GDPR: cosa cambia per l’ecommerce?

Maggiore protezione per i dati personali dei clienti e più chiarezza sull’utilizzo di come questi vengono trattati. In estrema sintesi queste sono le linee guida del nuovo GDPR. Ma cosa cambia davvero per chi gestisce un ecommerce? Cosa si deve fare per essere in regola con la nuova normativa?

 

La nuova normativa europea sul trattamento dei dati personali GDPR (General Data Protection Regulation) entrerà in vigore il 25 Maggio per chiunque si occupi di business online nel vecchio continente. La normativa traccia nuove e più severe linee riguardo la privacy, la raccolta ed il trattamento dei dati personali degli utenti online.

Non riguarderà le sole aziende con sede in Europa ma andrà ad influire anche sulle aziende extra-europee con clienti nell’Unione Europea. Una volta entrato in vigore il GDPR sarà la più grande e completa normativa mondiale sul tema. Tutte le aziende operanti online dovranno rispettare questa nuova normativa. Aumentano le responsabilità delle aziende per questa materia e, in caso di inosservanza delle direttive stabilite, si rischiano pesanti sanzioni.

 

GDPR in sintesi

Il punto principale è che il nuovo GDPR amplia i diritti in materia di dati personali inserendo in questa categoria una più vasta serie di informazioni rispetto al passato. Per avere un’idea più chiara potete leggere la guida presente sul sito del Garante per la protezione dei dati personali.

Il nuovo regolamento considera tutti i dati online degli utenti uguali. Vengono identificati come dati personali non solo informazioni strettamente personali ma anche foto, post caricati sui social media, indirizzi IP, informazioni bancarie e codici personali. Ognuno di questi dati dovrà essere conservato in completa sicurezza gli utenti dovranno fornire il loro consenso all’utilizzo dei propri dati tramite informative ben chiare. Non saranno più tollerate pagine e pagine di termini e condizioni con una semplice spunta finale.

Il nuovo GDPR stabilisce che gli utenti interessati dovranno avere il diritto all’accesso, modifica, cancellazione e limitazione del trattamento dei propri dati.

Per le aziende la nuova normativa prevede nuove e rigorose regole per raccogliere il consenso all’utilizzo dei dati personali degli utenti.

Dopo aver raccolto i dati il GDPR impone alle aziende l’obbligo di proteggere gli stessi e di fare in modo che gli utenti possano esercitare i diritti che la nuova normativa conferisce loro.

Questo passaggio è decisamente importante, soprattutto se i dati raccolti vengono utilizzati non solo per gestire gli acquisti online ma anche per ulteriori scopi come il marketing e la pubblicità.

 

GDPR: cosa cambia punto per punto

Abbiamo visto come il nuovo GDPR aumenti le responsabilità per chi opera online. Questa nuova normativa influisce in maniera decisa soprattutto per chi gestisce un’ecommerce. Il motivo è che il GDPR si applicherà per chiunque debba gestire un database di contatti, cosa presente in ogni negozio online. Qualunque ecommerce utilizza database per tutte le sue attività, dalla gestione delle vendite alle attività di marketing, ecco perché chi opera con un proprio negozio online DEVE assolutamente adeguarsi al nuovo GDPR.

 

Consenso chiaro per le attività di marketing

Come detto in precedenza, gli utenti dovranno poter esprimere un chiaro e ben compreso consenso per il trattamento dei propri dati finalizzato ad attività di marketing. Non più caselle pre-compilate a cui mettere il proprio “check” o consensi da esprimere dopo pagine e pagine di regolamenti. Ciò che potrebbe influire su molti marketer è la casella di controllo “utilizzo dei dati per terze parti”. Viene tutt’ora utilizzata ma stando sul generico. Con il nuovo GDPR sarà necessario elencare tutte le terze parti che possono avere accesso ai dati in modo specifico. Tutto questo avrà sicuramente impatto sul settore del marketing, specialmente quando si tratta di personalizzazione, profilazione e qualsiasi attività di marketing che coinvolga l’elaborazione di grandi quantità di dati.

 

Il diritto all’oblio

Il diritto che molti utenti aspettavano diventerà realtà con il nuovo GDPR. Dovrà essere semplice per gli utenti non solo modificare i propri dati e rimuovere il consenso alle attività di marketing, ma anche eliminare completamente il proprio account e le informazioni dal sistema. Molte aziende offrono già la possibilità di cancellazione dell’account, ma il più delle volte risulta essere un processo molto lungo creato ad hoc per far desistere l’utente a non completare la cancellazione. Con la nuova normativa questo processo dovrà essere facile da navigare, documentato e pubblicizzato per chi cerca rimuovere i loro dati personali.

