Iubenda è l’azienda italiana più nota nell’erogazione di servizi per adeguare i siti web alla normativa riguardante la privacy, i cookie, il GDPR e in generale tutti gli aspetti che hanno a che fare con la tutela dei dati personali degli utenti. I software che ha sviluppato si integrano perfettamente con la maggior parte delle piattaforme dei siti attuali e permettono di mettere a norma di legge i siti che ne fanno uso.
In questo senso, la mission primaria di Iubenda è aiutare le aziende e i gestori di siti che gestiscono dati degli utenti a orientarsi nella complessità delle leggi sui temi della tutela dei dati personali. Chi si affida a Iubenda ha un supporto importante nella messa a punto dei documenti e delle funzionalità richieste dalla normativa. Questa sintesi di competenze giuridiche e informatiche è la chiave del successo del business dell’azienda.
Per conoscere più a fondo Iubenda e approfondire quello che attualmente è richiesto dall’introduzione del GDPR abbiamo parlato con Andrea Giannangelo, il CEO dell’azienda.
Come è nata Iubenda? In particolare come ha preso corpo l’idea di creare un’azienda incentrata sulla fornitura di servizi per l’adeguamento alle normative riguardanti la tutela dei dati personali degli utenti?
Iubenda è nata nel 2011 ed è sul mercato dal 2012. È nata dalla costatazione che chi ha un sito web da sempre deve creare il documento denominato “informativa privacy” o “privacy policy”, basato su una normativa abbastanza omogenea in tutto il mondo. Nessuno prima di noi aveva pensato di creare una società capace di realizzare servizi finalizzati specificamente a questo adempimento. Da qui abbiamo sviluppato un software che rendesse semplice a chiunque mettersi a norma con la legislazione relativa alla privacy.
Ma è stato solo il primo…
Esatto, successivamente ne abbiamo creati numerosi altri. Oggi è possibile generare in otto lingue anche una cookie policy, aggiungere un sistema per gestire il consenso degli utenti relativo ai cookie e un sistema per tracciare i consensi ricevuti in modo da mantenere la prova di averli ottenuti. Abbiamo anche messo a punto un sistema per gestire la privacy interna, che di fatto è un registro del trattamento aderente ai dettami del GDPR. Abbiamo anche un servizio, unico in Italia, per costituire Srl online.
Attualmente come si configura il vostro mercato?
Ad oggi abbiamo circa 50.000 clienti in più di cento paesi. Operiamo sia in Italia che all’estero, in particolare Stati Uniti, Canada, Australia e in tutti i paesi europei.
Di quante persone si compone l’azienda?
Il nostro staff conta circa una quarantina di persone di varie nazionalità.
Un’azienda che decidesse di fruire dei vostri servizi quali vantaggi avrebbe rispetto a quelli offerti da un vostro concorrente? E perché è più conveniente avere il vostro sostegno piuttosto che preparare tutta la documentazione necessaria senza il vostro supporto?
Quando abbiamo iniziato eravamo gli unici sul mercato a dare questo tipo di servizi. Adesso ci sono altre alternative, oltre ovviamente all’opportunità di avvalersi di uno studio legale o di fare da sé. Quello che facciamo noi e che ci rende unici è di unire la parte legale a quella informatica, perché diamo un software pronto per l’installazione nel sito che risolve tutti questi problemi. Anche il fattore prezzo è da tenere in forte considerazione: il costo dei nostri servizi rispetto a quelli di uno studio legale o di qualsiasi professionista della legge è di gran lunga più abbordabile. Inoltre il nostro software ha una grande efficienza, perché si può usare in piena autonomia e i contenuti delle policy vengono aggiornati direttamente da noi. Il webmaster può avere la versione aggiornata delle sue policy senza difficoltà. Un altro vantaggio è che il nostro sistema permette di adeguarsi a tutti gli adempimenti previsti dalla legge in un’unica soluzione.
Il vostro software consente un facile interfacciamento con tutti i CMS esistenti?
