GDPR, come gestire gli adempimenti per un e-Commerce

gdpr

Con l’entrata in vigore il 25 Maggio 2018 del Regolamento generale per la protezione dei dati personali 2016/679 (abbreviato con la sigla GDPR), chi gestisce un e-commerce deve attenersi alle sue norme in merito alla raccolta e al trattamento dei dati personali dei propri clienti. In questa guida esamineremo, passo dopo passo, come gestire gli adempimenti previsti dalle normative europee.

Se non sai da dove cominciare ti consiglio di dare un’occhiata a quello che possiamo fare per te.

GDPR: chi sono i soggetti interessati?

La normativa interessa tutti coloro che a scopo professionale raccolgono dati sensibili, in modo manuale o automatico. Tutti i proprietari di un sito web, e nello specifico anche di un e-commerce, che ogni giorno attraverso moduli di registrazione, commenti, newsletter e altri strumenti pubblicitari gestiscono dati sensibili degli utenti sono obbligati a farlo secondo i principi del GDPR.

Per dati personali si intendono tutte le informazioni con il quale si può identificare una persona (nome, indirizzo mail, numeri di carta di credito o codice iban) oppure l’insieme di dati che il sito elabora in automatico per riconoscere l’utente. Anche questi automatismi, conosciuti con il nome di cookie, gestiscono dati sensibili della persona e quindi rientrano nel GDPR.

Analisi del sito

Il primo step per adeguare un e-commerce al GDPR è fare un’attenta analisi di come vengono raccolti e gestiti i dati, sia attraverso le scelte dirette dell’acquirente, sia in modo indiretto mediante i cookie. Bisogna esaminare anche come vengono archiviati i dati dopo che l’utente ha compilato i form di contatto o di acquisto e per quali finalità vengono utilizzati.

La normativa europea definisce il principio di integrità e riservatezza pertanto il possessore di un e-commerce dovrà rivedere le politiche del sito in merito all’archiviazione, i tempi di conservazione, l’accesso e la sicurezza dei dati raccolti. Se il sito è semplice la fase di analisi sarà rapida mentre per un sito più complesso richiederà maggior tempo. In ogni caso, acquisiti i risultati comincerà la fase di adeguamento pratico.

Aggiornare l’informativa sulla privacy

Primo passo importante è aggiornare la politica di privacy affinché siano chiare e trasparenti le modalità e le finalità della raccolta dei dati.

L’informativa della privacy deve spiegare all’interessato non solo per quale motivo vengono trattati dati sensibili ma anche se l’utente può scegliere o meno di accettare ed eventuali conseguenze del rifiuto. Si dovranno anche indicare eventuali persone, o categorie di soggetti, che potranno accedere a questi dati in qualità di responsabili e quali sono i diritti dell’interessato. Fondamentale sarà anche identificare il titolare dei dati cioè il soggetto che stabilisce le modalità del trattamento dei dati personali.

Dopo aver presentato l’informativa, si passa all’acquisizione vera e propria mediante consenso dell’interessato. Il consenso non può avvenire in modo automatico ma deve essere chiara la volontà dell’utente che dovrà accettare in modo esplicito: tramite una casella da spuntare o con una conferma di accesso mediante link inviato su mail personale.

Adeguamento della Cookie Policy

Quando si parla di cookie bisogna fare una distinzione tra due categorie: cookie tecnici e di profilazione. I cookie tecnici riguardano gli automatismi per il corretto funzionamento del sito (opzioni carrello, preferenze di lingua o valuta) e quindi non necessitano di nessun consenso informativo.

Al contrario, i cookie di profilazione disegnano un profilo su misura dell’utente per promozioni ad hoc, rintracciamento per campagne di marketing o statistiche e pertanto obbligano il gestore dell’e-commerce a regolamentarli attraverso consenso seguendo gli stessi principi dei dati sensibili.

Quindi, se si utilizzano cookie di profilazione, occorre che il proprietario dell’e-commerce raccolga un consenso informato prima di memorizzare o accedere alle informazioni dell’utente. Il consenso mette al corrente il visitatore che il sito (o un servizio ad esso collegato) fa uso dei cookie; ne spiega in parole semplici e chiare il funzionamento e ne richiede il consenso attraverso una specifica selezione e conferma. Tutto questo avviene di solito attraverso un banner, presente al primo accesso sul sito, che permette all’utente di leggere l’informativa ed accettarla o meno. Prima di tale consenso, nessun cookie può essere installato o attivato sul dispositivo del visitatore.

Regolamentare e informare gli utenti circa l’utilizzo dei cookie presenti sul sito è un aspetto da tenere in alta considerazione dato che le sanzioni amministrative in caso di mancato rispetto delle norme possono arrivare fino a 120 mila euro.

Archiviazione e sicurezza dei dati

Un altro adeguamento tecnico riguarda il predisporre l’archiviazione dei dati in modo tale che siano rintracciabili e consultabili in qualsiasi momento e adeguatamente protetti dal rischio di furto. Infatti, in caso di furto, se l’evento danneggia la libertà e i diritti degli interessati, bisogna comunicarlo al garante entro le 72 ore dalla scoperta.

In tal senso, è opportuno valutare se lasciare il proprio sito su protocollo http, dove il flusso dei dati è vulnerabile alle intrusioni esterne, oppure se passarlo su https che garantisce una sicurezza maggiore dalle intercettazioni criptando i dati.

Campagne di marketing e registro dei consensi

Per l’invio delle offerte commerciali, meglio conosciute come newsletter, occorre modificare i moduli di contatto introducendo caselle di consenso specifiche che l’utente deve selezionare per accettare di essere incluso nella mailing list. Non è possibile avvalersi di consensi pre-approvati o cumulativi. Ogni utilizzo dei dati per una finalità differente comporta l’obbligo del consenso dettagliato per quello scopo.

Nell’adeguare il proprio e-commerce al GDPR, è opportuno quindi assicurarsi di avere un registro aggiornato di tutti i consensi liberi raccolti. Il principio di responsabilizzazione infatti obbliga il gestore a dimostrare in modo concreto di aver rispettato tutte le norme in merito al trattamento dei dati.

Nel caso vengano compilati moduli di contatto in formato elettronico, è consigliato memorizzare la data, l’orario e l’indirizzo ip del dispositivo che ha prestato il consenso. Se invece viene compilato un modulo cartaceo, è utile conservarne una copia come dimostrazione del consenso esplicito. Qualora non fosse possibile dimostrare in modo inequivocabile di aver ottenuto un consenso, sarebbe opportuno chiederlo nuovamente per evitare di incorrere in sanzioni pesanti.

Se l’e-commerce utilizza dei plugin per funzionalità di vendita avanzate, è meglio avvalersi di servizi di controllo in grado di verificare la conformità dei dati al GDPR.

Adempimenti GDPR: quali sono i vantaggi?

Oltre che essere protetti da spiacevoli contestazioni sull’utilizzo illecito dei dati, avere un sito e-commerce in regola con le normative comporta altri vantaggi. Può essere, ad esempio, un’occasione per rivedere e aggiornare obsolete procedure interne. Inoltre assicurare la protezione dei dati sensibili può rivelarsi un ottimo modo per attirare nuovi clienti e rilanciare il proprio brand.