Adeguamento GDPR per E-commerce: come scrivere la privacy policy

Dal 2018 chi gestisce uno store online deve fare i conti con l’adeguamento al GDPR, il Regolamento Generale sulla Protezione dei Dati che disciplina la gestione dei dati a livello europeo. Un documento che, tra le altre cose, obbliga gestori di siti web a dotarsi di una Privacy Policy nel caso in cui trattino dati personali.

Il legislatore europeo con il GDPR ha voluto armonizzare la materia su tutto il territorio Ue superando il concetto di diritto alla tutela dei dati personali e introducendo quello di visione proprietaria del dato. Cosa comporta questo per un sito di e-commerce? Una serie di procedure che assicureranno allo store online il completo adeguamento al GDPR. Un passaggio importante che farà di ogni sito di e-commerce un luogo a prova di privacy, dove gli utenti potranno sapere sempre come i loro dati personali saranno trattati. Forse, un piccolo pensiero in più per i gestori che adeguandosi al GDPR, però, daranno prova di serietà e professionalità ai propri clienti, evitando al tempo stesso le pesanti sanzioni previste per il mancato adeguamento.

Il GDPR riporta chiaramente le regole da rispettare: ecco allora le informazioni di cui hai bisogno per essere sicuro di mettere a disposizione dei tuoi utenti uno store online a prova di privacy.

È importante dotarsi, quindi, di una Privacy Policy specifica, un documento che informi l’utente e potenziale cliente in modo semplice e chiaro come verranno trattati i suoi dati.

Il consiglio è di seguire questi 3 principi:

1. accessibilità della privacy policy da ogni singola pagina del sito;
2. visibilità chiara e diretta (no a posizioni defilate o colori spenti);
3. terminologia chiara indicandola anche semplicemente come “Privacy” o “Privacy Policy” o “Politica sulla Privacy”.

Molti e-commerce indicano l’Informativa privacy di un sito web nel modello GDPR a piè pagina:

Ricordati sempre di indicare nella tua Privacy Policy:

• contatti della tua azienda;
• quali dati verranno raccolti e come verranno utilizzati;
• il periodo di conservazione e il criterio di utilizzo;
• se i dati saranno utilizzati in un Paese al di fuori dell’Ue;
• se saranno condivisi con fornitori terzi;
• i diritti dell’utente all’accesso, alla modifica e alla cancellazione.

Il General Data Protection Regulation è il regolamento per la protezione dei dati personali (GDPR 2016/679) approvato nel 2016 ed entrato in vigore il 25 maggio 2018. Con il GDPR il legislatore europeo ha raccolto e armonizzato tutta la legislazione europea in materia e, trattandosi di un regolamento, è direttamente applicabile all’interno di ciascuno Stato membro.

Il documento regolamenta la raccolta e la gestione dei dati personali effettuata nell’ambito di qualsiasi attività, da quella medica a quella finanziaria, fino appunto a tutto il mondo del commercio online.

Dal 2018, quindi, dalla Grecia alla Svezia, dalla Lettonia al Portogallo, ogni e-commerce europeo deve fare i conti con l’adeguamento al GDPR che stabilisce come raccogliere e utilizzare i dati degli utenti con lo scopo di proteggere i loro diritti e la loro privacy.

In particolare, si regolamenta il diritto di decidere come le informazioni verranno utilizzate e la possibilità di rifiutare il consenso in qualsiasi momento.

Il GDPR in 99 articoli e 173 “considerando” stabilisce 7 principi fondamentali che sono:

1. Legalità, correttezza e trasparenza – i dati raccolti devono rispettare il GDPR e il loro utilizzo deve essere sempre corretto e trasparente.
2. Limitazione dello scopo – il trattamento dei dati deve essere specificato, esplicito e legittimo, ossia deve servire a uno scopo ben preciso e non per altre attività.
3. Minimizzazione dei dati – la raccolta dei dati deve limitarsi allo stretto indispensabile e “in relazione alle finalità per le quali gli stessi saranno trattati”.
4. Accuratezza – i dati forniti devono essere aggiornati e quelli “inaccurati” devono essere aggiornati o rimossi.
5. Limitazione della conservazione – tutti i dati di cui non si ha più bisogno devono essere cancellati;
6. Integrità e riservatezza – è il principio che riguarda la sicurezza dei dati raccolti, per questo è necessario dimostrare di avere misure tecnico-organizzative adeguate ad assicurarla (anche per prevenire eventuali furti e perdita di dati).
7. Responsabilità – chi ha un e-commerce deve poter dimostrare di essere aderente alle norme contenute nel GDPR e di rispettarle sempre.

