gdpr ecommerce privacy

Dal 25 Maggio 2018 sarà direttamente applicabile in tutti gli Stati membri dell’Unione Europea, il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

Che cos’è il GDPR?

Il GDPR nasce da precise esigenze, come indicato dalla stessa Commissione Europea, di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo.

Si tratta di una normativa europea che regola il trattamento dei dati personali e che si applica a tutti gli organismi che trattano i dati personali dei residenti nell’Unione Europea. Il suo obiettivo è unificare i principi in materia di trattamento dei dati sensibili su tutto il territorio europeo e semplificarne la gestione in ottica di maggior protezione dei cittadini Europei.

Quali sono gli obblighi nell’e-commerce?

Il GDPR porterà tutte le aziende dell’Unione Europea, nello specifico quelle che portano avanti delle attività che coinvolgono la UE, ad adattarsi ad alcune regole riguardanti la raccolta, la conservazione e l’uso dei dati personali dei propri clienti.

Il nuovo regolamento considera tutti i dati personali allo stesso modo, siano essi foto, post sui social media, indirizzi IP, dettagli bancari o numeri identificatori. Ogni dato sensibile dovrà essere conservato in sicurezza e utilizzato esclusivamente previo permesso del soggetto.

Come già accade oggi, prima di raccogliere i dati personali dei clienti o dei visitatori del tuo sito e-commerce, è necessario ottenere un consenso informato con la firma di un contratto o, come più spesso accade, compilando un form. Attenzione però: pre-spuntare la caselle per ottenere il consenso di un cliente sarà vietato d’ora in avanti.

Una delle novità introdotte dal GDPR, è il diritto di cancellazione: per i clienti deve essere semplice sia dare il proprio consenso che ritirarlo. Questo vincolo è già in vigore, ma il GDPR ne rafforzerà l’applicazione rendendo più severe le sanzioni in caso di mancata osservazione. I richiedenti possono esigere la cancellazione dei dati di carattere personale nei casi seguenti:

  • I dati in questione non sono più necessari rispetto alle finalità per le quali sono stati raccolti;
  • Qualora la persona ritiri il suo consenso al trattamento dei suoi dati personali;
  • Qualora la persona si opponga al trattamento dei suoi dati e non esistano motivi legittimi imperativi per l’utilizzo di quest’ultimi;
  • I dati personali sono stati oggetto di un trattamento illecito;
  • I dati personali debbano essere cancellati per rispettare un vincolo legale che è previsto dal diritto dell’Unione o dal diritto dello Stato membro al quale è sottoposta la responsabilità del trattamento;

Documentare la gestione del trattamento dei dati personali

Il GDPR prevede, inoltre, che il titolare del trattamento dei dati debba dimostrare in qualsiasi momento che tali dati personali siano raccolti “conformemente al regolamento” nel caso in cui venisse effettuato un controllo. Per questo, è necessario tenere “un registro delle attività di trattamento effettuate sotto la propria responsabilità”. Questo registro dovrà contenere:

  • Il nome e le coordinate del responsabile del trattamento
  • Le finalità del trattamento
  • Una descrizione delle categorie di persone coinvolte e delle categorie dei dati personali
  • Le categorie dei destinatari ai quali i dati personali sono stati o saranno trasmessi, compresi i destinatari in altri paesi o delle organizzazioni internazionali
  • In tal caso, indicare i trasferimenti dei dati personali verso paesi esteri o organizzazioni internazionali
  • Nel limite del possibile, i termini stabiliti per la cancellazione delle diverse categorie di dati
  • Nel limite del possibile, una descrizione generale delle misure di sicurezza tecniche e operative”

Mettere in sicurezza i dati raccolti

I dati personali raccolti, dovranno essere protetti da qualsiasi rischio di furto, smarrimento o divulgazione. Per questo, è necessario garantire la loro sicurezza. Ecco cosa prevede il regolamento:

  • Utilizzare nomi cifrati per i dati personali
  • Usare sistemi che permettano di garantire la riservatezza, l’integrità, la disponibilità e l’annullamento dei sistemi e dei servizi di trattamento
  • Dotarsi di metodi che permettano di ripristinare la disponibilità dei dati personali e l’accesso ad essi, in tempi appropriati in caso di incidenti fisici o tecnici
  • Adottare procedure volte a verificare, analizzare e valutare regolarmente l’efficacia delle misure tecniche e operative per assicurare la sicurezza nel trattamento dei dati

Se alcuni dei dati personali venissero rubati o persi, sarà necessario avvertire le autorità competenti oltre che i diretti interessati entro 72 ore.

Quali sono le sanzioni previste?

L’ammontare della sanzione sarà determinata dalla sua stessa gravità. La più pesante (anche quella più commessa) consiste nel trattare i dati personali senza aver ottenuto preventivamente il consenso. In questo caso, la sanzione può salire fino al 4% del fatturato o di 20 milioni di euro (sarà l’importo più elevato tra i due). Trattandosi di cifre considerevoli, riteniamo sia importante adeguarsi quanto prima.

Operativamente, cosa occorre fare prima del 25 Maggio 2018?

Ogni azienda, sito o e-commerce ha specifiche e dinamiche differenti. Potrebbero quindi essere necessarie modifiche all’attuale sistema di raccolta dati, per poter rispettare i criteri della nuova normativa. Se non si ha la certezza di come il nuovo regolamento inciderà sull’attività, il consiglio è quello di rivolgersi ad un esperto o un legale. Per iniziare, però, suggeriamo di fare il punto della situazione partendo dall’analisi dettagliata di tutti i punti di contatto che generano attivamente dati personali. La seguente lista di domande può aiutare a tracciare un primo quadro della situazione:

  • E’ necessario aggiornare la vostra Privacy Policy o modificare gli avvisi mostrati ai clienti?
  • E’ necessario modificare le modalità di acquisizione del consenso, per adeguarle alla nuova normativa GDPR?
  • Sulla piattaforma e-commerce, sono in uso applicazioni o temi di terze parti, tali app o temi sono conformi al GDPR?
  • E’ stato nominato un “Responsabile” della protezione dei dati?
  • Gli archivi dei dati personali raccolti sono sicuri?
  • Sono stati raccolti dati personali senza l’opportuna autorizzazione?
  • L’attuale processo o sistema di raccolta dati è in grado di rispettare i diritti del GDPR concessi ai clienti o agli utenti? (es. diritto di accesso, modifica, cancellazione e portabilità dei loro dati)

Come arrivare preparati alla scadenza?

I consulenti di Webizup sono a tua disposizione per fornire utili indicazioni per adeguare il tuo sito alla nuova normativa. Contattaci subito.

Restano 4 mesi per allinearsi al nuovo regolamento. Il nostro consiglio è quello di adeguare da subito la gestione e la raccolta dei dati personali alla nuova norma. Offrire trasparenza e rispetto delle regole già da oggi, potrà aiutarti a consolidare il rapporto di fiducia con i tuoi clienti e differenziarti dai competitor.

 Risorse:

  • Sito ufficiale GDPR (link)
  • Testo regolamento (pdf)
  • Video ufficiale Garante per la protezione dei dati personali (link)
  • Garante per la protezione dei dati personali: (link)
  • Woocommerce GDPR compliance (link)

Condividi con i tuoi amici!

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *