Il GDPR (General Data Protection Regulation) ovvero il Regolamento sulla Privacy, diventerà pienamente applicabile dal 25 Maggio 2018. Se hai un sito e-commerce è importante che tu conosca la nuova regolamentazione per fare in modo che il tuo sito sia in regola entro questo scadenza.
l seguente articolo ti aiuterà a prenderne conoscenza e prepararti serenamente.
Importante: con questo articolo, noi vogliamo semplicemente condividere con te la nostra comprensione del GDPR e le sue implicazioni. Pertanto questo sunto di informazioni non costituisce un parere legale e non deve in nessun caso sostituirsi ai consigli personalizzati che un avvocato ti potrà fornire.
Che cos’è il GDPR?
Si tratta di una normativa europea che regola il trattamento dei dati personali e che si applica a tutti gli organismi che trattano dei dati personali di residenti nell’Unione Europea.
Il suo obiettivo è semplificare la protezione dei dati personali attraverso l’Europa, in modo da proteggere tutti i suoi cittadini.
Secondo il regolamento, con il termine “dati personali” vengono identificate tutte le informazioni il cui utilizzo possa direttamente o indirettamente ricondurre all’identificazione di una persona: “un nome, una foto, un indirizzo mail, un indirizzo IP, un post su un social network o ancora un un’informazione medica.”
Quali sono gli obblighi nell’e-commerce?
Raccogliere unicamente i dati strettamente necessari
Secondo il GDPR, puoi raccogliere unicamente i dati di cui hai bisogno. Per esempio, se hai bisogno solo dell’età dei tuoi clienti perché possano beneficiare di un’offerta speciale, domandagli la sua data di nascita ma non il luogo. In seguito, potrai conservare questa informazione solo per il tempo necessario al suo utilizzo. Per esempio, il Garante per la Protezione dei Dati Personali prevede che:
- "Nel momento in cui si acquista online, le coordinate della carta bancaria del cliente possono essere conservate esclusivamente per il tempo necessario alla conclusione dell’operazione di pagamento.”
- "Le coordinate di un prospect che non risponde ad alcuna sollecitazione per 3 anni, devono essere cancellati.”
Il Garante indica anche “che al di fuori dei casi nei quali esiste un obbligo di archiviazione, i dati che non presentano più alcun interesse devono essere soppressi senza alcun termine”.
Chiedere il consenso ai tuoi clienti nel momento di raccogliere i loro dati personali
Prima di raccogliere i dati personali del tuoi clienti, devi avere da parte loro l’autorizzazione e devi specificare la finalità del loro utilizzo. Per esempio, se proponi l’abbonamento ad una newsletter, devi precisare che l’email della persona sarà utilizzata unicamente per inviargli delle mail informative, e devi anche indicargli come potersi disabbonare se lo desidera.
Il loro consenso ti dovrà essere dato in maniera chiara, attraverso la firma di un contratto o compilando un form. Attenzione, pre-spuntare delle caselle per ottenere il consenso di un cliente sarà vietato d’ora in avanti.
Sarà probabilmente necessario apportare delle modifiche al tuo form attuale, utilizzato per richiedere ai tuoi clienti il consenso all’utilizzo dei loro dati personali (per abbonarsi alla newsletter, ottenere un’offerta promozionale, informazioni sui tempi di consegna, …).
Infine, per i vostri clienti deve essere altrettanto semplice dare il proprio consenso che ritirarlo. Questo vincolo è già in vigore attualmente, ma è importante che tu sappia che il GDPR ne rafforzerà l’applicazione rendendo più severe le sanzioni in caso di mancato rispetto (più dettagli sulle sanzioni alla fine dell’articolo).
Poter fornire ai clienti i loro dati personali in vostro possesso
Se i clienti chiedono di consultare i loro dati personali in tuo possesso, sei obbligato a:
- Fornirglieli in un formato leggibile e comprensibile
- Indicargli il modo in cui questi dati sono utilizzati
Rispettare il diritto alla cancellazione
Una delle novità più impattanti del GDPR è il diritto di cancellazione: ciò significa che i tuoi clienti possono chiederti di cancellare dei dati di carattere personale, nei casi seguenti:
- I dati in questione “non sono più necessari rispetto alle finalità per le quali sono stati raccolti”
- Qualora la persona ritiri il suo consenso al trattamento dei suoi dati personali
- Qualora la persona si opponga al trattamento dei suoi dati e “non esistano motivi legittimi imperativi” per l’utilizzo di quest’ultimi.
