Il vostro e-commerce è conforme al GDPR sulla privacy?

/ / Pubblicato il e-commerce, sicurezza web
GDPR privacy

L’applicazione del GDPR nei siti web e negli e-commerce

Il Regolamento generale sulla protezione dei dati (GDPR) è una legge dell’Unione Europea che ha lo scopo di proteggere la privacy e i dati personali degli utenti. 

È stato introdotto nel 2018 e si applica a tutte le aziende che operano nell’UE e che trattano dati personali di utenti dell’UE, indipendentemente dal luogo in cui sono fisicamente situati.

La normativa italiana è stata adeguata ad esso tramite il decreto legislativo numero 101/2018.

Ciò significa che anche i siti web e gli e-commerce devono essere conformi al GDPR per garantire la privacy dei propri visitatori.

I principi fondamentali del GDPR

Il GDPR si basa su alcuni principi fondamentali che devono essere rispettati da tutte le aziende, per garantire l’uso dei dati in modo legittimo e trasparente.

Questi sono alcuni ambiti definiti dal GDPR:

  • La responsabilità delle aziende per la sicurezza dei dati personali raccolti;
  • Il diritto dei cittadini all’accesso, alla rettifica e alla cancellazione dei propri dati personali;
  • L’obbligo per le aziende di fornire informazioni trasparenti su come vengono utilizzati i dati personali;
  • La necessità di ottenere il consenso esplicito degli individui per la raccolta e l’utilizzo dei loro dati;
  • La nomina di un Responsabile della Protezione dei Dati (DPO) da parte delle aziende che trattano grandi quantità di informazioni;
  • Il diritto alla portabilità, ovvero la possibilità per l’interessato di ottenere una copia dei propri dati in formato elettronico e trasmetterli a un altro titolare del trattamento.

L’importanza dell’informativa sulla privacy e come crearla per essere conformi al GDPR

Una delle principali esigenze del GDPR è la chiarezza: le aziende devono informare esattamente e in maniera completa gli utenti su come vengono trattati i loro dati, redigendo una “Privacy Policy” completa. Avvalersi della consulenza di un avvocato specializzato è una raccomandazione importante che ci sentiamo di darvi.

Per essere conformi, quindi, dovrete innanzitutto identificare tutte le fonti di dati personali che raccogliete e per quali finalità.

La Privacy Policy deve essere facilmente accessibile, comprensibile e deve coprire diversi aspetti, tra cui le finalità del trattamento, le categorie di dati trattati, i destinatari dei dati, i diritti degli utenti e le modalità di contatto con l’azienda. Deve essere consultabile e raggiungibile dal sito web (in genere si mette un link sempre evidente nel footer).

Il consenso dell’utente e la gestione dei cookie

Il GDPR richiede che le aziende ottengano il consenso esplicito degli individui per raccogliere e utilizzare i loro dati personali. Bisogna ottenerlo prima che inizino a navigare sul sito e prima di lasciare informazioni, ad esempio ogni qual volta che avete un classico form di contatto dovrete assicurarvi di fornire il link alla policy e chiedere espressamente l’approvazione.
Inoltre, bisogna poter revocare il consenso in qualsiasi momento.

Un altro argomento su cui è obbligatorio informare i visitatori del vostro e-commerce o sito è l’utilizzo dei cookie

I cookie sono files che vengono memorizzati sul computer dell’utente quando visita un sito web. Alcuni sono i cosiddetti “cookie tecnici” che contribuiscono al corretto funzionamento del sito e non richiedono permessi. Altri cookie invece possono essere utilizzati per raccogliere informazioni sull’utente, come le preferenze di navigazione e le attività online (come succede se si usa Google Analytics o altri strumenti di statistiche). 

Occorre quindi fornire un’informativa specifica per i cookie e chiedere il consenso esplicito degli utenti per il loro utilizzo.

Questo avviene generalmente tramite un banner che compare appena atterrati sul sito, che deve: 

  • chiedere esplicitamente il consenso o meno per l’uso dei cookies
  • i bottoni devono essere neutri e non condizionare la scelta (ad esempio non va bene mettere “non acconsento” rosso assieme ad “acconsento” verde peché sembrano “giusto e sbagliato”)
  • avere un link visibile che porti alla pagina dell’informativa cookie
    (la cosiddetta Cookie Policy)
  • permettere in qualsiasi momento di cambiare idea e quindi impostazioni

I diritti dell’utente

Il GDPR conferisce agli utenti diversi diritti per garantire la protezione dei loro dati personali. 

In particolare, sottolineiamo il diritto di accedere alle proprio informazioni e di chiedere la rettifica di quelle inesatte o l’integrazione di quelle incomplete. 

Chi visita il nostro sito o e-commerce ha anche il diritto di chiedere la cancellazione dei propri dati, a meno che non sussista un obbligo legale di conservazione degli stessi. Può opporsi al trattamento dei dati per motivi legittimi o chiedere la limitazione dell’uso.

Infine, il GDPR garantisce il diritto alla portabilità dei dati. Ciò significa che l’utente può i ricevere i propri dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e può trasmetterli a un altro titolare del trattamento senza impedimenti, se tecnicamente fattibile.

La gestione dei dati sensibili e le misure di sicurezza per proteggerli

Il Regolamento generale sulla protezione dei dati riconosce l’esistenza di dati personali sensibili, ovvero che riguardano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, la salute o la vita sessuale. 

Il trattamento di tali dati è soggetto a restrizioni particolari, e in alcuni casi richiede il consenso esplicito dell’utente.

È importante che i siti web e gli e-commerce garantiscano la sicurezza, la riservatezza, l’integrità e la disponibilità dei dati personali e sensibili trattati. Ad esempio, possono essere adottate misure come l’anonimizzazione o la pseudonimizzazione, la cifratura e l’accesso limitato solo a personale autorizzato.

Le procedure di notifica delle violazioni e l’obbligo di avvisare le autorità competenti

Il GDPR prevede che le aziende debbano notificare alle autorità competenti eventuali violazioni entro 72 ore dalla scoperta dell’accaduto. La notifica deve includere una descrizione esaustiva, le categorie e il numero approssimativo di persone coinvolte e le possibili conseguenze.

Inoltre, se la violazione comporta un rischio elevato per i diritti e le libertà degli utenti, è necessario anche avvisare gli utenti.

Conclusione

Con questo articolo speriamo di avervi dato una panoramica generale delle norme a cui dovete sottostare se trattate i dati di chi visita il vostro sito o il vostro e-commerce.

La nostra soluzione webExpress per e-commerce B2B e B2C vi permette di garantire il rispetto delle norme del GDPR per quanto riguarda la parte tecnica, grazie a criteri di generazione e protezione delle password conformi alle best practice di sicurezza, tecniche di pseudonimizzazione e crittografia in base alla natura dei dati e alle caratteristiche del trattamento, invio email tramite connessione sicura SMTPS e altri accorgimenti; anche a voi spetta poi una parte della messa a norma.

Come già detto, consigliamo di consultare un avvocato specializzato o di rivolgervi a servizi esperti e dedicati, in modo da seguire tutta la documentazione e i comportamenti corretti secondo le leggi.

Taggato in: ,

Che altro puoi leggere

Sicurezza dell’e-commerce: come garantirla?
e-commerce collegato erp
I problemi di un e-commerce collegato male all’ERP
ottimizzazione immagini e-commerce
L’ottimizzazione delle immagini in un e-commerce: guida pratica