L'ultimo tentativo: controlla se il tuo e-commerce è pronto per il GDPR

Pubblicato: 2018-05-24

Mancano solo poche ore all'entrata in vigore dei principi del Regolamento generale sulla protezione dei dati. Ciò significa che hai ancora poco tempo per verificare la conformità al GDPR della tua attività di e-commerce con tutti i requisiti dell'UE.

In questo post cercheremo di fornire in estrema sintesi le informazioni più necessarie sull'incombente normativa in materia di controllo e trattamento dei dati personali dei tuoi utenti. Oltre a includere link utili in cui è possibile esaminare in dettaglio come funziona il GDPR. Troverai anche un breve elenco di controllo GDPR in fondo a questo post che può eventualmente aiutarti a evitare ingenti multe dopo il 25 maggio 2018.

GDPR: radici e frutti

Nel 2010, la Commissione europea ha definito una strategia per rafforzare le norme dell'UE sulla protezione dei dati e rivedere la direttiva sulla protezione dei dati dell'UE del 1995 e la legge sulla protezione dei dati del Regno Unito del 1998, entrambi ormai obsoleti.

Hanno condotto un sondaggio tra i cittadini dell'UE da cui è emerso che il 61% degli utenti è preoccupato per la privacy dei propri dati personali detenuti dai siti di e-commerce e più della metà delle loro preoccupazioni (55%) riguardava la frode durante gli acquisti online.
Secondo il sondaggio, il 75% degli intervistati vorrebbe poter richiedere ed eliminare le proprie informazioni personali online ogni volta che lo desidera. E oltre il 90% delle persone desiderava avere gli stessi diritti di protezione dei dati in tutta Europa.

Iscriviti per rimanere sintonizzato e ricevere suggerimenti di marketing rapidi e attuabili direttamente nella tua casella di posta.

Per 6 anni, la Commissione europea ha elaborato i principi della protezione dei dati degli utenti e metodi efficienti per la loro implementazione in Internet in tutto il mondo. E infine, nel 2016, il GDPR è stato approvato dal parlamento dell'UE. Consideriamo questi principi in generale.

Principi GDPR

  • Legalità, giustizia e trasparenza
    Tutti i consensi che offri ai tuoi visitatori devono essere scritti in un linguaggio semplice e chiaro. Così come la tua politica sulla privacy e i termini dei servizi. Qualsiasi tipo di e-mail che invii ai tuoi consumatori o potenziali dovrebbe includere un pulsante "annulla iscrizione" e consistere in una spiegazione del motivo per cui hanno ricevuto la tua e-mail. L'Unione Europea richiede che i tuoi clienti abbiano il diritto di essere a conoscenza delle finalità, dei metodi e del volume dei loro dati che elabori.
  • Adeguatezza, rilevanza e limitatezza
    Il GDPR cerca di ridurre al minimo i dati personali irrilevanti e di pseudonimizzare i dati degli utenti in tuo possesso. Dovresti raccogliere solo i dati che prevedi di utilizzare nel tuo e-mail marketing, nell'invio di e-mail a freddo e sbarazzarti dei contatti non necessari o passivi.
  • Precisione
    I dati personali in tuo possesso devono essere accurati e aggiornati. Per garantire ciò, i tuoi clienti devono avere l'opportunità di modificare le proprie informazioni personali ogni volta che lo desiderano. Possono inoltre richiedere informazioni sui propri dati personali trattati dalla vostra azienda ed esercitare il diritto all'oblio.
  • Limitazione di archiviazione
    Non dovresti conservare i dati personali più a lungo del necessario per i tuoi scopi di elaborazione. Ad ogni modo, i titolari del trattamento non hanno finora fissato limiti di tempo per la conservazione dei dati. Quindi questo principio va considerato alla luce del 'diritto all'oblio'.
  • Integrità e riservatezza
    Non devi mai condividere o vendere i dati personali di altre persone o aziende dei tuoi clienti senza il consenso del proprietario dei dati. Tutte le aziende sono responsabili dei loro database e dovrebbero prendersi cura della loro sicurezza.

Elenco dati personali GDPR

Nella legge, il termine "dato personale" è definito come "qualsiasi informazione relativa a persona fisica vivente, identificata o identificabile". Questi principi si applicano a tutte le autorità pubbliche che detengono e tengono traccia dei dati di qualsiasi cittadino dell'UE.

