GDPR e-commerce: cos’è e cosa cambia per i negozi online?
A partire del 25 maggio 2018 è entrato ufficialmente in vigore il GDPR ecommerce ovvero il nuovo regolamento privacy che richiede la necessità di un adeguamento tempestivo al fine di sventare il tanto temuto rischio delle sanzioni.
La domanda che mi fanno più spesso è ma il GDPR a chi è rivolto?
Beh diciamo a tutte le aziende ma sopratutto ai siti web, inclusi blog personali ed e-commerce.
La normativa GDPR per ecommerce statuisce che ogni proprietario del sito è responsabile per il trattamento dei dati ed ha la responsabilità di garantirne, nel modo migliore possibile, la sicurezza (principio di responsabilizzazione) e di dimostrarlo all’Ente di controllo, per questo si ricorre ai registri dei trattamenti.
Molte sono dunque le novità introdotte, fonte di molteplici obblighi per i gestori di siti e-commerce, che, in virtù di ciò, si ritrovano a dover fare il possibile ed in tempi celeri per adeguarsi alla normativa che non risulta affatto semplice.
Gestisci un sito e-commerce e non sai da dove iniziare per adeguarlo al GDPR ecommerce e temi che ti possano arrivare multe?
Ecco a te una succinta checklist delle cose da fare per iniziare a metterti in regola con il GDPR ecommerce, di modo che tu possa riprendere a dormire sonni più tranquilli, lasciandoti alle spalle l’incubo più temuto: quello delle sanzioni.
Nel dettaglio:
- inizia con il monitorare i servizi presenti sul sito che memorizzano i dati personali degli utenti;
- confronta le informazioni memorizzate con quelle previste dal nuovo regolamento;
- traccia e conserva il consenso offerto dagli utenti che visitano il sito.
Per essere più specifici, le cose che necessitano essere assolutamente riviste a fronte del Regolamento europeo sono proprio:
- il modo con il quale gestisci e memorizzi i dati sensibili;
- i cooki, ovvero il banner per il consenso sui cooki, in quanto il consenso deve rispettare i nuovi requisiti richiesti;
- privacy policy, la quale deve essere aggiornata, conformemente al regolamento europeo. Proprio per quest’ultimo, come non mai, è necessario l’ausilio di un avvocato specializzato nelle vendite online come il nostro team Digital Defend, soprattutto se hai una casistica da regolamentare.
Per quanto concerne le informative sulla privacy e sui cookie, ti si consiglia di:
- avvalerti di un linguaggio chiaro per spiegare gli scopi del trattamento dei dati e fornire informazioni esaustive sul titolare del trattamento, nonché per rendere noti i contatti a cui richiederne la modifica o la cancellazione;
- spiegare su quale base vengono forniti i dati, ovvero consenso, contratto etc., e per quanto tempo saranno conservati e quali criteri verranno osservati;
- informare se i dati verranno trasferiti verso Paesi Terzi, extra UE.
GDPR ecommerce: che diritti hanno i tuoi clienti?
Il GDPR ecommerce ha portato a una rivoluzione anche per i clienti quindi devi essere ben consapevole dei loro diritti come ad esempio:
– DIRITTO ALLA CANCELLAZIONE DEI DATI PERSONALI, grande novità introdotta dal GDPR.
Si fonda sull’idea secondo la quale come per i clienti deve essere semplice dare il proprio consenso, lo deve essere anche ritiralo.
In merito il commerciante, che deve essere in grado di provare in ogni momento di possedere il fondamento giuridico per poter trattare i dati sensibili, deve intervenire tempestivamente sulla richiesta di cancellazione dei dati personali, la quale, ricordiamo, può essere fatta in qualsiasi momento.
Pertanto, si consiglia di creare un apposito database separato per il consenso degli utenti.
– DIRITTO AD ESSERE INFORMATO, è onere del commerciante attenersi ai diversi tipi di diritti dell’utente, primo fra tutti il diritto di essere informato.
In questo caso, sei tenuto ad informare i visitatori e clienti del trattamento di dati sensibili.
Gli avvisi al riguardo, è importante, debbono essere chiari e comprensibili, anche per bambini o minorenni.
Si consiglia di fare una divisione tra quei dati ottenuti direttamente dagli utenti e quelli, diversamente, raccolti in base ad informazioni.
