Il Regolamento generale per la protezione dei dati (GDPR) e i negozi

PinLinkedIn

Il regolamento generale per la protezione dei dati (GDPR) è la normativa europea in materia di protezione della privacy, entrata in vigore il 25 maggio 2018.

Il regolamento GDPR non si limita alle aziende europee. Il regolamento riguarda tutte le aziende che potenzialmente possono trattare dati personali dei cittadini dell’UE, cioè in pratica le aziende di tutto il mondo, a prescindere dalla posizione.

Il regolamento GDPR conferisce maggiori diritti agli interessati per quanto riguarda la tutela dei dati personali. In particolare, la normativa attribuisce all’interessato i diritti di accesso, rettifica, eliminazione, limitazione del trattamento dei dati, e impone delle linee guida rigorose sul consenso dell’utente. Se si raccolgono o si archiviano informazioni che possono in alcun modo essere collegate a un individuo, tali informazioni sono trattate come dati personali. Per informazioni dettagliate, è possibile consultare il testo completo del regolamento GDPR.

Consigliamo di consultarsi con un legale professionista, in quanto ogni azienda è differente. Alcuni tipi di attività potrebbero necessitare di una preparazione più approfondita per essere conformi alla normativa GDPR. Il presente articolo fornisce una panoramica generale della conformità al regolamento GDPR e spiega come soddisfare i requisiti più comuni.

Misure da adottare nella preparazione al GDPR

Sulla base della normativa GDPR, i commercianti devono essere conformi al regolamento se hanno sede nell’UE o vendono ai clienti dell’UE.

Il tuo negozio raccoglie e tratta i dati personali in conformità alla normativa. Tuttavia, è responsabilità dei commercianti rispettare i requisiti del GDPR durante la raccolta e il trattamento dei dati personali dei propri clienti europei. Secondo il nuovo regolamento, sono dati personali le informazioni che possono essere utilizzate per identificare, direttamente o indirettamente, una persona fisica. I dati personali includono informazioni come: nome, foto, indirizzo e-mail, indirizzo IP, estremi bancari, post sui social, stato di salute e persino codici casuali assegnati agli utenti per raccogliere dati analitici, condurre test A/B e tanto altro.

Consigliamo di fare quanto segue:

Ottenere un consenso esplicito prima di raccogliere qualsiasi informazione

È necessario ottenere il consenso del cliente per trattare i suoi dati personali. Bisogna redigere un’informativa sulla privacy che deve essere chiara e trasparente, deve spiegare perché i dati vengono raccolti e quali dati vengono conservati, nonché offrire la possibilità di revocare il consenso.

Per chiedere ai clienti di accettare i termini del servizio prima del checkout, attivare l’impostazione Richiedi il consenso ai termini e le condizioni al pagamento nella sezione Impostazioni → Legale, Consenso dei clienti del pannello di controllo del negozio. Questa impostazione assicura che nella pagina del carrello di tutti gli ordini venga visualizzata una casella di controllo “Acconsento ai termini e le condizioni” per confermare il proprio consenso. Poiché sarà impossibile effettuare un ordine senza accettare i termini e le condizioni, il fatto di effettuare un ordine sarà la conferma del consenso.

Per scoprire come aggiungere un’informativa sulla privacy, termini e condizioni e altre pagine legali al negozio, consultare Pagine legali.

Ottenere un consenso esplicito prima di inviare e-mail promozionali

È necessario ottenere il consenso esplicito per inviare ai clienti e-mail non relative all’ordine. Il tuo negozio consente di aggiungere una casella di spunta per il consenso accanto al pulsante di pagamento. In questo modo è possibile ottenere il consenso e creare un elenco dei clienti che hanno accettato di ricevere e-mail promozionali.

Per aggiungere una casella di spunta per il consenso all’invio di e-mail promozionali al checkout:

  1. Nel pannello di controllo del negozio, andare a Impostazioni → Legale.
  2. Scorrere verso il basso fino alla sezione Consenso dei clienti.
  3. Abilitare l’opzione Richiedi il consenso dei clienti alle tue e-mail di marketing nella pagina di pagamento.
  4. (facoltativo) Premere Modifica per modificare il testo accanto alla casella di spunta e/o per preselezionare l’opzione d’iscrizione.

È inoltre possibile aggiungere l’opzione per il consenso all’invio di e-mail nella sezione Marketing → Newsletter oppure Impostazioni → Generale → Carrello (scorrere in basso fino alla sezione Newsletter). Maggiori informazioni sulla raccolta degli indirizzi e-mail dei clienti al checkout.

Indicare chiaramente nei moduli qual campi sono facoltativi e quali obbligatori

Il tuo negozio mostra chiaramente quali campi devono essere compilati tassativamente e quali sono facoltativi:

GDPR__5_.png

Questa normativa UE è soddisfatta solo se per il negozio è stata attivata la Vetrina Next-gen.

Ottenere un consenso esplicito dei visitatori per monitorare la navigazione attraverso i cookie

È necessario chiedere ai clienti il consenso al monitoraggio delle loro azioni nella vetrina del negozio attraverso i cookie. Il tuo negozio permette di aggiungere un banner speciale per chiedere il consenso.

Per aggiungere il banner per il consenso ai cookie alle pagine di un negozio:

  1. Nel pannello di controllo del negozio, andare a Impostazioni → Legale.
  2. Scorrere verso il basso fino alla sezione Consenso dei clienti.
  3. Abilitare il banner di consenso ai cookie.

È inoltre possibile attivare il banner alla voce Impostazioni → Generale → Monitoraggio e analisi abilitando l’opzione banner di consenso ai cookie del GDPR.