Da chiarire che l’adeguamento non riguarda solo gli e-commerce dei Paesi Ue ma tutti quelli che comunque offrono prodotti e servizi agli utenti europei.

Gli e-commerce che non si adeguano al GDPR rischiano sanzioni anche molto pesanti che possono arrivare addirittura a 20 milioni di euro. Cosa fare per essere conformi?

Chi offre servizi e prodotti a clienti europei deve adeguarsi al GDPR, quindi, per ipotesi, un e-commerce statunitense che rende disponibile i suoi prodotti sul territorio europeo è altamente probabile che si debba comunque adeguare alla normativa europea in materia, ferme opportune valutazioni del caso concreto con specifici esperti in materia.

Questo perché gli utenti che utilizzano un sito web lasciano dati personali come nome, cognome, indirizzo mail ma anche tante altre informazioni che potrebbero renderli identificabili.

Rispetto a questi il tuo e-commerce dovrà sempre informare l’utente, tramite un’apposita informativa, riguardo a questi principali aspetti:

• Lo scopo per il quale i dati si stanno raccogliendo e per quale finalità saranno usati;
• L’effettiva necessità di questi dati per le azioni che si stanno svolgendo;
• La possibilità di modificare o cancellare i dati in qualsiasi momento;

Inoltre, l’utente dovrà essere sempre informato della possibilità di esercitare i suoi diritti ex artt. 15-22 GDPR.

Il GDPR, come detto, ha allargato il semplice diritto alla protezione dei dati personali (già stabilito dalla direttiva 95/46) a una visione proprietaria del dato. Questo ha riconosciuto agli utenti online diritti ben precisi, dalla cancellazione del dato a quello all’oblio, ecco quali sono.

Diritto alla cancellazione o oblio

Ai sensi dell’art. 17 GDPR, l’Interessato ha il diritto di richiedere e di ottenere la cancellazione dei suoi dati personali o la loro trasformazione in forma anonima purché effettuata con tecniche che garantiscano l’impossibilità di re-identificazione.

Revoca del consenso

Ai sensi dell’articolo 7 GDPR, l’Interessato può richiedere in ogni momento senza motivazioni la revoca del consenso prestato. H3 Diritti di accesso, rettifica o limitazione al trattamento

Ai sensi dell’art. 15 GDPR, l’Interessato ha il diritto di ottenere la conferma che sia o meno in corso un trattamento dei dati personali che lo riguardano.

Ai sensi dell’art. 16 GDPR, l’Interessato ha, invece, il diritto di ottenere la correzione/rettifica dei suoi dati personali inesatti.

La richiesta da parte dell’interessato di limitazione del trattamento ex art. 18 GDPR comporta, infine, il divieto di qualsiasi tipo di trattamento del dato personale oggetto di richiesta salvo non ricorrano specifiche circostanze indicate nell’articolo 18 GDPR.

Diritti di opposizione al trattamento

Se ricorrono alcune circostanze indicate dall’art. 21 GDPR, l’interessato può esercitare il diritto di opposizione al trattamento dei propri dati personali, inclusa la profilazione.

Diritto alla portabilità dei dati

Assicurati che i moduli di adesione siano adeguati: le newsletter da opt-out dovranno passare a opt-in opzionale, i Se ricorrono alcune circostanze indicate dall’art. 20 GDPR, l’interessato può chiedere al titolare di fornire allo stesso in un formato strutturato e di uso comune e leggibile da un dispositivo automatico i dati personali che lo riguardano e da lui forniti.

Costi per la realizzazione della Privacy e multe

Quali sono i costi per l’adeguamento al GDPR? Per rispondere alla domanda occorre individuare le attività necessarie.

Innanzitutto, meglio affidarsi a un consulente esperto in materia, ad esempio  un avvocato o uno studio legale specializzato in data protection.

D’altra parte, il mancato adeguamento comporterà sanzioni anche molto pesanti che dipendono dal tipo di violazione  e possono arrivare a 20 milioni di euro o essere pari al 4% del fatturato dell’azienda se questo fosse superiore.

