 Scusa, buongiorno a tutti, grazie per essere qui, so che è sabato mattina e sentire parlare di legge, quant'altro effettivamente potrebbe essere un po' noioso, quindi cercherò di farlo il più pratico possibile. Tempo fa avevo tenuto a Milano un discorso simile su quello che è la nuova normativa privacy e come applicarla WordPress fondamentalmente. Quindi a cosa bisogna stare attenti? Prima di tutto lo sapere, chi ha informato sull'anoregolamentazione, più o meno cosa dice per quanto riguarda siti, eccetera, alzate la mano. Bene, allora devo stare attento a quello che dico se non mi cazziate fondamentalmente. Allora, questi sono i, diciamo, quattro siti che potete creare tramite WordPress fondamentalmente. I primi due, il blog e il sito web, in fatto di compliance, sono molto più semplici perché quello che bisogna stare attenti è come mostrare l'informativa ai propri utenti, anche se non sono registrati. Quello che succede in questo caso è che, come tutti sapete, soprattutto per quanto riguarda i cookie, bisogna mettere il banner per l'informativa, per l'informativa breve che poi rimanda quella che è l'informativa ordinaria nella pagina e le attiva la cookie policy. Prima, col provvedimento del garante, bisognava che ci fosse una discontinuità nel sito e che vuol dire il quadrato che compare in sovrimpressione. Adesso il non regolamento dice, non vogliamo rovinare la UX design, soprattutto perché un sito comunque è la vetrina di una società. Quindi quello che succede molto semplicemente quello che stanno facendo molte persone, molti siti adesso è oscurare il sito, all'inizio, meglio oscurare nel senso di opacizzare il sito, pardon, di modo a far vedere che c'è il banner e poi con uno scroll down o con l'accettazione dei cookie viene tolta l'opacizzazione. Questo si presume quindi un'accettazione dei cookie e dell'informativa privacy. Per quanto riguarda il portfolio e il negozio ho voluto separarli molto semplicemente perché c'è un problema eventuale di profilazione quindi se si va a creare un e-commerce, quello che succede è che si utilizzano cookie e tool di profilazione ed in questo caso c'è una compliance diversa a fare che è semplicemente il documento di impatto privacy ai sensi del nuovo regolamento in cui si dice che si sta effettuando una profilazione per quali motivi e quali rischi possono correre i vostri utenti nel caso si scrivono al vostro sito. Ah, non l'ho detto prima, se avete qualche domanda lo dovremmo fare alla fine, giusto? Ok. Plug-in API. Chi utilizza WordPress e ha programmato o implementa plug-in API di WordPress? Ok. Sapete che c'è una compliance privacy da fare anche per questi? No, bene. Questa è la risposa, ok? Perché fondamentalmente quando io implemento ad esempio un API all'interno del mio sito come possa essere Google Maps per dire, io devo indicare nell'informativa che sto usando queste API, dati che vengono trattate e indicare il link all'informativa dell'API e se non c'è l'informativa dell'API dovete spiegarlo voi nella vostra. Quindi tutto vostro rischio è pericolo come se lo dire. No, scherzo. Per quanto riguarda i plug-in invece, ovviamente implementano un ulteriore funzione all'interno della vostra piattaforma e del vostro sito. In questo caso quindi prima di implementare il plug-in, quindi a parte vedere la parte tecnica, quello che bisogna capire è come il plug-in tratta i dati e quali sia il relativo processo. In questo caso ad esempio ho messo quello del checkbox. Ho saltato una slide, forse, scusate. Sì, ho saltato una slide, scusate. Il checkbox. Il checkbox è fondamentale per il consenso perché è quello che viene, diciamola così, per best practice è la cosa migliore. Attenzione che per il checkbox è l'informativa. Qualora ci siano più finalità nella vostra informativa? L'utente deve accettarle tutte. Ad esempio non va bene che io abbia un solo checkbox per quanto riguarda l'iscrizione alla piattaforma, la newsletter e le comunicazioni commerciali. Queste sono tre finalità e quindi tutte devono richiedere il consenso e devono dare il consenso, altrimenti il trattamento risulta essere legittimo. Profilazione di nuovo, come dicevo prima, bisogna stare molto attenti e via e veloce è nato. Il social media marketing. Chi che fa social media marketing qui dentro, scusate? In pochi, bene. Quindi vuolevo sapere, avete effettuato