Vendi online tramite sito web? Ecco cosa è utile sapere e cosa ti serve per l’adeguamento del tuo sito eCommerce agli obblighi e alla normativa vigente.
GDPR ed eCommerce: fondamentali
Partiamo dall’inizio: il GDPR riguarda tutti coloro che raccolgono e utilizzano dati personali, in modo automatico o manuale, a scopo professionale. Ne consegue che chi gestisce una attività di eCommerce e possiede un sito web ad essa collegato, deve sottostare alle previsioni del GDPR.
In dettaglio, il GDPR diviene vincolate se sul sito web eCommerce vi sono:
- form di registrazione utenti;
- sezioni di commenti e rencensioni;
- form di contatto;
- tool di analisi del traffico;
- strumenti per il funnel marketing e newsletter;
- tool di marketing (Google e non solo).
Questi sono infatti strumenti che raccolgono dati personali, ovvero utili a identificare una persona. Ne sono esempi il nome e cognome, l’indirizzo email, l’indirizzo IP, le coordinate bancarie, gli estremi della carta di credito ecc… Anche i cookie raccolgono e trattano dati personali e anche questi devono quindi sottostare a precisi obblighi normativi.
Insomma, chi ha un’attività di eCommerce e un sito web correlato, deve ottenere la conformità al GDPR, nessuno escluso.
I principi fondamentali del GDPR
A grandi linee, senza pretesa di completezza, vi sono 6 principi che il GDPR obbliga a rispettare:
- principio di liceità e correttezza:
i dati personali possono essere trattati solo in alcuni casi esplicitati dal GDPR e conseguenti linee guida. I casi più comuni sono l’adempimento contrattuale e il consenso informato; - principio di trasparenza:
il proprietario del eCommercedeve comunicare in modo chiaro e comprensibile all’utente, finalità e modalità del trattamento dei dati. I dati dovranno restare accessibili allo stesso interessato; - limitazione delle finalità:
è possibile raccogliere dati limitatamente alle finalità predeterminmate, legittime ed espresse esplicitamente. Il loro trattamento deve essere compatibile con le date finalità; - principio di minimizzazione:
i dati richiesti all’utente sono quelli strettamente necessari per le finalità del trattamento in oggetto; - limitazione della conservazione:
i dati sono conservabili soltanto per il tempo necessario al raggiungimento della finalità del trattamento. Periodi di conservazione più lunghi sono illegittimi; - integrità, riservatezza e esattezza dei dati:
I dati raccolti devono essere esatti e, in caso di errore, aggiornati. Non solo, dovranno essere sempre trattati in maniera tale da garantire la loro sicurezza (integrità) e impedirne utilizzi illegittimi.
Funge da “cappello” a tali principi il principio di responsabilizzazione, o accountability. Chi, per motivi lavorativi, tratta dati personali è responsabile di dover dimostrare il rispetto di tutti i principi previsti dal GDPR.
Conformità al GDPR: domande fondamentali
Per capire come organizzare la conformità del tuo eCommerce alla normativa e al GDPR occorre prima fare un’analisi preventiva. Le domande minime alle quali tale analisi deve rispondere sono:
- quali dati sono raccolti tramite il sito?
- quali aree del sito raccolgono dati?
- che uso è fatto dei dati (profilazione, adempimento contrattuale, servizi di newsletter ecc…)
- dove sono conservati i dati? (nel sito, in un sistema esterno, in un altro paese ecc…)
- per quanto tempo sono conservati i dati?
- quale e come è stato ottenuto il consenso al trattamento dati?
- chi può accedere ai dati memorizzati?
- quale livello di sicurezza è offerto ai dati e a quali rischi sono esposti?
E’ immediato comprendere che la complessità di tale analisi va di pari passo con la complessità e strutturazione del sito web.
La privacy policy e la cookie policy di un sito eCommerce: cosa prevede la normativa?
L’informativa privacy deve prevedere:
- finalità e modalità del trattamento dati;
- l’obbligo o meno di conferire i dati;
- i soggetti e le categorie ai quali i dati personali possono essere comunicati, compresi soggetti come i responsabili del trattamento o gli incaricati;
- i diritti dell’interessato (art 7. del GDPR);
- estremi e contatti del titolare del trattamentoi e, se nominati, anche del rappresentante e del responsabile del trattamento.
La visione dell’informativa privacy da parte dell’interessato si rende necessaria come fase antecedente all’espressione del consenso.
La cookie policy deve
- contenere la panoramica e le responsabilità dei cookie presenti sul sito;
- essere trasparente, chiara e accessibile (intendendo con accessibile una forma semplice e comprensibile del testo);
- garantire la possibilità all’interessato di ritirare il consenso in qualsiasi momento;
- permettere il consenso preventivo, prima dell’impostazione e attivazione dei cookie. Secondo il consenso espresso dall’utente, si potranno memorizzare solo i cookie necessari;
- consentire il rinnovo del consenso ogni 12 mesi;
- archiviare i consensi, così da poterli dimostrare in caso di controlli delle autorità preposte.
Per saperne di più > Cookie policy: che cosa è?
L’adeguamento tecnico degli eCommerce
Una sola componente non conforme al GDPR ma presente sul sito di eCommerce comporta la non conformità al GDPR. Di conseguenza, plugin, cookie di profilazione, tool, widget e tutto ciò che è presente sul sito deve essere conforme al GDPR. Un sito eCommerce è solitamente un sito molto articolato, sicuramente più di un semplice blog. Inoltre, nella quasi totalità dei casi non utilizza solo cookie tecnici, ma anche cookie di profilazione e analytics.
Se per l’uso dei soli cookie tecnici non serve un consenso dell’utente, nel caso dell’uso di Google Analytics non sarà necessario il consenso, ma solo se il sito web:
- rende anonimo l’indirizzo IP:
- non prevede l’indentificazione dello user ID;
- abbia disattivata la condivisione di dati con altri prodotti Google;
- siano disattivate le funzioni di profilazione utente.
Per i cookie di profilazione non ci sono scappatoie: il consenso preventivo è d’obbligo. Per maggiori dettagli sul banner cookie e la conformità di un sito web al GDPR rimandiamo a questo approfondiento.
Tra gli adeguamenti tecnici va prevista anche la valutazione e conseguente adattamento dei luoghi e dei metodi di archiviazione dei dati.
Anche i moduli di contatto vanno adeguati. Ad esempio la normativa attuale non consente l’uso di caselle pre-spuntate e vieta il consenso cumulativo. I form devono essere organizzati in maniera tale da lasciare libero il consenso e da garantire che sia espresso un consenso per ogni diversa finalità di trattamento dati. Ecco perché ormai quasi tutti i provider di servizi di email marketing hanno reso disponibili moduli di iscrizione alle newsletter che prevedano di esprimere consensi specifici.
Acconsento.click garantisce la conformità dei siti eCommerce alla normativa
Grazie ad Acconsento.click sul tuo sito web apparirà una gradevolissima e innovativa interfaccia a sezioni che spiegherà a tutti gli utenti le informazioni necessarie sui loro dati che verranno trattenuti durante la loro navigazione. Consente anche la generazione automatica della Cookie Policy e della Privacy Policy.
Inoltre acconsento.click è compatibile con i principali CMS, compresi PrestaShop, Shopify, WooCommerce, Wix ecc..
Contattaci e verificheremo la conformità del tuo sito web eCommerce (e non solo) alla normativa vigente. Ti forniremo le indicazioni utili per mettere in regola il sito web