GDPR E-commerce: Metti a norma il tuo e-commerce

Il nuovo GDPR, acronimo di General Data Protection Regulation, operativo dal 25 maggio 2018, ha rivoluzionato tutta la normativa precedente relativa alla protezione dei dati personali raccolti online tramite siti internet, landing page o campagne di e-mail marketing facenti capo a qualsiasi attività, compresi, quindi, i siti e-commerce.

Chiunque gestisca uno store online deve, quindi, essere informato su quali sono le principali disposizioni di questa normativa al fine di mettersi in regola e non rischiare le pesanti sanzioni previste per coloro che, invece, non lo facessero. 

Andiamo pertanto subito a vedere come funziona il nuovo GDPR per l’e-commerce e come fare per mettersi a norma.

 

L’importanza del consulente per la privacy per un e-commerce

In genere, quando si pensa alla privacy di un sito e-commerce, il primo aspetto che viene in mente è quello relativo alla raccolta dei dati degli utenti. In realtà, ci sono però molti altri elementi da considerare prima che riguardano, ad esempio, la parte burocratica e amministrativa, i rapporti coi propri fornitori, i servizi di spedizione e i sistemi di pagamento.  

È pertanto fondamentale, per chi decide di aprire uno store online, rivolgersi ad un consulente per la privacy. Questi è, infatti, la figura di riferimento per la gestione dei dati e della privacy di qualunque tipo di azienda. Il suo ruolo è quello di garantite che ogni passaggio, dalla realizzazione del sito alla sua implementazione e successiva gestione, sia effettuato in modo corretto.

Qualora ad esempio tu decidessi di affidare lo sviluppo del tuo sito ad una web agency, il consulente per la privacy si occuperà di stendere per te un contratto che regoli per tuo conto i rapporti con la stessa agenzia e la raccolta e protezione dei dati dei tuoi utenti da parte di terzi.

 

Il CMS da scegliere per il tuo e-commerce

Dopo aver dato incarico al tuo consulente per la privacy di redigere il contratto con l’agenzia che sviluppa il sito, dovrai stabilire, di concerto con gli esperti sviluppatori della tua web agency, quale CMS sarà utilizzato per realizzare il sito.

I più popolari, come dovresti sapere, sono:

• Magento
• Prestashop
• Woocommerce

Cosa cambia in termini di GDPR sulla privacy?

Come puoi già intuire, a seconda della piattaforma prescelta, possono esserci delle differenze. Questo non significa che una scelta sia meglio dell’altra, tuttavia è sempre bene fare riferimento ad un professionista esperto per non rischiare di commettere degli errori che potrebbero costarti cari.

A questo punto, è utile ricordare che una degli obblighi principali per un sito, soprattutto un sito e-commerce, in base alla nuova normativa, è quello di avere una cookie policy.

A tal proposito, occorre sottolineare che troppe piccole e medie imprese, fidandosi ciecamente della loro web agency, non si occupano a fondo di questo aspetto e quindi installano dei cookie che sono generati dal loro profilo su Google Analytics ma che, magari, non sono utilizzati, .

Il nostro consiglio, in merito a questo problema, è quello di adottare una piattaforma di cookie management, la quale ha il merito di generare analisi e report dei coockie presenti sul sito in modo automatico, cancellando quelli che non servono. 

 

Checklist per mettere a norma il tuo e-commerce

Prima di andare a vedere più nel dettaglio come funziona il GDPR, cerchiamo di capire quali sono le attività più importanti da fare per accertarti che sia a norma (e nel caso trovassi qualcosa che non va, intervenire). Vediamole subito:

1. Conoscere e studiare le Linee guida cookie e altri strumenti di tracciamento, aggiornate al 10 Luglio 2021
2. Individuare i servizi di raccolta dei dati degli utenti presenti;
3. Confrontare le informazioni raccolte con quelle previste dal nuovo regolamento;
4. Raccogliere e conservare il consenso degli utenti che visitano il sito;
5. Aggiornare, qualora non lo avessi già fatto, il banner per il consenso sui cookie e l’informativa sulle privacy policy in base ai nuovi requisiti richiesti. 

In particolare, soprattutto per quanto riguarda la stesura del documento sulla privacy, sarà necessario utilizzare un linguaggio chiaro che fornisca informazioni esaustive sul titolare del trattamento e sui contatti a cui richiedere eventualmente la modifica dei dati o la cancellazione.

Dovrai inoltre inserire informazioni su come saranno conservati e trattati i dati e se questi saranno trasferiti verso Paesi Terzi, extra UE, dove vigono altri regolamenti.

Per darti un aiuto concreto abbiamo elaborato questa checklist delle cose da fare per mettere a norma il tuo e-commerce:

1. Verificare tutti i dati personali collezionati;
2. Aggiornare l’informativa sulla privacy;
3. Rendere affermativi i banner sui cookie;
4. Rivedere se necessario le modalità di raccolta e conservazione dei dati;
5. Aggiornare le Privacy Policy per le email;
6. Rendere operativa la possibilità di modifica e cancellazione dati;
7. Applicare un sistema di sicurezza crittografato sui dati e sulle informazioni presenti nel tuo database;
8. Controllare sempre che i moduli sia “flaggati” in modo che l’utente debba solo preoccuparsi dell’invio;
9. In caso di raccolta di dati sensibili rilevanti, nominare un Data Privacy Officer, ossia un responsabile per la protezione dei dati, il quale interagisca col responsabile del trattamento per informarlo sugli obblighi derivanti dalla normativa.