Dopo la sua attivazione, il banner di consenso ai cookie apparirà nella vetrina del negozio con l’opzione di accettare o rifiutare:

GDPR__3_.png

Coloro che accedono al negozio e fanno clic su “Accetta” potranno sempre modificare la propria scelta in seguito nella pagina Il mio account del negozio (questa pagina/opzione è disponibile sia per i clienti che hanno un account presso il negozio che per i visitatori non registrati).

Se si tiene traccia delle attività dei visitatori con l’aiuto di Google Analytics/Facebook Pixel, i visitatori che fanno clic su “Rifiuta” (o revocano il proprio consenso in seguito) non vengono conteggiati nelle statistiche.

È possibile modificare il testo visualizzato nel banner dei cookie o aggiungere un testo diverso. Per farlo, è necessario modificare l’etichetta di testo Notice.TrackingConsent.description.

Il banner di consenso ai cookie funziona solo se per il negozio è stata attivata la Vetrina Next-gen.

Concedere ai clienti il diritto di accedere ai propri dati

Su richiesta del cliente, il titolare del trattamento deve fornire al cliente una copia dei suoi dati personali in un formato chiaramente leggibile e portabile. È possibile accedere ai dati personali dei clienti direttamente dal pannello di controllo del negozio.

Per ottenere i dati personali di un cliente:

  1. Nel pannello di controllo del negozio, andare a Impostazioni → Legale.
  2. Scorrere verso il basso fino alla sezione Dati personali dei clienti.
  3. Fare clic su Ottieni i dati personali del cliente.
  4. Immettere l’indirizzo e-mail del cliente nell’apposito campo.
  5. Fare clic su Invia.

Una volta fatto, arriverà un messaggio e-mail all’indirizzo con il quale è registrato il proprio account negozio. Il messaggio conterrà il link per scaricare i dati personali del cliente in formato .zip (il link è valido per 10 giorni).

Se si ha bisogno di aiuto per ottenere e fornire i dati, il tuo negozio può fornire su richiesta le informazioni conservate. Inoltre, è necessario prendere in considerazione qualsiasi servizio di terze parti utilizzato che possa avere accesso ai dati personali dei clienti.

Concedere ai clienti il diritto di eliminare e modificare i dati, limitare il trattamento dei dati

Oltre che ad accedere ai dati, il tuo negozio può aiutare a eliminare i dati personali che conserva per conto dei commercianti.

Per eliminare i dati personali di un cliente:

  1. Nel pannello di controllo del negozio, andare a Impostazioni → Legale.
  2. Scorrere verso il basso fino alla sezione Dati personali dei clienti.
  3. Fare clic su Elimina i dati personali del cliente.
  4. Immettere l’indirizzo e-mail del cliente nell’apposito campo.
  5. Fare clic su Invia.

Dopo aver premuto Invia, tutti i dati personali associati all’indirizzo e-mail specificato verranno eliminati definitivamente tra 7 giorni. Inoltre, il tuo negozio provvederà ad avvisare gli sviluppatori delle app del Mercato delle applicazioni (se utilizzate) che il cliente ha chiesto la cancellazione dei propri dati personali.

Nel caso sia necessario annullare la cancellazione pianificata dei dati, fare clic sul link Annulla a destra.

Le richieste di base (ad esempio, se un cliente chiede di eliminare il proprio ordine) possono, inoltre, essere gestite rapidamente dal pannello di controllo del negozio.

Notifiche di violazione dei dati

Il tuo negozio agisce come Responsabile del trattamento, mentre i commercianti (tu) agiscono come Titolari del trattamento. Nel caso il sito web di un commerciante debba riscontrare una violazione dei dati di qualsiasi tipo, potrebbe essere necessario notificare la violazione ai clienti interessati. Sulla base del GDPR, una notifica deve essere inviata entro 72 ore dal momento in cui si viene a conoscenza di una violazione dei dati. I Responsabili del trattamento sono inoltre tenuti a notificare la violazione dei dati agli utenti, nonché ai titolari del trattamento, immediatamente dopo esserne venuti a conoscenza.

È importante assicurarsi di utilizzare password robuste (è possibile usare un generatore di password per crearle) per il proprio negozio per aumentare la sicurezza dei dati.

Cosa abbiamo fatto per essere conformi al GDPR

Il tuo negozio raccoglie, memorizza, elabora e condivide i dati personali sulla base delle linee guida del GDPR e rispetta i requisiti del GDPR nei seguenti modi:

  • Abbiamo assegnato un Responsabile della protezione dei dati che è responsabile per la strategia di protezione dei dati;
  • Abbiamo iniziato la formazione incentrata sul GDPR dei collaboratori e team chiave;
  • Abbiamo implementato una procedura dettagliata per trattare tutte le richieste di accesso da parte dei soggetti interessati, le richieste di eliminazione e le richieste di accesso da parte delle autorità pubbliche;
  • Lavoriamo solo con sub-responsabili del trattamento che forniscono una protezione adeguata dei dati personali mediante solide misure tecniche e organizzative;
  • Abbiamo realizzato un metodo affidabile per rilevare e segnalare i data breach e indagare sulle violazioni;
  • Teniamo i registri necessari delle attività di trattamento dati;
  • Disponiamo della certificazione ai sensi dei framework EU-U.S. e Swiss – U.S. Privacy Shield, l’accordo all’interno del quale le organizzazioni certificate garantiscono di fornire un livello di protezione in linea con la normativa europea per la protezione dei dati, per quanto riguarda il trasferimento dei dati personali dallo Spazio economico europeo e Svizzera verso gli USA.
PinLinkedIn