- "I dati personali sono stati oggetto di un trattamento illecito”
- "I dati personali debbano essere cancellati per rispettare un vincolo legale che è previsto dal diritto dell’Unione o dal diritto dello Stato membro al quale è sottoposta la responsabilità del trattamento"
Puoi consultare l’articolo 17 del regolamento per conoscere l’insieme delle modalità del diritto alla cancellazione.
Documentare le procedure di trattamento dei dati
Dovresti essere in grado inoltre di dimostrare in qualsiasi momento che il trattamento dei dati personali dei tuoi clienti viene “effettuato conformemente al regolamento” nel caso in cui venisse fatto un controllo.
Per questo, è necessario che tu tenga “un registro delle attività di trattamento effettuate sotto la tua responsabilità”. Questo registro deve contenere:
- "Il nome e le coordinate del responsabile del trattamento
- Le finalità del trattamento
- Una descrizione delle categorie di persone coinvolte e delle categorie dei dati personali
- Le categorie dei destinatari ai quali i dati personali sono stati o saranno trasmessi, compresi i destinatari in altri paesi o delle organizzazioni internazionali
- In tal caso, indicare i trasferimenti di dati personali verso paesi esteri o organizzazioni internazionali
- Nel limite del possibile, i termini stabiliti per la cancellazione delle diverse categorie di dati
- Nel limite del possibile, una descrizione generale delle misure di sicurezza tecniche e operative”
Mettere in sicurezza i dati raccolti
I dati personali in tuo possesso devono essere protetti da qualsiasi rischio di furto, smarrimento o divulgazione. Per questo, devi garantire la loro sicurezza. Ecco cosa prevede il regolamento:
- "Utilizzare pseudonimi e nomi cifrati per i dati personali
- [Istituire] dei sistemi che permettano di garantire la riservatezza, l’integrità, la disponibilità e l’annullamento dei sistemi e dei servizi di trattamento
- [Istituire] dei metodi che permettano di ripristinare la disponibilità dei dati personali e l’accesso ad essi, in tempi appropriati in caso di incidenti fisici o tecnici
- [Istituire] una procedura volta a verificare, analizzare e valutare regolarmente l’efficacia delle misure tecniche e operative per assicurare la sicurezza nel trattamento dei dati.”
Se alcuni dei dati personali venissero rubati o persi, sarà necessario avvertire le autorità competenti oltre che i diretti interessati entro 72 ore.
Troverai l’insieme di questi requisiti e i dettagli complementari nel testo completo del regolamento, al paragrafo 4.
Sicuramente sarà di conforto sapere che anche i programmi che utilizzi, come il tuo CMS, ti aiuteranno ad essere conforme al nuovo regolamento. Per questo ti consigliamo di chiedere alla tua piattaforma e-commerce più dettagli. Alcune pubblicano anche degli articoli di spiegazione, come fa ad esempio WooCommerce.
Quali sono le sanzioni previste?
A determinare l’ammontare della sanzione sarà la gravità dell’infrazione commessa: la più seria consiste ad esempio nel trattare i dati personali dei tuoi clienti senza aver ottenuto preventivamente tale consenso.
In questo caso, potresti dover pagare una multa fino al 4% del tuo fatturato o di 20 milioni di euro (sarà l’importo più elevato tra i due che ti sarà domandato).
Sono cifre alquanto dissuasive, siamo d’accordo! Per questo riteniamo sia importante che il vostro sito sia conforme quanto prima.
Quali sono le fonti disponibili per prepararsi?
Se parli inglese, puoi consultare direttamente il sito del GDPR. Troverai un riassunto dei testi, i link verso gli articoli e dei video di analisi oltre che tutto il regolamento in se. Se la versione inglese non risulta sufficientemente chiaro, puoi leggere il regolamento in italiano su eur-lex.europa.eu .
Ti consigliamo anche la lettura del seguente articolo: GDPR, tutto quello che vorreste sapere ma non avete osato chiedere sulla privacy
Restano 4 mesi per allinearsi al nuovo regolamento. Il nostro consiglio è quello di procedere alle modifiche necessarie quanto prima. Essendo più trasparente con i tuoi clienti già da oggi, potrai porre le basi per un rapporto di fiducia che ti aiuterà a differenziarti dagli altri commercianti.