Dal 25 maggio 2018 entrerà definitivamente in vigore il GDPR (General Data Protection Regulation) ovvero il Regolamento Europeo sulla Protezione dei dati.
Se possiedi un sito e-commerce è molto importante conoscere la regolamentazione per poterti mettere in regola entro la scadenza.
IMPORTANTE: con questo articolo vogliamo solo dare informazioni generali e far comprendere cosa tratta il GDPR.
Ovviamente le stesse non costituiscono un parere legale e si da per scontato che la web agency ha il dovere di informare il cliente ma non ha obblighi di regolarizzare il sito senza autorizzazione o specifica richiesta del cliente.
Che cos’è il GDPR?
È una normativa europea che regola il trattamento dei dati personali e che si applica a tutte quelle strutture che trattano i dati personali dei residenti dell’Unione Europea. L’obiettivo del Regolamento è quello di semplificare la protezione dei dati personali attraverso l’Europa, in modo da proteggere tutti i suoi cittadini.
Che vincoli hanno gli e-commerce?
1 – Raccogliere unicamente i dati strettamente necessari
Si possono raccogliere unicamente i dati di cui hai bisogno. Ad esempio, se si necessita di sapere solo dell’età clienti perché possano beneficiare di un’offerta speciale, andrà richiesta solo la data di nascita ma non il luogo. E poi si potranno conservare questa informazione solo per il tempo necessario al suo utilizzo. Cioè se si acquista online le coordinate della carta bancaria andranno conservate esclusivamente per il tempo necessario alla conclusione dell’operazione di pagamento e se non avvengono più transazioni da parte di quel cliente nei 3 anni successivi devono essere cancellati.
2 – Chiedere il consenso ai tuoi clienti nel momento di raccogliere i loro dati personali
Prima di raccogliere i dati personali, è obbligatorio chiedere l’autorizzazione e specificare la finalità del loro utilizzo. Ad esempio, per l’abbonamento ad una newsletter, bisogna specificare che l’email sarà utilizzata unicamente per inviargli delle mail informative, e va indicato come potersi disabbonare se lo desidera.
Il loro consenso dovrà essere dato in maniera chiara, attraverso la firma di un contratto o compilando un form. Attenzione, lasciare barrate di default delle caselle per ottenere il consenso di un cliente, d’ora in avanti, sarà vietato.
3 – Poter fornire ai clienti i loro dati personali e rispettare il diritto di cancellazione
Se i clienti richiedono di poter di consultare i loro dati personali il proprietario dell’e-commerce sarà obbligato a fornirglieli in un formato leggibile e comprensibile indicando il modo in cui questi dati sono utilizzati. Qualora il cliente ritenga che i suoi dati non sono necessari alle finalità di utilizzo potrà chiedere la cancellazione.
4 – Documentare le procedure di trattamento dei dati
Di dovrà dimostrare, in qualsiasi momento, che il trattamento dei dati personali dei clienti viene “effettuato conformemente al regolamento” nel caso in cui venisse fatto un controllo. Sarà necessario avere “un registro delle attività di trattamento effettuate sotto la propria responsabilità”.
Il registro dovrà contenere:
• Il nome e le coordinate del responsabile del trattamento
• Le finalità del trattamento
• Una descrizione delle categorie di persone coinvolte e delle categorie dei dati personali
• Le categorie dei destinatari ai quali i dati personali sono stati o saranno trasmessi, compresi i destinatari in altri paesi o delle organizzazioni internazionali
• In tal caso, indicare i trasferimenti di dati personali verso paesi esteri o organizzazioni internazionali
• Nel limite del possibile, i termini stabiliti per la cancellazione delle diverse categorie di dati
• Nel limite del possibile, una descrizione generale delle misure di sicurezza tecniche e operative”
5 – Mettere in sicurezza i dati raccolti
I dati personali dovranno essere protetti da qualsiasi rischio di furto, smarrimento o divulgazione garantendo loro la completa sicurezza, riservatezza, l’integrità, la disponibilità e l’annullamento dei sistemi e dei servizi di trattamento.
Sono previste sanzioni?
A determinare l’ammontare della sanzione sarà la gravità dell’infrazione commessa: la più seria consiste nel trattare i dati personali dei clienti senza aver ottenuto preventivamente tale consenso.
Si potrebbe dover pagare una multa fino al 4% del fatturato annuo o anche fino a 20 milioni di euro (si tratta di un deterrente per le multinazionali che governano il web).
Restano pochi mesi per adeguarsi al Regolamento Europeo
Il nostro consiglio è di seguire le indicazioni del GDPR ed eventualmente avvalersi di uno studio legale per adeguare i propri documenti relativi alla privacy, cookie ed, in supporto, chiedere alla propria agenzia web un report relativo alla sicurezza dell’e-commerce.