Pertanto, il GDPR ti riguarda se:

  • Voi clienti e potenziali siete cittadini dell'Unione Europea
  • I tuoi abbonati e-mail provengono dall'UE
  • Il tuo database per il cold email marketing è costituito dai dati personali dei residenti nell'UE.

Non importa se il tuo sito di e-commerce è stato creato utilizzando WordPress, Magento, WooCommerce o Joomla o se hai sviluppato il sito nel tuo CMS. Il GDPR riguarda solo i tuoi utenti e la sicurezza dei loro dati personali .

Cosa sono i "Dati personali" ai sensi del GDPR:

  • Un nome;
  • Un numero di identificazione;
  • Dati sulla posizione;
  • Identificatori di cookie;
  • Identificatori in linea;
  • Dati biometrici;
  • Reddito;
  • Uno o più fattori specifici dell'“identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” del soggetto che possono aiutare a identificare la sua persona.

Commissioni GDPR

I principi del GDPR hanno suscitato molto scalpore a causa delle ingenti multe per non conformità. La multa più grande può arrivare fino a 20.000.000 EUR, o fino al 4 % del fatturato annuo totale mondiale dell'anno finanziario precedente, a seconda di quale sia il valore più alto. Questo è il motivo per cui la maggior parte delle grandi aziende ha deciso di spendere più di milioni di dollari per la conformità al GDPR.
Ma dovresti ricordare che ogni situazione è unica, quindi l'entità di una multa verrà stimata su base uno a uno.
In generale, ci sono due motivi principali per cui la tua azienda di vendita al dettaglio può essere multata: una fuga di massa di dati personali e la violazione di dati personali sensibili.

Specialisti della protezione dei dati

Questo è un passaggio indispensabile con cui dovresti iniziare (se non l'hai già fatto). La tua azienda di e-commerce dovrebbe avere un avvocato/avvocato che sia al corrente con tutti i dettagli del GDPR e si occuperà della protezione dei dati dei tuoi clienti. Nel caso in cui possiedi ed elabori dati sensibili ad alto rischio di divulgazione, o ti aspetti una violazione di massa dei dati, devi assumere un responsabile della protezione dei dati.
Tra le loro responsabilità c'è la risposta ai reclami dei clienti e il monitoraggio della conformità al GDPR del tuo sito di e-commerce, soprattutto se la tua azienda sta testando nuove soluzioni, moduli, e-mail di marketing, sviluppando una nuova interfaccia o app per il sito web.
Inoltre, il tuo responsabile della protezione dei dati (o specialista) è tenuto a notificare all'ICO la notifica di violazione dei dati entro 72 ore se si tratta di un errore sistemico, di un attacco hacker o di qualsiasi altro problema che potrebbe portare a gravi conseguenze per la sicurezza dei tuoi clienti.

Il GDPR è una buona cosa per l'e-commerce?

Il regolamento generale sulla protezione dei dati può e avrà un effetto positivo sul settore della vendita al dettaglio online. In quanto ciò può aumentare la fiducia e la fedeltà dei clienti, nonché aumentare la fiducia nel processo di pagamento. Per questo ti consigliamo di informare i tuoi clienti che ti occuperai della riservatezza dei loro dati personali nel migliore dei modi.

Lista di controllo per l'e-commerce GDPR

C'è un numero enorme di requisiti e dettagli nel documento GDPR principale. Ma abbiamo cercato di includere il più necessario in questa lista di controllo. Guarda questo per scoprire se non hai perso nulla da implementare nel tuo sito Web, e-mail, moduli di contatto e ogni modulo di consenso.

Specialista della protezione dei dati

  • In qualità di responsabile del trattamento dei dati, hai assunto uno specialista della protezione dei dati o un responsabile della protezione dei dati se stai elaborando dati sensibili.

Lista di controllo per la conformità del consenso

  • I tuoi consensi sono scritti in modo semplice e chiaro in modo che i tuoi clienti possano capire facilmente cosa e per cosa verranno trattate le loro informazioni personali, nonché una chiara comprensione di ciò che hanno concordato.
  • I tuoi moduli di consenso sono espliciti. Questi non contengono caselle preselezionate o qualsiasi altro consenso per impostazione predefinita.
  • Il tuo 'pulsante di risposta' con un consenso positivo non è evidenziato da un altro colore.
  • Il tuo modulo di consenso è ben visibile e separato dalla sezione Termini e condizioni.
  • Hai nominato la tua organizzazione e terze parti nella parte inferiore del modulo.
  • Hai fatto notare che i tuoi clienti possono rifiutare questo consenso.
  • Hai spiegato come i tuoi clienti possono revocare il loro consenso.
  • Se prevedi o sai che all'interno dei tuoi clienti online potrebbero esserci bambini, il tuo modulo di consenso contiene la verifica dell'età e la richiesta del consenso dei genitori.