 

Nasce una nuova figura: il DPO

Vista la responsabilizzazione nella protezione e divulgazione dei dati nel GDPR nelle aziende di maggiori dimensioni è prevista la nascita di una nuova figura aziendale: il DPO: Data Protection Officer. Questo nuovo profilo sarà il “responsabile della protezione dei dati”.

Deve essere in possesso delle caratteristiche professionali specifiche ed avere una conoscenza approfondita e specialistica della materia e delle dinamiche in materia di protezione dei dati. L’incarico che è chiamato ad assolvere è quello di assicurare una gestione corretta dei dati che sia in linea con il nuovo GDPR per non incorrere nelle sanzioni previste.

Questa nuova figura riferirà direttamente al vertice aziendale ed opererà in maniera del tutto autonoma, senza ricevere istruzioni.

 

Data breach immediata

A partire dall’entrata in vigore della nuova regolamentazione, sia i responsabili del trattamento che i responsabili dei dati dei clienti dovranno attenersi al GDPR. Le aziende di maggiori dimensioni saranno dotate della figura del DPO, la cui prima responsabilità sarà quella di segnalare le violazioni dei dati, data breach, e comportamenti scorretti all’Autorità Garante. Le aziende online dovranno seguire una procedura rigorosa nel caso in cui venisse rilevata una violazione dei dati e riferire sia all’Autorità Garante che agli interessati entro 72 ore.

 

I poteri del Garante della privacy

Ampi poteri e largo campo d’azione vengono conferiti al Garante della privacy. L’autorità di controllo potrà controllare e autorizzare le attività delle aziende online grazie ai poteri di indagine, di autorizzazione e di correzione. Nel caso riscontrasse infrazioni potrà infliggere sanzioni amministrative pecuniarie ai trasgressori.

 

Infrazioni e sanzioni

Il nuovo GDPR è molto stringente e prevede regolamenti ben definiti da rispettare rigorosamente. Chi non dovesse adeguarsi o chi non decidesse di seguire questa nuova normativa potrebbe facilmente incorrere in sanzioni. Qualora per un’azienda fossero riscontrate delle infrazioni al nuovo regolamento sono previste delle sanzioni. Si passa dalla diffida amministrativa fino a sanzioni pecuniarie che vanno fino a oltre i 20 milioni di euro o attorno al 4% dei ricavi annuali.

 

Cosa fare per preparare il proprio ecommerce al nuovo GDPR

Ci sono diversi passaggi da seguire per assicurarvi che il vostro ecommerce sia pronto per l’entrata in vigore del GDPR.

  1. Rivedete i vostri processi: se raccogliete dati online è vostra responsabilità assicurarvi che siano al sicuro. Anche quando collaborate con terze parti dovete essere sicuri che i dati raccolti all’interno della vostra organizzazione siano protetti da minacce esterne.
  2. Create un piano per la trasparenza dei dati: elaborate un piano su come gestire la raccolta ed il trattamento dei dati personali. Se possibile, create un procedimento semplice sulla vostra piattaforma per consentire ai vostri clienti di richiedere e ottenere tutti i loro dati rapidamente e senza complicazioni.
  3. Descrivete chiaramente come utilizzerete i dati degli utenti: dall’entrata in vigore del GDPR dovrete informare i vostri clienti su adopererete i loro dati. Questo significa dire in maniera chiara chi li sta raccogliendo e gestendo oltre a come vengono immagazzinati e protetti. Preparando a priori questa documentazione la potrete mettere a disposizione per essere facilmente trovata sul vostro sito web.
  4. Ridisegnare i moduli di consenso: assicuratevi di disattivare tutti i vostri opt-in. Niente più caselle pre-selezionate. Gli utenti dovranno fornire il loro consenso in maniera esplicita quando si tratta di raccogliere i loro dati, e dovranno essere in grado di recedere in qualsiasi momento.
  5. Nominate un responsabile della protezione dei dati (DPO) e parlate con un avvocato: per le aziende che dovranno nominare un responsabile della protezione dei dati,sarà meglio mettersi all’opera il prima possibile per non trovarsi in ritardo quando entrerà in vigore il GDPR. Oltre ad essere una figura richiesta dal nuovo regolamento può aiutare la vostra organizzazione a fare in modo che tutto sia in ordine con la nuova normativa. Sarebbe una buona cosa consultare un avvocato specializzato in materia di privacy. Molti governi nazionali hanno preso provvedimenti in questo ambito. Incontrare uno specialista è l’unico modo per sapere al 100% se siete completamente apposto.

 

Manca poco all’entrata in vigore del nuovo GDPR ma siete ancora in tempo per fare in modo di essere in regola. Meglio attrezzarsi prima che rischiare sanzioni in seguito!

Leave a Reply