GDPR per gli e-Commerce: come essere a norma
GDPR è l’abbreviazione di Regolamento Generale sulla Protezione dei Dati (dall’inglese General Data Protection Regulation). È stato adottato per la prima volta nell’aprile 2016 e stabilisce le basi per il controllo e la protezione nell’e-Commerce, garantendo che i dati personali vengano raccolti nel modo corretto: dall’analisi delle visite dei consumatori sul sito web di riferimento alle transazioni di acquisto, fino anche alla spedizione del prodotto.
Ai sensi del GDPR, il consenso per il trattamento delle informazioni personali deve essere ottenuto dai consumatori prima che i loro dati possano essere raccolti e solo nella misura in cui è ragionevolmente necessario. Da maggio 2018 il GDPR è entrato ufficialmente in vigore ed è bene adeguarsi correttamente al fine di evitare di incorrere in pesanti sanzioni. A tal proposito, proprio di recente, un rivenditore polacco ha dovuto pagare una salatissima multa GDPR di ben 650.000 euro.
A chi va applicato il GDPR?
Indipendentemente da dove ci si trovi, il GDPR viene applicato a tutte le aziende che offrono prodotti o servizi ai consumatori in Europa. La conformità al GDPR si applica anche ai servizi del web che quotidianamente usiamo (basti pensare a Google, Facebook, Amazon o Ebay, giusto per citarne alcuni).
Fermo restando che il GDPR si applica a qualsiasi azienda che raccoglie ed elabora i dati personali dei consumatori, è importante anche che le aziende sappiano come e dove registrare i dati i raccolti. Solitamente i dati vengano raccolti ed elaborati da diversi dipartimenti di un’azienda o addirittura da terze parti, che talvolta possono rendere complicato il rapporto diretto azienda-consumatore. Ai sensi dell’articolo 15 del GDPR, i consumatori hanno il diritto di chiedere alle aziende quali dati hanno raccolto da loro, chi ha accesso ad essi e informazioni su come vengono utilizzati. A questo link è possibile consultare tutti gli articoli previsti dal regolamento.
Qualora i dati dei visitatori ( dati di elaborazione dei pagamenti o altri tipi di dati) fossero stati raccolti e conservati da dipartimenti diversi da quelli del servizio e-Commerce principale, sarebbe opportuno e doveroso – da parte di quest’ultimi – un grande coordinamento al fine di raccogliere e fornire al consumatore i propri dati nel più breve tempo possibile. Solitamente si parla di un periodo entro un mese dal ricevimento della richiesta, a meno che non sussistano circostanze particolari che richiedano una proroga o un rigetto della richiesta. Questo può anche introdurre maggiori possibilità di omissioni o errori.
Per essere passibili di sanzioni è sufficiente non avere una informativa privacy completa sul sito, effettuare un trattamento non conforme, non tenere il registro del trattamento, non disporre le nomine del responsabile per iscritto e altre attività richieste dalla normativa. Al fine di evitare quanto appena detto è possibile rivolgersi a degli specialisti del settore come il team coordinato dal Dott. Alberto Caschili.
Si tratta di aziende che offrono consulenze altamente specializzate, a cui rivolgersi per essere certi di operare nel modo corretto e di non rischiare le sanzioni previste dalla normativa. Nello specifico è possibile richiedere:
- Analisi sito web (acquisizione e conservazione dei consensi, cookie, form di contatto, newsletter)
- Redazione del registro del trattamento dei dati e documentazione aziendale
- Redazione di nomine a responsabile esterno del trattamento
- Audit aziendale
- Redazione di nomine a responsabile esterno del trattamento
- Redazione di Privacy Policy
- Redazione di Cookie Policy
- Formazione
Sanzioni e GPDR
Abbiamo accennato prima alle sanzioni a cui si può incorrere non rispettando i termini GDPR. Di fatto potremmo distinguere due tipi di sanzioni:
- Una “sanzione minima” (es. una non conformità), che può comportare un danno pari fino al 2% del fatturato annuo globale o fino a 10 milioni di euro, a seconda della gravità.
- Una “sanzione massima” (es. una grande violazione dei dati), che può arrivare a causare una perdita fino 4% del fatturato annuo globale o fino a 20 milioni di euro, sempre in base al tipo di violazione.
Parlando del nostro Paese, attualmente l’Italia si trova al terzo posto globale per sanzioni emesse (si parla di oltre 84 milioni di euro). Per quanto riguarda invece le sanzioni più alte, la classifica delle maxi multe ci racconta di Amazon che ha subito quella più alta, ben 746 milioni di euro, seguita da WhatsApp a 225 milioni di euro e da Google, al terzo posto con una multa da 50 milioni di euro.
La privacy è un aspetto fondamentale da tenere in considerazione, soprattutto quando si parla del mondo del web. Le aziende devono costruire un rapporto di fiducia con i potenziali clienti e uno dei modi migliori per farlo è dimostrare un impegno per il rispetto privacy e la sicurezza delle informazioni fornite dal consumatore. Essere conformi al GDPR è importante, specialmente nell’e-Commerce perché rende la gestione dei dati trasparente, organizzata e più sicura. Caratteristica, questa, da tenere ben in considerazione soprattutto per tutte le aziende in espansione a livello globale.