Puoi anche trovare diverse opzioni su come creare un modello di modulo di consenso compatibile con GDPR qui.
Per ottenere informazioni più dettagliate sui requisiti per i contenuti, consultare la Guida al consenso ICO GDPR del Regno Unito.

Informativa sulla privacy Lista di controllo per la conformità al GDPR

  • Hai già esaminato i Termini di servizio e l'Informativa sulla privacy. E sei sicuro che questi sono scritti in un linguaggio chiaro per i tuoi clienti. L'informativa sulla privacy consiste nella spiegazione del modo in cui tratti i dati degli utenti e nell'elenco di eventuali servizi di terze parti che utilizzi per elaborare i dati degli utenti.
  • Hai indicato sul tuo sito web come i tuoi clienti possono richiedere le loro informazioni in tuo possesso, modificare o ritirare i loro dati dal tuo sito web.
  • Hai aggiunto le istruzioni su come i tuoi clienti potrebbero segnalarti come una violazione di qualsiasi principio GDPR che li riguarda.
  • Hai fatto notare che non penalizzi i tuoi clienti per aver ritirato il loro consenso.
  • Hai incluso un indirizzo email del tuo DPO nella tua Informativa sulla privacy.
  • Hai incluso il link alla tua informativa sulla privacy in un posto ben visibile nel footer del tuo sito web.

Consenso di gestione

  • Tieni un registro di quando, dove e come hai ricevuto il consenso di ciascuno dei tuoi clienti.
  • Tieni un registro delle informazioni esatte che i tuoi clienti ti forniscono.
  • Hai già programmato quando applicherai un controllo periodico che il rapporto, il trattamento e la finalità non siano cambiati.
  • Hai già programmato in quale periodo di tempo aggiornerai i tuoi dati utente.

Assicurati di non inviare i dati personali dei tuoi clienti, inclusi indirizzi email, nomi, ID utente, dati sulla posizione, ID transazione, indirizzi IP, a Google Analytics a livello di codice. Leggi questo articolo di Google per saperne di più.

Gli utenti si sono abituati a fare clic positivamente sulla maggior parte dei consensi, sfortunatamente. Questo è il motivo per cui ti consigliamo di creare un popup di riconsenso aggiuntivo per assicurarti che i tuoi clienti capiscano quali dati lasciano.

Valutazione del rischio

  • Il tuo team di specialisti della protezione dei dati deve preparare una valutazione del rischio, un documento in cui dovrebbero indicare quali dati specifici l'azienda raccoglie, come e per cosa li elabora.
  • Hai analizzato i tuoi rischi, trovato potenziali punti deboli e previsto la tua azione se qualcosa fosse andato storto.

Questo documento non deve essere caricato sul tuo sito web, ma potrebbe essere una solida base legittima per le tue azioni quando ricevi un reclamo.

Compiliamo un riepilogo del GDPR

Oggi, il GDPR è ancora nelle sue fasi iniziali e si evolverà nel tempo. Tuttavia, questa è ora una cortesia comune nei confronti dei tuoi clienti in termini di una tendenza globale alla trasparenza aziendale.

  • Consenti ai tuoi clienti di decidere che tipo di informazioni personali possono lasciare.
  • Aiutali a sapere cosa e per quale motivo i loro dati possono essere trattati.
  • Fai sapere loro come potrebbero richiedere le loro informazioni personali, ritirare i loro consensi o annullare l'iscrizione.
  • Per favore, usa un linguaggio semplice quando parli al tuo pubblico: non c'è bisogno di chiedere ai tuoi copywriter di usare migliaia di termini giuridici inutili che nessuno capisce.
  • Ridisegna i tuoi moduli di consenso.
  • Indirizza con attenzione il tuo pubblico di email marketing.
  • Stabilisci le responsabilità per il tuo responsabile della protezione dei dati. Attiva il loro indirizzo email separato.
  • Conserva un registro di tutte le informazioni utente che hai ricevuto ed elaborato.
  • Aggiorna i file dei Termini di servizio e dell'Informativa sulla privacy.

Sappiamo che ciò richiede tempo e risorse, che speriamo tu abbia già a disposizione ormai. Ma il tuo duro lavoro e i tuoi sforzi per diventare conformi guadagneranno la fiducia dei clienti.