 

I contenuti della pagina privacy policy 

La prima cosa da fare per avere un e-commerce a norma è quindi quella di informare gli utenti circa la gestione del trattamento dei propri dati personali, sia che questi siano raccolti direttamente oppure attraverso terzi. Questo avviene tramite la pagina della delle privacy policy.

Ma cosa si intende esattamente per dati personali?

Secondo la Commissione Europea che ha redatto il nuovo GDPR questi includono tutte le informazioni relative ad un individuo che consentano di risalire alla sua identità, vale a dire:

• Nome
• Telefono
• Indirizzo e-mail
• Indirizzo IP del computer
• Foto
• Dati di navigazione su altri siti e app
• Informazioni relative a opinioni politiche e comportamenti di acquisto
• Altri elementi relativi alle sue caratteristiche fisiche, economiche, culturali, di salute e così via.

In particolare, quindi, il GDPR, all’interno del documento sulle privacy policy, ha il compito di informare gli utenti circa il “trattamento” di tutte queste informazioni, dove per trattamento si intende invece:

• Raccolta
• Modifica
• Cancellazione
• Consultazione
• Uso
• Diffusione 

La pagina sulle privacy policy, o più semplicemente privacy policy per l’e-commerce, è, come puoi comprendere, un documento necessario per chiunque voglia vendere online. 

Anche qui abbiamo preparato una checklist delle informazioni più importanti che devono essere contenute al suo interno:

Nome del responsabile della protezione dei dati personali (DPO), figura necessaria soprattutto quando si utilizzano strumenti di tracciatura e profilazione;

• Titolare del trattamento che è, in genere, il titolare dell’azienda;
• Finalità del trattamento dei dati;
• Basi giuridiche del trattamento;
• Tipo di dati vengono raccolti;
• Eventuale presenza di terze parti cui vengono comunicati i dati;
• Tempi di conservazione dei dati;
• Modalità di modifica e cancellazione dei dati a disposizione degli utenti.

Per poter fare quasi qualsiasi attività di marketing e profilazione è, quindi, necessario che l’utente dia il suo consenso alla privacy policy attraverso un comportamento attivo, ossia non solo scrollando il contenuto del documento, ma flaggando e/o inviando l’autorizzazione al titolare dei dati.

 

I diritti dei clienti e visitatori del sito

Il GDPR e-commerce rappresenta senza dubbio uno strumento di alcuni diritti dei clienti e visitatori del tuo sito quali ad esempio:

• Diritto alla cancellazione dei propri dati personali (prima del GDPR questa possibilità non era contemplata);
• Diritto ad essere informati circa tutto quello che riguarda l’uso dei propri dati personali;
• Diritti di accesso, rettifica e limitazione all’elaborazione delle informazioni private ed alla portabilità dei dati.

Da notare che tutti questi diritti si applicano a tutte le modalità di acquisizione di dati personali quali ad esempio:

• Iscrizione alla newsletter, che non può più essere ottenuta di default;
• Invio di messaggi via mail o tramite messaggi Whatsapp;
• Comunicazioni automatiche attraverso chatbot e altri strumenti di intelligenza artificiale.

 

Perché affidarti ad un professionista per adeguare il tuo e-commerce al GDPR

Coloro che non si adeguano alla nuova normativa in fatto di trattamento dei dati prevista dal nuovo GDPR rischiano sanzioni pecuniarie fino a 20 milioni di euro o il 4% del fatturato totale annuo dell’esercizio precedente. Questo ci sembra già un motivo sufficiente per adeguarsi velocemente attraverso il supporto di un professionista.

Se avessi ad esempio già un sito, gli aspetti della tua vecchia privacy da rivedere sono talmente tante che facendo da solo potresti davvero rischiare di trascurare qualcosa.

Se invece stai realizzando un nuovo sito, non puoi pensare di cavartela copiando la pagina di privacy policy di un altro sito e-commerce visto che si tratta di un documento che deve essere calato alla propria realtà e al proprio contesto.

Va da sé anche in questo caso che la soluzione migliore è quella di affidarsi ad un professionista.

 

Devi configurare e mettere a norma il tuo e-commerce? Affidati ad Unidevs

Come avrai ben compreso, mettere a norma il tuo e-commerce dal punto di vista del nuovo GDPR è un’operazione abbastanza complessa che richiede competenza e professionalità.

Qualora avessi bisogno di supporto in questa attività, al fine di non rischiare di dimenticare qualcosa correndo il rischio di sanzioni, puoi rivolgerti tranquillamente alla squadra di Unidevs, la quale è specializzata anche nella configurazione di tool come cookiebot che aiuta le imprese come i siti e-commerce a rendere conforme l’uso dei cookie e del tracciamento online alle norme previste dal nuovo regolamento.