GDPR, Ecommerce & Digital Marketing: Impariamo A Conoscerlo

25 Lug

gdpr

Dal 25 maggio 2018 il Regolamento Ue 2016/679, altrimenti detto General Data Protection Regulation (GDPR), è applicato in tutti i paesi membri dell’Unione Europea.

Il GDPR sostituisce ed abroga la precedente direttiva 95/46/CE sulla protezione dei dati personali, che ha rappresentato il testo di riferimento in materia di privacy, fino al 25 maggio 2018, dando l’impulso fondamentale per lo sviluppo della disciplina normativa del settore.

I dati sono informazioni, suoni, immagini, video, testo che riguardano le persone. Non solo nomi, cognomi, email, indirizzi e date di nascita ma anche informazioni sanitarie, numeri di carte di credito, coordinate geografiche, preferenze personali, comportamenti e molto altro ancora.

I dati si possono suddividere in macro categorie:

Dati generici o aggregati (NON oggetto del GDPR): ovvero dati che in alcun modo sono in grado di identificare una persona fisica e che quindi non sono dati personali. In questi dati sono inclusi anche i dati aggregati sui comportamenti degli utenti all’interno di un sito web rilevati dai tool di analitica.
Dati Personali (oggetto del GDPR): dati relativi a una persona fisica identificata o identificabile, tra cui anche email e indirizzo IP. I dati personali a loro volta si suddividono in 3 categorie:
- Dati Comuni: anagrafici, fiscali, di contatto, ecc.
- Dati Particolari: ovvero dati che riguardano la salute, le scelte politiche o altri aspetti sensibili legati ad una riconoscibile persona fisica
- Dati Penali: ovvero dati che riguardano le condanne penali e i reati

In breve il GDPR chiede che:

Le informative e le richieste di consenso siano chiare
Siano stabiliti i limiti del trattamento automatizzato dei dati personali e siano definiti i parametri per il trasferimento dei dati fuori dall’Europa
Vengano imposte regole rigide relativamente ai casi di violazione dei dati

Maggiori informazioni in merito le trovi qui: GDPR, tutto ciò che c’è da sapere per essere in regola

Di seguito indichiamo alcune cose da fare per quel che riguarda i siti web e alcuni strumenti di web marketing.

La cosa migliore, visti anche i rischi che si incorrono infrangendo tali norme, è procedere con il supporto di un legale specializzato nella materia.

Modello Informativa sulla Privacy e sui Cookie

Qui potete scaricare modellp informativa sito web da utilizzare per i siti web. Per cookie potete prendere visione dell’informativa cookie utilizzata in questo sito web (con il popup in primo ingresso al sito).

Tali modelli, di cui non ci assumiamo alcuna responsabilità per il loro utilizzo, sono un esempio di informative e naturalmente vanno adeguati per ogni singola realtà in base ai propri obiettivi, al proprio business, alle proprie peculiarità , al proprio sito web e su come vengono raccolti e gestiti i dati e da chi.

Configurazione Google Analytics

Al fine di adeguare il tuo rapporto con Google (in particolare con Google Analytics) ai sensi del GDPR sono necessari due passaggi:

Anonimizzazione degli IP
Accettazione dell’Emendamento sull’elaborazione dei dati

Per prima cosa è necessario che ti assicuri che la configurazione di Google Analytics del tuo sito preveda l’IP anonimizzato.

Probabilmente questa cosa ti sembrerà di averla già vista nel passato, infatti è stata una delle attività che si sono svolte per la Cookie Law.

Successivamente è necessario accettare l’Emendamento sull’elaborazione dei dati, accedendo alle impostazioni del proprio account Google Analytics, quindi andare ad inserire nella Google Suite i tuoi contatti di riferimento, suddivisi in questi ruoli: persona giuridica, contatto primario, responsabile della protezione dei dati, rappresentante SEE. Per farlo è sufficiente recarsi a questo indirizzo (dopo aver effettuato l’accesso al tuo account Google Analytics).