– DIRITTI DELL’INTERESSATO, molteplici sono i diritti riconosciuti agli utenti, tra i quali troviamo il diritto di accesso, di rettifica, all’oblio, di limitare l’elaborazione delle informazioni private ed alla portabilità dei dati, e così via.
Per poter adempiere pienamente alla direttiva europea è cosa opportuna prevedere dei meccanismi di configurazione in grado di riconoscere tali diritti mediante azioni automaticamente programmate.
– DATI NEWSLETTER, ad essere riviste debbono essere anche le preferenze di contatto e le opzioni di abbonamento, in quanto con in nuovo regolamento non è più prevista la possibilità di ricevere il consenso di default.
I moduli, infatti, dovranno essere riadattati, con un passaggio dei messaggi sponsorizzati e delle newsletter da opt-out (come era spesso in precedenza) ad opt-in opzionale. Lo stesso vale per “Termini di servizio – condizioni” ed anche per la Privacy Policy.
– GESTIONE DEI DATI PERSONALI, in merito si rileva che l’utente, una volta fornito il consenso e l’accettazione dell’informativa sulla privacy e delle condizioni d’uso, deve avere la possibilità di gestirli e ritirarli in modo semplice ed immediato.
Un approccio consigliato è quello di creare un pagina del profilo utente, dove ciascuno possa gestire autonomamente qualsiasi consenso sulla raccolta dati privati e qualsiasi invio di comunicazioni e newsletter.
I dati debbono essere inoltre protetti da rischio di furto, smarrimento o divulgazione. Qualsiasi fuoriuscita degli stessi dovrà essere prontamente comunicata alle autorità competenti.
GDPR ecommerce: come adeguarti al nuovo regolamento europeo sulla privacy?
Conformemente a tutto quanto precede, sinteticamente si possono riepilogare i passaggi che è opportuno che tu compia, per rendere il tuo sito a norma di legge e secondo la normativa del GDPR ecommerce, nel modo che segue:
- Verifica tutti i dati personali collezionati;
- Aggiorna l’informativa sulla privacy;
- Rendi affermativi gli avvisi dei cookie;
- Crea semplici processi opt-in;
- Rivedi la funzionalità di acquisizione dati;
- Aggiorna le Privacy Policy per le email;
- Rendi immediata la possibilità di gestione/cancellazione dati;
- Applica un livello di crittografia sui dati presenti fisicamente sul disco e sulle informazioni nei database;
- Controlla che tutti i moduli non siano “flaggati” di default. L’utente deve confermare l’invio delle informazioni;
- Abilita una procedura per agevolare l’eliminazione dei dati di un particolare utente;
- Abilita una procedura che garantisca la portabilità dei dati.
Si rammenta che per chi tratta rilevanti qualità di dati personali, dati sensibili o giudiziari e per chi è un soggetto pubblico, è obbligatorio nominare un Data Privacy Officer, ovvero un responsabile per la protezione dei dati, il quale è tenuto ad interagire con il titolare o responsabile del trattamento per informarlo sugli obblighi derivanti dal regolamento.
GDPR ecommerce: puoi fare da solo o ti serve un avvocato specializzato?
L’ambito del GDPR ecommerce è veramente molto vasto e complesso.
Come vedi dalle informazioni che ti ho appena dato puoi avere un’idea ben precisa di cosa modificare e di cosa tenere della tua vecchia privacy.
Per essere certo di non essere esposto a multe con il nuovo GDPR privacy però devi richiedere l’aiuto di un legale specializzato nell’ecommerce.
Noi di Digital Defend abbiamo visto molti negozi online con una privacy copiata (o non controllata) che mancava veramente di molte informazioni e riferimenti specifici a norme e leggi importanti.
E anche diciture sbagliate o omesse possono farti arrivare multe, guarda qui:
Questo dimostra, inoltre, che credere che i ”siti importanti” siano in regola e si può copiare da loro è un gravissimo errore e ti espone ancor più al rischio di multe.
E’ per questo che devi far revisionare la tua normativa GDPR del tuo ecommerce da un avvocato specializzato DigitalDefend.
Vuoi capire se sei in regola con il GDPR ecommerce? Chiedi ai nostri avvocati, clicca qui.