Dal 25 maggio 2018 è entrato in vigore il GDPR, General data protection regulation, il nuovo regolamento europeo per la privacy. All’inizio dell’anno la novità è stata accolta con freddezza dai media generalisti, fatta eccezione per qualche testata specializzata nel digitale o in temi economici, mentre poco prima della scadenza è scattato un affannoso conto alla rovescia per comprendere in tempi brevi le novità, le migliorie apportate dal regolamento e le relative multe nel caso non ci si conformi alle regole. Se hai ancora le idee confuse non è mai troppo tardi per riparare, e noi di eShoppingAdvisor vogliamo darti una mano.
Cosa è cambiato per l’ecommerce in quanto a regole di privacy e altri temi collegati?
Non poco, visto che il pianeta dello shopping on line punta molto sul marketing targettizzato ed è piuttosto variegato; spesso l’attività di ecommerce non si limita solo alla piattaforma di vendita ma anche a strumenti collaterali non meno importanti, come il blog aziendale (corporate blog) dove vengono ospitati contenuti molto utili ai brand, o anche alla newsletter, strumento preziosissimo per inviare agli iscritti tutti gli aggiornamenti commerciali o anche le news interessanti per i clienti.
Andiamo con ordine e spieghiamo cosa prevede il GDPR per tutti coloro che a vario titolo possiedono un sito web (Il Sole 24 Ore ne ha parlato in maniera molto approfondita dedicando un dossier di 15 articoli) e che, inevitabilmente, trattano dati personali: dalla profilazione dei clienti ai dati sui propri dipendenti. E se si fanno orecchie da mercante? Ci sono le sanzioni amministrative e penali: si va dalla diffida amministrativa a multe sino a 20 milioni di euro.
Cosa ti chiede il GDPR
1. Viene introdotto il principio di responsabilizzazione o accountability:
Anche nelle legislazioni precedenti questo principio era previsto, ma con il GDPR viene esaltato proprio per fare in modo che il titolare del sito web senta davvero su di sé la responsabilità di garantire la sicurezza dei dati raccolti e, soprattutto, di poter dimostrare all’Ente di controllo di utilizzare gli strumenti più utili alla tutela dei dati. In parole povere, il GDPR chiede ai titolari dei siti di essere proattivi nella difesa della privacy. Il consenso e la finalità per cui i dati vengono utilizzati, devono essere espressi con la maggiore chiarezza di intenti possibile e in più, chi acconsente ai dati, ha diritto per converso di ottenere non solo la loro eventuale cancellazione, ma anche la rettifica o la limitazione di utilizzo da parte dell’azienda.
2. Adesso la protezione dei dati personali dei cittadini dell’UE avviene dentro e fuori l’Unione:
E, aggiungiamo noi di eShoppingAdvisor, che abbiamo ben chiaro quanto sia importante ragionare in termini globali quando si parla di ecommerce, tutto ciò è un bene, visto che gli standard internazionali ci riguardano ogni giorno, sia in veste di venditori che di clienti. Pensa a quante sono le aziende non europee che hanno sede in Europa, o che determinano in questo continente anche solo un flusso di traffico dati. Queste dovranno adeguarsi, inclusi i grandi colossi dell’ecommerce, da Amazon in poi.
3. Il titolare ha l’obbligo di comunicare al Garante, entro 72 ore, eventuali violazioni dei dati personali:
È un passaggio che segna un’enorme differenza con il passato. Il Garante per la protezione dei dati personali però spiega che la notifica, comunque regolata da precise linee guida, debba avvenire solo in caso di pericolo.
Spiega che:
“(…) tutti i titolari – e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi – dovranno notificare all´autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati (si veda considerando 85). Pertanto, la notifica all´autorità dell´avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare. Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre “senza ingiustificato ritardo”; fanno eccezione le circostanze indicate al paragrafo 3 dell´art. 34, che coincidono solo in parte con quelle attualmente menzionate nell´art. 32-bis del Codice. I contenuti della notifica all´autorità e della comunicazione agli interessati sono indicati, in via non esclusiva, agli artt. 33 e 34 del regolamento”.
4. Nasce il Data Protection Officer (DPO o RPD):
È una sorta di garante della gestione corretta dei dati da parte dell’azienda e deve essere super partes e poter avere autonomia decisionale. È una figura obbligatoria per enti pubblici e pubbliche amministrazioni, ma anche per le imprese. L’obbligo riguarda anche tutti i soggetti (enti e imprese) che basano la loro attività principale proprio sulla gestione dei dati sensibili su temi delicati quali salute, vita sessuale, informazioni genetiche e biometriche. Il responsabile della protezione dei dati può essere anche nominato da più soggetti o imprese che si avvalgono del suo servizio.
5. Il registro delle attività di trattamento è obbligatorio:
Nel registro dei trattamenti tenuto dai titolari e dai DPO, sono specificate le finalità della raccolta dati, le categorie dei dati personali e le misure di sicurezza. Possono non tenerlo le aziende con un numero di dipendenti inferiore a 250. Ma attenzione: questo tetto non vale nel caso si tratta di aziende che, per loro stessa natura, effettuano trattamenti di dati a rischio.
Cosa fare subito per il tuo ecommerce (se non lo hai già fatto)
Ecco in concreto alcuni passaggi che dovrai affrontare se hai un ecommerce e non ti sei ancora messo in regola
- Leggi subito il regolamento attingendo alla fonte principale e cioè la pagina italiana sito EUR-Lex
- Mappare i trattamenti dei clienti finali, analizzare l’eventuale rischio in ottica di data protection
- Dovrai pubblicare una cookie policy molto più dettagliata di quella che in passato hai utilizzato per la protezione della privacy. In particolare dovrai avere cura di spiegare con accuratezza e senza “non detti” i diritti degli utenti in base agli articoli di legge previsti dal GDPR, garantire l’oblio, l’elenco dei servizi di terze parti. Quando si citano i servizi di terze parti, l’utente deve avere la possibilità di accedere subito alla pagina di privacy policy di queste e è dunque necessario prevedere un link apposito.
WordPress ha predisposto degli utilissimi plugin, per lo più a pagamento, che aiutano a regolarizzare questi aspetti.
- Devi perciò cambiare il vecchio form che avevi utilizzato fino ad oggi.
- Devi raccogliere solo i dati necessari alla tua tipologia di negozio e di merce o servizio venduti. Il Garante prevede ad esempio che i dati della carta di credito non vadano conservati “oltre il tempo necessario alla conclusione dell’operazione di pagamento” .
- Se hai perso i dati dovrai denunciare lo smarrimento alle autorità.
Trovi questo passaggi del GDPR difficili da applicare? Noi di eShoppingAdvisor crediamo di no, basta solo sapersi organizzare una volta per tutte e tenere in conto un aspetto importante per la gestione dell’attività: la trasparenza dei rapporti con i compratori.
Ne va della vostra web reputation (e del vostro portafoglio, vista la portata delle sanzioni previste) che rimane uno dei punti centrali del marketing per l’ecommerce; a questo proposito vi invitiamo a scaricare il nostro mini corso gratuito dal titolo “I 7 segreti per migliorare la reputazione del tuo ecommerce”.