Form, Newsletter, Registrazioni, etc.

Ogni volta che fai compilare un form, un’iscrizione alla newsletter, aprire un account, una registrazione ricordati di inserire prima del tasto “Invio” una casella con flag di conferma obbligatorio con una dicitura come quella che segue, e fai in modo che il tuo server salvi questa informazione:

Ho letto e accetto il testo esteso dell’informativa sul trattamento dei dati Privacy Policy (link alla pagina).

Naturalmente l’utente deve avere la possibilità in qualsiasi momento di poter accedere, modificare, cancellare le informazioni su di lui in tuo possesso.

Bisogna rendere noto e avvertire l’utente su chi può accedere ai suoi dati personali e come essi vengono registrati e conservati dal sito web, anche tramite CMS o CRM.

I titolari delle aziende dovrebbero inoltre verificare e controllare che le eventuali agenzie di terze parti che hanno accesso ai dati degli utenti abbiano procedure conformi ai nuovi regolamenti.

GDPR & e-commerce

Gli e-commerce tracciano per loro natura gli utenti e accumulano informazioni e dati sugli stessi. Per mettere a norma un sito e-commerce consigliamo un consulto di un legale specializzato (eventualmente ve ne possiamo segnalare di adeguati) onde evitare brutte sorprese.

In particolare occorre:

Nominare se necessario il DPO, il responsabile della protezione dei dati
Privacy Policy adeguata
Estensioni o applicazioni di terze parti conformi al GDPR
Fare una valutazione del rischio in merito al trattamento dei dati
La corretta dicitura per la richiesta di consenso dei dati dei clienti
La newsletter a norma con disclaimer corretto
Rimuovere opt-in automatici
Tenere un registro delle attività di trattamento in particolare per quanto riguarda l’accesso, la richiesta di consenso e la cancellazione dei dati personali
Registrare e gestire in modo preventivo tutte le violazioni dei dati. Esempi di violazioni dei dati: informazioni personali trasmesse o in possesso di un incaricato o sub-incaricato di dati non autorizzato; trasmissione dei dati personali a un paese che non rispetta il Regolamento Generale sulla Protezione dei Dati; trasmissione dei dati personali a terze parti all’insaputa del soggetto interessato; informazioni personali divulgate, a seguito di attacco informatico su un sito web
Mettere a norma lo staff. Tutto lo staff deve aver firmato l’accordo di riservatezza e aver ricevuto la formazione sulle attività di sensibilizzazione in materia di protezione dei dati.

Serve stare attenti a:

Raccogliere solo e unicamente informazioni utili all’attività . Eliminare le informazioni personali che non si utilizzano più e che sono conservate nei server, nei file, documenti o altro incluse email con gli allegati di file che contengono informazioni personali. È possibile conservare solo una versione delle informazioni personali, e conservare le copie solo per effettuare il backup e il ripristino, fino a un massimo di 4. Se se ne conservano di più deve essere giustificato. La raccolta di informazioni aggiuntive, nel caso in cui si possa utilizzarle in futuro, è illegittima. Le informazioni personali che non hai bisogno di utilizzare devono essere cancellate.

Occorre poi garantire i diritti del cliente:

Il diritto di accedere ai propri dati personali tramite un account personale
Il diritto di ottenere la portabilità dei propri dati (ad esempio una copia dei dati esportabile in un file CSV e in formato PDF)
Il diritto di ottenere la modifica e/o la cancellazione dei propri dati personali con il consenso del commerciante
Il diritto di fornire e revocare il proprio consenso

Notifica al Garante

Dal 25 maggio 2018 cessa l’obbligo di notificazione previsto dall’art. 37, comma 4, del decreto legislativo n. 196/2003. Da tale data e fino al 31 dicembre 2019, il registro resta accessibile a chiunque attraverso il sito del Garante.