Abbiamo vari prodotti. Per esempio per quanto riguarda i documenti relativi alla privacy e alla cookie policy, l’integrazione è molto semplice, per cui la barriera posta dalle differenze fra i vari CMS è estremamente bassa. In altri casi, come l’adeguamento alla legge sui cookie, abbiamo sviluppato delle integrazioni per tutte le principali piattaforme. Abbiamo per esempio dei plugin per WordPress, per Joomla, per Magento, per Prestashop. Per Drupal invece c’è un modulo sviluppato da terze parti sulla base dei nostri standard. Allo scopo di aiutare i webmaster abbiamo redatto una documentazione molto estesa sia su aspetti tecnici sia su aspetti giuridici. Per esempio abbiamo creato una guida su tutto quello che c’è da sapere sulle newsletter e sull’email marketing per essere a norma. Dove non arriviamo con i nostri documenti compensiamo con il nostro servizio clienti, attivo sia via email che via chat.
Come promuovete i vostri servizi dal punto di vista commerciale? Quali strategie di marketing attuate?
La leva più importante del nostro marketing è il prodotto. Fornire un servizio di altissima qualità ci mette in una condizione di vantaggio competitivo fortissimo. La qualità innesca un passaparola continuo che ci sostiene senza quasi il bisogno di investimenti. A questo sommiamo l’advertising tradizionale online, Facebook, Google Ads, ecc. Facciamo molto content marketing basato sul nostro blog, dove creiamo post informativi e divulgativi su tutti i temi attinenti ai nostri servizi. La produzione di questo tipo di contenuti è affidata a un team interno. Per noi è fondamentale informare i clienti costantemente: il cliente non informato non è in grado di rendersi conto di quanto sia importante adeguarsi alla normativa.
Usate anche i webinar per coinvolgere i vostri clienti attuali e potenziali?
Facciamo anche moltissimi webinar. In ogni webinar solitamente sono presenti anche fino a un centinaio di partecipanti. È uno strumento sul quale negli ultimi tempi abbiamo puntato parecchio e che sta producendo risultati molto apprezzabili per coinvolgere potenziali clienti, ma anche agenzie web.
Cosa mi dice del programma di affiliazione che avete avviato?
Hanno aderito finora parecchie migliaia di clienti. Questi ricevono una commissione ogni volta che un utente che ha visitato il loro sito acquista i nostri servizi tramite uno dei nostri banner o dei nostri link.
Andrea Giannangelo, CEO di IubendaParliamo del GDPR. Cosa introduce di nuovo questa normativa e come devono adeguarsi le aziende?
La prima novità è l’introduzione di nuovi diritti per gli utenti. Innanzi tutto la portabilità del dato: i dati che l’utente fornisce devono potere essere scaricati dall’utente stesso e l’azienda che li ha acquisiti deve poterli fornire su richiesta. C’è anche il diritto all’oblio: il titolare del trattamento dei dati di un’azienda deve essere in grado di eliminare tutti i dati di un utente che ne richiede la cancellazione. Questi dati devono essere eliminabili anche da tutte le piattaforme terze a cui sono stati inviati. Faccio un esempio: un sito ha raccolto un’email e poi l’ha incamerata nel database di una piattaforma di invio delle email; se arriva la richiesta di cancellazione si dovranno eliminare i dati sia dal database del sito che da quello della piattaforma di mailing.
Come si registra il consenso degli utenti all’utilizzo dei propri dati?
Si deve creare una mappatura che descrive dove sono i dati e con chi sono stati condivisi. Inoltre si deve associare a ogni dato la base giuridica del trattamento, ossia quale tipo di consenso all’uso è stato dato da parte dell’utente. Per le aziende con più di 250 dipendenti è obbligatorio un registro del trattamento. Sotto i 250 dipendenti quest’obbligo formale non c’è, ma è necessario comunque avere una mappatura per dimostrare il consenso ottenuto sull’utilizzo dei dati. In alcuni casi è anche necessario nominare un data protection officer (DPO), ma questa figura è richiesta solo da aziende di grandi dimensioni, le piccole non sono soggette a questo obbligo.
E se c’è una violazione dei dati da parte di malintenzionati?
Nel caso di data breach le aziende hanno 72 ore di tempo per comunicare alle autorità l’avvenuta violazione. Fondamentale quindi è dotarsi di un protocollo di azioni da svolgere immediatamente nel caso in cui dovesse verificarsi un problema di questo genere.
Com’è cambiata la prova del consenso con l’introduzione del GDPR?
