E-Commerce

GDPR ed e-commerce: come mettere in regola il proprio sito aziendale

Come adeguare un negozio online con il nuovo regolamento europeo per la protezione dei dati personali

Il GDPR, il Regolamento Europeo n. 679 del 2016, è la normativa che tutti conosciamo e che ha avuto piena efficacia nel nostro ordinamento il 25 maggio 2018. Il GDPR ha come finalità la protezione delle persone fisiche con riguardo al trattamento dei dati personali.

Dal 25 maggio quindi tutti i siti internet dovrebbero essere conformi alla normativa anche per non incorrere nelle sanzioni che, alla luce del GDPR, sono molto salate.

Uso il condizionale perché, purtroppo, ancora oggi dopo mesi vedo tanti siti non norma ed esposti a possibili sanzioni.

Riscontro la mancanza di adeguamento non solo per quanto riguarda la Privacy Policy, ma anche per i cookie, ad esempio per la mancanza dei check-box non pre-flaggati per i consensi.

Un sito internet a norma di GDPR deve contenere tutti gli elementi richiesti dalla normativa e deve ottenere tutti i consensi necessari.

Andiamo in ordine.

Cookie

Ancora oggi assisto alla mancanza di check-box o alla presenza degli stessi già pre-flaggati, oppure al Banner con lo scroll.

Nel Banner dei Cookie si legge spesso questa frase: “I Cookie sono utili per migliorare la vostra esperienza durante la navigazione in questo sito”.

Già, ma cosa sono i Cookie, a cosa servono?

I Cookie sono file di piccole dimensioni in cui sono memorizzate alcune informazioni riguardanti la navigazione degli Utenti.

I Cookie servono al sito per identificarci e capire se siamo già stati lì o, al contrario, è la prima volta che lo visitiamo; servono per creare promozioni o notizie che potrebbero interessarci in base alla nostra posizione geografica o ai nostri gusti. I Cookie possono stabilire per quanto tempo rimaniamo su una pagina e, in caso di e-commerce, possono registrare i prodotti che più osserviamo e che quindi ci interessano e proporci in seguito offerte di prodotti simili. Possiamo affermare che i Cookie raccolgono molte informazioni. Quindi, come si gestiscono i Cookie secondo le regole del GDPR?

Va previsto un Banner con Opt-in che contenga i vari Cookie utilizzati e permetta all’Utente di poter fornire il consenso espresso.

Vediamo come organizzare il Banner

Cookie tecnici o necessari: in questo caso non occorre il consenso dell’Utente perché senza questi il sito non potrebbe svolgere nessuna funzione.

Cookie statistici: l’Utente può disattivarli, ma non essendo considerati profilanti dal GDPR, si possono pre-flaggare di default.

Ci sono anche i Cookie di marketing: vanno assolutamente accettati in modo espresso. Non possono essere previsti già pre-flaggati e non devono partire finché non vengono accettati e spuntati nell’apposita casella dall’Utente.

Importante, infine, è mettere sempre il link alla Cookie Policy, la quale deve indicare in modo chiaro e semplice il perché e quali tipi di cookie si stanno utilizzando e il tempo di permanenza dei Cookie.

Moduli

Nel sito sono presenti vari moduli che invitano gli Utenti a compiere delle azioni. Pensiamo all’iscrizione alla newsletter, alla compilazione di un Form contatti per avere informazioni.

Queste attività sono fondamentali in un sito e-commerce.

Per avere dei moduli conformi alla normativa dobbiamo prevedere gli stessi non pre-flaggati, lasciando sempre in capo all’Utente la scelta se acconsentirvi o meno. Occorrerà sempre prevedere il link alla Privacy Policy.

Termini e condizioni

Nel sito e-commerce, i Termini e Condizioni di acquisto devono essere aggiornati e conformi al GDPR. Si dovranno fornire indicazioni precise, chiare e trasparenti sul trattamento dei dati dei clienti che vengono raccolti in conseguenza del servizio fornito. In caso di pagamento online tramite i servizi PayPal o Stripe, bisognerà chiarire che i dati personali passeranno direttamente ai gestori di pagamento e che gli stessi saranno trattati solo da loro. Andrà specificato che in nessun modo il gestore dell’e-commerce verrà a conoscenza dell’account, della password di accesso a tali piattaforme o del saldo del conto.

In caso di e-commerce che venda dei beni, bisognerà specificare quale vettore sarà incaricato per la consegna degli stessi e quali tipi di dati del cliente verranno forniti. Sicuramente il nome e cognome, indirizzo, telefono e e-mail, ma non il tipo di prodotto acquistato.

Bisognerà sempre rispettare il principio di minimizzazione. Infatti, secondo tale principio, i dati trattati devono essere adeguati, pertinenti e limitati alle finalità perseguite. Se l’e-commerce è B2B, ad esempio, dovranno essere richiesti i dati dell’azienda non quelli personali del legale rappresentante; pensiamo ai dati richiesti per la spedizione. Non avrebbe alcun senso in questo caso richiedere la residenza del soggetto che effettua l’ordine. Oppure nell’e-commerce B2C non avrebbe alcun senso, nello stesso caso, richiedere il tipo di istruzione o il sesso.

Marketing e Newsletter

In caso si voglia effettuare attività di marketing, bisognerà specificarlo e ottenere il consenso in modo espresso, così come in caso di attività di newsletter per fornire promozioni o scontistiche sui prodotti o servizi anche questa attività andrà indicata e richiederà un consenso specifico ed espresso.

A questo proposito è importante ricordare che per fare attività di newsletter bisognerà stare attenti all’utilizzo delle mail ottenute prima del 25 maggio 2018. Queste, infatti, potranno essere utilizzate in modo legittimo solo se ottenute in maniera conforme al GDPR e quindi con il consenso acquisito in modo espresso e specifico per quella attività.

Modulo di acquisto

Altro elemento importantissimo per il sito e-commerce è quello della compilazione del modulo di acquisto sotto l’aspetto del consenso.

Infatti, vicino al tasto negoziale dovremo inserire la casella per ottenere i consensi necessari. Ma per quale attività? Quanti consensi occorrono? Anche qui dobbiamo rifarci al concetto di consenso specifico ed espresso.
Prima di tutto occorre il consenso per l’accettazione dei termini e condizioni e per il trattamento dei dati personali con i relativi link.

Poi serve il consenso per le attività di marketing che intendiamo svolgere. Pensiamo all’attività di newsletter, all’invio di promozioni via sms o WhatsApp e infine il consenso alla eventuale cessione a terzi dei dati. Tutte queste modalità di utilizzo dei dati necessitano di specifico consenso espresso.

Privacy Policy

Il sito dovrà avere una Privacy Policy aggiornata e quindi conforme al GDPR che sia sempre raggiungibile da parte dell’Utente. Spesso la Privacy Policy è citata ma è sprovvista di collegamento al relativo link.

La Privacy Policy deve essere scritta in modo chiaro ed analitico e deve contenere tutti gli elementi indicati dal GDPR.

Una Privacy Policy ben scritta, a maggior ragione in un sito e-commerce, deve contenere come minimo le seguenti indicazioni obbligatorie:

  • Il Titolare del Trattamento. È importante indicare chi è il Titolare del Trattamento in quanto è il soggetto che tratta i dati personali dell’Interessato per determinate finalità. Bisogna indicare i dati e i suoi riferimenti di contatto. In caso di presenza di Responsabili del Trattamento o di DPO andranno indicati anche i loro dati e contatti.
  • Le Finalità. Le finalità del Trattamento devono essere indicate in modo specifico, pensiamo a quelle di marketing o profilazione, al legittimo interesse del titolare del Trattamento come ad esempio il marketing diretto. Nel caso di e-commerce, andrà specificato anche che la base giuridica del Trattamento è rappresentata dall’esecuzione del contratto tra Titolare e Cliente.
  • La comunicazione e la diffusione dei dati.
  • Le modalità di trattamento dei dati.
  • Le conseguenze del rifiuto a conferire i dati. In caso di e-commerce è fondamentale precisare che il mancato conferimento dei dati comporta l’impossibilità di fornire il servizio.
  • I diritti dell’interessato. Sono quei diritti che l’utente può esercitare e che prevedono anche i diritti introdotti dal GDPR quali ad esempio: il diritto di accesso (l’interessato può in qualunque momento richiedere al titolare del trattamento informazioni che riguardano i propri dati personali), il diritto di rettifica dei dati personali o integrazione degli stessi, il diritto all’oblio e alla portabilità dei dati.

Per concludere

Quindi è importante effettuare un controllo di legalità del proprio sito perché ci sono tanti elementi da considerare e da mettere in atto per non incorrere nelle sanzioni, che ricordo a tutti, per le violazioni di minore gravità, sono previste per importi fino a 10 milioni di euro o per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente.

Alessandro Vercellotti

Lascia un commento

Back to top button