Dal 25 maggio 2018 sarà direttamente applicabile in tutti gli Stati membri dell’Unione Europea, il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

Che cos’è il GDPR?

Il GDPR nasce da precise esigenze, come indicato dalla stessa Commissione Ue, di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo.

Si tratta di una normativa europea che regola il trattamento dei dati personali e che si applica a tutti gli organismi che trattano dei dati personali di residenti nell’Unione Europea. Il suo obiettivo è unificare i principi in merito di trattamento dei dati personali su tutto il territorio europeo e semplificarne la gestione in ottica di maggior protezione dei cittadini dell’unione.

Quali sono gli obblighi nell’e-commerce?

Il GDPR porterà tutte le aziende dell’Unione Europea, e più in generale quelle che portano avanti delle attività che coinvolgono la UE, ad adattarsi ad alcune regole riguardanti la raccolta, la conservazione e l’uso dei dati personali dei clienti.

Il nuovo regolamento considera tutti i dati personali allo stesso modo, siano essi foto, post sui social media, indirizzi IP, dettagli bancari o numeri identificatori. Ogni dato personale dovrà essere conservato in sicurezza e utilizzato esclusivamente previo permesso del soggetto.

Come già accade oggi, prima di raccogliere i dati personali dei clienti o dei visitatori del tuo sito e-commerce, è necessario ottenere un consenso informato attraverso la firma di un contratto o, come più spesso accade, compilando un form. Attenzione, però: pre-spuntare la caselle per ottenere il consenso di un cliente sarà vietato d’ora in avanti.

Una delle novità introdotte dal GDPR, è il diritto di cancellazione: per i clienti deve essere semplice dare il proprio consenso, che ritirarlo. Questo vincolo è già in vigore attualmente, ma il GDPR ne rafforzerà l’applicazione rendendo più severe le sanzioni in caso di mancato rispetto. I richiedenti possono chiedere la cancellazione dei dati di carattere personale, nei casi seguenti:

  • I dati in questione non sono più necessari rispetto alle finalità per le quali sono stati raccolti;
  • Qualora la persona ritiri il suo consenso al trattamento dei suoi dati personali;
  • Qualora la persona si opponga al trattamento dei suoi dati e non esistano motivi legittimi imperativi per l’utilizzo di quest’ultimi;
  • I dati personali sono stati oggetto di un trattamento illecito;
  • I dati personali debbano essere cancellati per rispettare un vincolo legale che è previsto dal diritto dell’Unione o dal diritto dello Stato membro al quale è sottoposta la responsabilità del trattamento;

Documentare la gestione del trattamento dei dati

Il GDPR prevede, inoltre, che il titolare del trattamento dei dati , debba poter dimostrare in qualsiasi momento che tali dati personali siano raccolti “conformemente al regolamento” nel caso in cui venisse fatto un controllo. Per questo, è necessario tenere “un registro delle attività di trattamento effettuate sotto la propria responsabilità”. Questo registro dovrà contenere:

  • Il nome e le coordinate del responsabile del trattamento
  • Le finalità del trattamento
  • Una descrizione delle categorie di persone coinvolte e delle categorie dei dati personali
  • Le categorie dei destinatari ai quali i dati personali sono stati o saranno trasmessi, compresi i destinatari in altri paesi o delle organizzazioni internazionali
  • In tal caso, indicare i trasferimenti di dati personali verso paesi esteri o organizzazioni internazionali
  • Nel limite del possibile, i termini stabiliti per la cancellazione delle diverse categorie di dati
  • Nel limite del possibile, una descrizione generale delle misure di sicurezza tecniche e operative”

Mettere in sicurezza i dati raccolti

I dati personali raccolti, dovranno essere protetti da qualsiasi rischio di furto, smarrimento o divulgazione. Per questo, è necessario garantire la loro sicurezza. Ecco cosa prevede il regolamento:

  • Utilizzare nomi cifrati per i dati personali
  • Usare  sistemi che permettano di garantire la riservatezza, l’integrità, la disponibilità e l’annullamento dei sistemi e dei servizi di trattamento
  • Dotarsi di metodi che permettano di ripristinare la disponibilità dei dati personali e l’accesso ad essi, in tempi appropriati in caso di incidenti fisici o tecnici
  • Adottare procedure volte a verificare, analizzare e valutare regolarmente l’efficacia delle misure tecniche e operative per assicurare la sicurezza nel trattamento dei dati

Se alcuni dei dati personali venissero rubati o persi, sarà necessario avvertire le autorità competenti oltre che i diretti interessati entro 72 ore.

Quali sono le sanzioni previste?

L’ammontare della sanzione sarà determinata dalla sua stessa gravità. La più pesante (ma anche quella più commessa) consiste nel trattare i dati personali senza aver ottenuto preventivamente tale consenso. In questo caso, la sanzione può salire fino al 4% del fatturato o di 20 milioni di euro (sarà l’importo più elevato tra i due). Sono cifre considerevoli. Per questo riteniamo sia importante adeguarsi quanto prima.

Operativamente, cosa occorre fare prima del 25 maggio 2018?

Ogni azienda, sito o e-Commerce ha specifiche e dinamiche diverse. Potrebbero quindi essere necessarie più o meno modifiche all’ attuale sistema di raccolta dati, per poter rispettare i criteri della nuova normativa. Se non si ha la certezza di come il  nuovo regolamento inciderà sull’ attività, il consiglio è quello di rivolgervi ad un esperto o ad un legale. Per iniziare, però, suggeriamo di fare il punto della situazione partendo dall’analisi dettagliata di tutti i punti di contatto che generano attivamente dati personali. La seguente lista di domande, può aiutare a tracciare un primo quadro della situazione:

  • E’ necessario aggiornare la vostra Privacy Policy o modificare gli avvisi mostrati ai clienti?
  • E’ necessario modificare le modalità di acquisizione del consenso, per adeguarle alla nuova normativa GDPR?
  • Sulla piattaforma e-Commerce , sono in uso applicazioni o temi di terze parti, tali app o temi sono conformi a GDPR?
  • E’ stato nominato un “Responsabile” della protezione dei dati?
  • Gli archivi dei dati personali raccolti sono sicuri?
  • Sono stati raccolti dati personali senza opportuna autorizzazione?
  • L’attuale processo o sistema di raccolta dati è in grado di rispettare i diritti del GDPR concessi ai clienti o agli utenti? (es. diritto di accesso, modifica, cancellazione e portabilità dei loro dati)

Come arrivare preparati alla scadenza?

I consulenti di Webizup sono a tua disposizione per fornirti utili indicazioni per adeguare il tuo sito alla nuova normativa. Contattaci subito.

Restano 4 mesi per allinearsi al nuovo regolamento. Il nostro consiglio è quello di adeguare da subito la gestione e la raccolta dei dati personali, alla nuova norma. Offrendo traspareza e rispetto delle regole già da oggi, potrà aiutarti a consolidare il rapporto di fiducia con i tuoi cliente e differenziarti dagli altri competitor.

 Risorse:

  • Sito ufficiale GDPR (link)
  • Testo regolamento (pdf)
  • Video ufficiale Garante per la protezione dei dati personali (link)
  • Garante per la protezione dei dati personali: (link)
  • Woocommerce GDPR compliance (link)

Condividi con i tuoi amici!

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *