Garante Italiano ha ricevuto i nominativi di oltre 54.000 DPO, una nuova figura introdotta dal GDPR: questo significa che ci sono più di 54.000 aziende che hanno ritenuto necessario dover nominare un responsabile della protezione dei dati. Un chiaro segnale che anche in Italia si ha una maggiore consapevolezza dei diritti — sia propri che dei propri utenti — in materia di privacy.

Lato sanzioni, nel 2019 in Europa sono state inflitte multe per un totale di 410 milioni di euro, con Regno Unito e Italia tra i paesi più attivi. L’Italia è il paese con il maggior numero di provvedimenti, oltre 30, per un totale di circa 4 milioni di euro.

Questi dati dovrebbero bastare a indurre imprese e professionisti a mantenere alta l’attenzione sull’argomento adempimenti.

---

Quanto lavoro c’è ancora da fare per il completo adeguamento delle aziende alla normativa?

Da un’indagine dell’Osservatorio Information Security & Privacy del Politecnico di Milano è emerso che a fine 2019, il 55% delle imprese italiane ha completato l’adeguamento al GDPR (erano il 24% lo scorso anno), il 45% ha aumentato gli investimenti a questo scopo e il 61% oggi ha in forza all’interno della propria organizzazione un DPO.

Pur se in ritardo rispetto alle grandi imprese, anche le PMI hanno fatto intravedere progressi nella gestione della privacy e della protezione dei dati: solo il 9% delle PMI non conosce il GDPR (il 2% fra le medie imprese) e il 67% ha attivato progetti di adeguamento alle normative, seppur spesso limitati ad attività che richiedono investimenti contenuti. In generale comunque, la sensazione è che le PMI fatichino ancora a prendere consapevolezza dei rischi derivati dal mancato adeguamento al GDPR.

Ecco perché per noi è fondamentale informare i clienti costantemente: un cliente non informato non è in grado di rendersi conto di quanto sia importante adeguarsi alla normativa.

Con iubenda sviluppate soluzioni pratiche per rendere aziende e startup “serenamente compliant”. Come supportate inoltre, lato consulenza, i clienti in questo processo?

Sul nostro sito è possibile trovare un’ampia documentazione di supporto, sia in italiano che in inglese: le nostre guide spaziano da articoli informativi di natura legale fino a quelli dedicati all’utilizzo delle nostre soluzioni, il tutto spiegato in un linguaggio il più semplice possibile, e sempre corredato da esempi pratici. Laddove tutto questo non bastasse, il nostro team di supporto è sempre disponibile a fornire assistenza via chat e mail.

Molto apprezzati e seguiti sono anche i webinar gratuiti che teniamo tutti i mesi, in quanto i partecipanti possono ricevere risposta alle proprie domande dal vivo, oltre a materiale informativo e risorse utili al termine di ogni appuntamento.

Infine teniamo aggiornati i nostri utenti sulle novità in materia di legge e sul lancio di nuove funzionalità e prodotti tramite i nostri canali social e, soprattutto, la nostra newsletter mensile che conta più di 200.000 iscritti.

Anche 4Dem e iubenda hanno realizzato un webinar insieme su Tutte le novità introdotte dal GDPR, puoi rivederlo qui.

---

I nostri clienti “confessano” di essere molto rassicurati dall’utilizzo di un software di un brand italiano con ben chiara la normativa Europea e che ha messo sin da subito a loro disposizione gli strumenti e la formazione adeguata per renderli coscienti ed operativi sin da subito. Ritieni che affidarsi ai servizi digitali di un’azienda che ha sede in UE possa essere una forma in più di sicurezza e tranquillità per le aziende?

Sicuramente aiuta. Come dichiarato dal segretario generale della Commissione Juncker, Martin Selmayr, il modello del GDPR ha fatto il giro del mondo, diventando nel giro di un anno lo standard adottato da paesi che costituiscono il 42% del Pil mondiale e il 34% degli scambi globali.

Con il GDPR l’Europa ha risposto agli ultimi sviluppi tecnologici e alle esigenze di tutela dei dati sempre più avvertite dai cittadini, portando con sé grandi cambiamenti nell’approccio delle aziende rispetto ai processi di trattamento dei dati e un livello di trasparenza completamente nuovo.

Ma quella europea non è l’unica normativa che ci deve venire in mente quando si parla di protezione dei dati. Penso ad esempio al CCPA e al CalOPPA statunitensi, o all’APP australiano, tutte leggi solide e stringenti che controlliamo regolarmente per i nostri testi legali.

---

4Dem sviluppa tecnologia al servizio dei marketer offrendo uno strumento tecnologico per far comunicare le aziende tramite Campagne Email ed SMS. Ci siamo sempre sentiti responsabili nel dover istruire e formare i nostri utenti con tutte le best practice del caso, spesso avvalendoci della competenza di altre aziende come iubenda appunto. Abbiamo scritto e-Book e proposto Webinar quando il GDPR era un tema più che caldo ma siamo consapevoli che, ancora oggi, tanti utenti continuano ad avere dubbi su tante tematiche. Vogliamo dare loro una mano! Ci aiuti a rispondere alle domande più “gettonate” del nostro Customer Care?

Certo, sono pronto!

Posso inserire nella mia mailing list i dati forniti in fiera tramite biglietto da visita?

No, il GDPR vieta l’iscrizione automatica degli utenti a una lista, anche nel caso in cui possano disiscriversi liberamente. Estendendo il concetto ai form (siano essi online o offline), dobbiamo poter dimostrare di aver ottenuto un consenso esplicito e verificabile tramite una chiara opzione di opt-in. Ecco perché, ad esempio, il regolamento non ammette neppure meccanismi di iscrizione alle newsletter tramite checkbox pre-selezionate.