Anche prima del GDPR c’era l’obbligo di un consenso informato, documentato per iscritto e revocabile. La novità introdotta è che il GDPR ha spostato l’onere del consenso sul titolare del trattamento dei dati. In pratica l’azienda deve potere dimostrare di avere ricevuto il consenso sull’acquisizione e l’uso dei dati dell’utente. Il titolare deve salvare il form e il testo che l’utente ha visionato e tutte le preferenze a cui l’utente ha espresso il proprio consenso. Questi devono essere correlati alle informazioni che identificano l’utente, come il suo IP.
Come sono cambiate le sanzioni?
Sono cresciute significativamente, passando da qualche centinaio di migliaia di euro nei casi più gravi e comminate in modo indifferenziato a tutte le aziende, a una situazione in cui sono rapportate al fatturato dell’impresa. Possono raggiungere cifre comprese tra 20 milioni di euro e il 4% del fatturato annuo per le aziende più grandi. In questo modo l’azione rivolta a punire le aziende inadempienti diventa più proporzionata e corretta.
Qual è il modo più semplice per farsi un’idea perfettamente chiara sul GDPR?
Sul sito di Iubenda abbiamo preparato una guida introduttiva al GDPR che permette di avere un quadro schematico completo e chiaro su tutti questi argomenti.
Qual è il suo parere sulla reale utilità del GDPR? Questa normativa non rischia di rendere la vita delle aziende ancora più difficile dal punto di vista burocratico?
In realtà il GDPR è stato varato sull’onda dei recenti abusi perpetrati nell’utilizzo di dati personali degli utenti del web da parte di aziende scorrette. A ben guardare la normativa non è cambiata in modo radicale rispetto a quella precedente all’introduzione del GDPR. Sicuramente l’aumento delle sanzioni ha spinto aziende che avevano trascurato la precedente normativa a valutare con maggiore attenzione questa nuova. Se consideriamo l’impatto sul business, le aziende già rispettose della legge com’era prima dell’avvento del GDPR non hanno visto cambiare significativamente la loro situazione. Per esempio dal punto di vista della raccolta dei dati il GDPR conferma quanto già affermato dai dettami già precedentemente in vigore, ossia la necessità dell’opt-in. Il GDPR semmai aumenta gli adempimenti riguardanti la vita aziendale, come la tenuta del registro, la nomina del DPO, ecc. Molto utile la nuova disciplina riguardante il rapporto con aziende terze a cui vengono passati i dati, che nella precedente normativa rimaneva un po’ nebulosa e definita in modo meno puntuale.
Quindi possiamo dire che il GDPR riporta le aziende con una gestione meno corretta dei dati a una condizione di parità con quelle che invece hanno sempre rispettato la normativa?
Se tutte le aziende rispettano le norme sulla raccolta e la gestione dei dati personali degli utenti il mercato si equilibra. Le aziende che non seguivano la legge e che quindi giocavano sporco oggi hanno più difficoltà a farlo, allineandosi di fatto ai limiti di libertà operativa che hanno le aziende che seguono la normativa. Questo riguarda anche gli Stati Uniti, perché le aziende che da oltreoceano puntavano a relazionarsi con gli utenti europei erano svincolate da quasi tutti gli obblighi nella gestione e nel trattamento dei dati personali, con l’effetto che avevano più libertà d’azione e quindi un maggiore vantaggio competitivo. Con il GDPR questo non è più possibile, perché il GDPR riguarda tutte le aziende del mondo che hanno a che fare con i dati degli utenti che sono cittadini europei.
A suo avviso non siamo arrivati a un punto in cui c’è forse un’eccessiva protezione dei dati personali degli utenti a scapito della libertà operativa delle aziende che puntano a creare comunque profitto?
Sul fatto che in Europa si sia arrivati a un sistema di tutele esagerato ed eccessivamente rigido si può discutere a lungo. Sicuramente la normativa vigente negli USA ha reso possibili una quantità di azioni scorrette verso gli utenti che in Europa non avrebbero potuto verificarsi, proprio grazie alle normative più restrittive. C’è questa opposizione tra un mondo in cui gli utenti possono stare sicuri e un mondo in cui le aziende hanno più libertà d’azione e possono fare più profitti. In Europa si punta a difendere soprattutto i diritti dei consumatori, mentre negli Stati Uniti c’è un orientamento a sostenere gli interessi delle aziende. Con il GDPR, tutte le aziende del mondo che hanno come clienti cittadini europei sono costrette a giocare ad armi pari.