una valutazione del vostro processo di trattamento dati, quali trattate, etc. Chi è che ha detto sì? Bravo, infatti sei l'unico, vedi? Sono pochi quelli che lo fanno. Quello che bisogna fare quando c'è un social media marketing e quindi quando si estrapolano dati e metadati da quelli che sono i social media, non basta ottenere il consenso da parte aiutenti. Bisogna capire anche effettivamente se vengono trattati in modo legittimo, dove per modo legittimo si intende il legittimo interesse di chi sta trattando i dati. Tu non so se abbia fatto questo o adesso meno. No, ok. Meglio così, come se lo dire. In modo di non fare niente, magari in modo anonimo i dati, oppure questo è un metodo, poi avevo valutato chiaramente, però diciamola così. Sicuramente è meglio che trattare i dati di persone che sono iscritti al social network. A volte quello che fanno anche i social media marketing è trattare i dati di amici, di amici, come si suol dire, scusate, il termine poco tecnico. Ovviamente il trattamento è legittimo, appena che non ci sia un legittimo interesse del titolare del trattamento. Ultimo messo, i metodi di pagamento, perché anche qui, se io faccio utilizzare un metodo di pagamento ai miei utenti, io devo indicare nell'informativa privacy che ci sarà questo metodo di pagamento e dare il link all'informativa del metodo di pagamento. Ad esempio, PayPal va indicata all'informativa di PayPal. Non so cosa ci sia altro, però nel senso per quanto riguarda il metodo di pagamento questo è quello che bisogna fare in nottica di compliance privacy. Prima di procedere volevo dirvi che, dal 25 maggio verrà abrogato il codice privacy in toto, quindi ci sarà solo il nuovo regolamento. Quindi nelle informative non andranno più indicati gli articoli del vecchio decreto legislativo, ma andranno indicati solo quello del nuovo regolamento. Una scelta poco consu, una secondo me, però mio parerà. GDPR, eccoci qua. Queste ho voluto elencare qualche novità del GDPR che andrà effettuata anche per quanto riguarda WordPress. Informativa, diritto obbrio e portabilità dei dati saranno i due nuovi diritti che andranno inseriti obbligatoriamente nell'informativa al trattamento dati e andranno accettati. Non è solo una cosa che va a essere l'informativa, ma poi è un processo che va portato avanti. Se io dico che posso fare portabilità dei dati, cioè trasmettere i dati da un titolare del trattamento all'altro al mio utente, devo essere in grado di farlo, perché quando l'utente mi viene a dire, mi puoi dare tutti i miei dati e tu non lo fai, sei sanzionabile. Sessa cosa per diritto obblio che è la cancellazione totale dei dati. Privacy by design e by default è un qualcosa di molto interessante e chi fa web design e quant'altro sviluppa piattaforme e software deve tenere in considerazione perché potrebbe avere una responsabilità. Perché la privacy by design fondamentalmente dice che quando io sto andando a sviluppare un qualcosa per un mio cliente, devo essere attento che questo che sto sviluppando sia compliant alla normativa. Quindi quello che consiglio è uno scarico di responsabilità fondamentalmente, che si prenda tutta la responsabilità del titolare del trattamento. Privacy by default invece è quando io ho sviluppato che vado a implementare la mia piattaforma, il mio sito web, sono io titolare del trattamento che devo essere compliant con l'utilizzo di questa piattaforma di questo sito. Principe di accountabilità è l'autoresponsabilizzazione del titolare del trattamento, mi dicono che manca un minuto ma ho quasi finito quindi. Il DPO chi è che sa chi sia il DPO e quant'altro ne ha sentito parlare? Tutti. Io prenderei lo spunto di Luca prima e dico effettivamente secondo me non lo sapete perché nessuno lo sa adesso al momento. Il DPO è quella figura sia tecnica, informatica, sia legale ma è anche la figura dirigenziale quindi non esiste una persona che abbia tutte queste tre competenze tecniche, quello che sarà molto probabilmente sarà un ufficio composto a queste tre figure, oppure una figura dirigenziale interna o esterna che si interfacci con altre due figure di riferimento. Data protection impact assessment è il documento di impatto privacy che vi dicevo prima, obbligatori in caso di profilazione in caso di altri trattamenti. Grazie, io ho finito per oggi. Grazie mille, Alessandro. Utilissimo.