Particolare attenzione va posta alla Privacy Policy, l’Informativa che dirà all’utente in modo semplice e chiaro come i suoi dati verranno raccolti, utilizzati e trattati. A grandi linee, dovrà indicare i dati di contatto del Titolare e, ove nominato, del Responsabile della Protezione dei Dati, le finalità e la durata del trattamento, la base giuridica e molto altro.

Per essere sicuro di realizzare un’Informativa corretta, assicurati di aver:

• Verificato i dati personali raccolti;
• Aggiornato l’Informativa;
• Inserito gli avvisi sui cookie;
• Creato processi opt-in;
• Reso in modo chiaro la possibilità di gestione e cancellazione dei dati;
• Controllato che i moduli non siano flaggati di default;
• Abilitato la procedura per l’eliminazione, se richiesta;
• Abilitato la procedura per la portabilità dei dati.

Vale la pena, a questo punto, spiegare brevemente cosa sono i cookie nei siti web, perché hanno un’importanza strategica nel mondo del marketing e sono oggetto, al momento, di cambiamenti epocali.

Per semplificare, possono essere rappresentati come piccoli file di testo salvati all’interno del browser durante la navigazione sul sito e si dividono, principalmente,  in due tipi:

• cookie di prima parte – sono quelli salvati sul dominio nel quale l’utente sta navigando;
• cookie di terza parte – quelli salvati su un dominio diverso da quello visitato dall’utente.

In base alla normativa applicabile, per l’utilizzo dei cookie non sempre è richiesto un espresso consenso dell’utente. In particolare, solitamente non richiedono tale consenso i “cookie tecnici”, cioè quelli utilizzati al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria per erogare un servizio esplicitamente richiesto dall’utente. Si tratta, in altre parole, di cookie indispensabili per il funzionamento del sito o necessari per eseguire attività richieste dall’utente.

Per i “cookie di profilazione”, viceversa, cioè quelli volti a creare profili relativi all’utente e utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete, solitamente è richiesto un preventivo consenso dell’utente, per quanto dipenda dalla normativa applicabile.

Lato privacy, l’attenzione si è focalizzata proprio sui cookies di profilazione, spingendo i maggiori browser come Firefox, Edge e Safari ad abbandonarli, e Google Chrome a proporre un processo graduale di eliminazione che arriverà fino al 2023.

In base alla normativa europea e alle recenti linee guida sul consenso dell’EDPB, affinché l’utilizzo dei cookie possa dirsi legittimo, a grandi linee, è necessario che:

1. venga fornita agli utenti un’idonea informativa sul loro utilizzo;
2. in assenza di un consenso specifico dell’utente, vengano attivati solo i cookie tecnici;
3. l’attivazione dei cookie analitici e di profilazione avvenga solo dopo che l’utente ha rilasciato uno specifico consenso;
4. l’accesso ai servizi e alle funzionalità del sito non venga subordinato al consenso dell’utente al c.d. cookie wall, ossia quella schermata (wall, appunto) che appare dinanzi ai visitatori di un determinato sito e con la quale si comunica l’obbligo di accettare tutti i cookie prima di poter accedere al servizio web desiderato.

Con riferimento al punto 3, è poi importante sottolineare che azioni come lo scorrimento di una pagina – a differenza di quanto avveniva prima dell’emanazione delle linee guida sopra richiamate – non possono più essere interpretate come una positiva manifestazione del consenso, e pertanto considerarsi valide. Queste azioni, infatti, possono essere difficili da distinguere da altre attività che un utente compie sul sito e quindi determinare confusione sull’effettivo conferimento del consenso. E’ necessaria quindi un’attività positiva inequivocabile, come, ad esempio, l’azione che si sostanzia nel digitare su un bottone “Accetta”.

Adeguare l’e-commerce al GDPR richiede probabilmente qualche sforzo in più da parte dei gestori, ma ripaga sicuramente in termini di reputazione. Per essere sicuri della conformità al GDPR dell’e-commerce, basterà affidarsi ad esperti in materia.  Per scrivere una privacy policy efficace, infatti, il nostro consiglio è quello di appoggiarti a figure professionali e competenti ed evitare di utilizzare modelli di privacy policy già pronti, che puoi trovare online e di cui non conosci fonte e autore.