Discorso diverso invece se l’attività di trattamento che intendiamo intraprendere con i dati raccolti rientra in una base giuridica diversa dal consenso: se ad esempio utilizzeremo i dati di quel biglietto da visita per fornire un preventivo, rientreremo nella base del contratto, e potremo quindi contattare l’utente (solo ed esclusivamente) per quel fine.

Come posso utilizzare una lista pubblica per fare Direct Email Marketing nel modo corretto?

Parto da una premessa: non è lecito utilizzare l’indirizzo email (anche se professionale, es. mario.rossi@azienda.com) di una persona senza aver raccolto il suo consenso, in quanto così facendo sarebbe possibile identificarla e si tratterebbe quindi di trattamento di dati personali. Diverso è il caso in cui utilizziamo un indirizzo di posta elettronica generico come info@azienda.com, poiché a partire da tale indirizzo non è possibile risalire ad una persona particolare.

Ciò detto, nelle linee guida in materia di attività promozionale e contrasto allo spam del luglio 2013 il Garante ha stabilito il principio generale secondo il quale non è possibile inviare comunicazioni promozionali senza il preventivo consenso dell’interessato neppure nel caso in cui i dati personali siano contenuti in “registri pubblici, elenchi, siti web atti o documenti conosciuti o conoscibili da chiunque”.

Esiste però un’eccezione legata alle finalità per cui vogliamo utilizzare tali dati personali. Faccio un esempio per chiarire il tutto: supponiamo che io voglia inviare DEM agli avvocati di un determinato Foro utilizzando gli indirizzi personali pubblicati nell’albo. In tal caso, potrò utilizzare tali indirizzi per finalità di marketing purché mi attenga a promuovere attività, beni o servizi strettamente legati alle materie di competenza dei professionisti. In questo esempio, possiamo dire dunque sì a inviti a convegni, a sottoscrizioni a riviste di settore, vendita di toghe o altri articoli di cancelleria per ufficio, offerte di software e database giuridici. Va da sé che non potrò promuovere beni o servizi che esulano dal perimetro appena delineato.

Ricordo infine che, prima di poter utilizzare a fini di marketing gli indirizzi (o i numeri) contenuti negli elenchi pubblici, le società sono tenute a verificare che gli utenti non siano iscritti nel Registro pubblico delle opposizioni e non abbiano quindi in tal modo espresso la propria contrarietà a ricevere email (o telefonate) pubblicitarie.

Oltre al GDPR mi devo preoccupare di altro? Soprattutto, se la mia azienda opera in più paesi?

Fermo restando che nella maggior parte delle legislazioni è obbligatorio fornire informazioni sul trattamento dei dati personali e adottare un metodo per ottenere il consenso degli utenti e per facilitarne la revoca, se facciamo uso di cookie dobbiamo adeguarci alla Direttiva ePrivacy (anche nota come Cookie Law).

In particolare dobbiamo:

• predisporre una cookie policy, ovvero un approfondimento della privacy policy dedicato ai cookie (siano essi tecnici, statistici e/o di profilazione);
• mostrare sul sito un banner che, alla prima visita, informi l’utente della presenza dei cookie (obbligatorio se facciamo uso di cookie statistici, a fini pubblicitari o di profilazione);
• bloccare preventivamente tutti i codici che installano o che potrebbero installare cookie soggetti all'obbligo di consenso preventivo (come ad esempio i cookie di profilazione);
• registrare il consenso dell'utente e rilasciare i cookie corrispondenti.

Se poi la nostra attività commerciale si rivolge a utenti californiani, potremmo rientrare nell’ambito di applicazione del CCPA, la più recente legge californiana sulla privacy volta a migliorare i diritti dei consumatori per i residenti dello stato della California. Dovremo quindi prevedere delle clausole dedicate all’interno della nostra privacy policy, mostrare un avviso e facilitare le richieste di opt-out.

---

Quali sono i dati obbligatori di un mittente da inserire nel footer di una Email? E in quello del mio sito web?

Dobbiamo indicare i nostri dati identificativi e di contatto così da soddisfare il requisito della non equivoca identificazione, quindi nome/ragione sociale, sede legale e indirizzo di posta elettronica.

Se il titolare è una persona fisica, al posto dell’indirizzo di residenza si possono fornire dati quali la Partita Iva o il Codice Fiscale, oppure un indirizzo di posta elettronica certificata (PEC).

---

Grazie molte Andrea per il tuo contributo, un’ultima domanda e poi ti lasciamo a salvare le aziende dalle salate sanzioni GDPR. Il tuo ultimo consiglio a chi ancora oggi, 2020, ha dubbi sul trattamento dei dati e su come adottare un metodo per il consenso degli utenti.

Al fine di effettuare un’attività di trattamento dei dati, dobbiamo ottenere un consenso inequivocabile da parte degli utenti. È obbligatorio registrare in modo puntuale i consensi ottenuti così da essere in grado di dimostrare che l’utente abbia effettivamente prestato il consenso. In caso di problemi infatti, l’onere della prova è a carico del titolare del trattamento.

Per poter dimostrare che il consenso è stato raccolto in linea con la normativa, dobbiamo essere in grado di recuperare queste informazioni:

• quando è stato prestato il consenso
• da chi
• quali preferenze sono state espresse
• le informative legali o privacy in vigore quando è stato raccolto il consenso
• quale form è stato compilato al momento del conferimento del consenso

L’adozione di una soluzione per la gestione del consenso e la tenuta di un registro accurato si rivelano quindi essere di vitale importanza.

---

Hai ancora dei dubbi? Abbiamo scritto un e-Book insieme agli amici di iubenda, lo puoi scaricare gratuitamente cliccando sul banner qui sotto.