Conosci cosa dice il GDPR per gli ecommerce?
Sei sicuro di essere in regola?
Il GDPR entrato in vigore il a maggio del 2018, mette chiarezza sul trattamento dei dati personali e sensibili di individui che navigano online e si registrato su sito web ed ecommerce. In questo caso specifico chi ha un negozio online deve assolutamente sapere che ci sono regole molto precise in merito al regolamento. Vediamo quali.
Indice
Il Regolamento Generale sulla Protezione dei Dati, comprende tutti i dati personali che sono in possesso della tua organizzazione e dei tuoi incaricati di terze parti.
Il Regolamento Generale sulla Protezione dei Dati non prevale sulle altre leggi. Ad esempio, se devi conservare i dati personali per giustificare l'addebito dell'IVA, è necessario conservarli per l’adempimento fiscale.
L’argomento fiscale in ambito e commerce è parecchio complicato e con le nuove normative sono state modificate parecchi parametri e regolamentazioni. Per questo è importante e fondamentale rivolgersi ad un professionista che saprà guidarvi nella direzione corretta per avere informazioni chiare, puntuali e corrette.
Nomina un membro dello staff che si occuperà della Protezione dei Dati. Ricevi la formazione sulla protezione dei dati e una certificazione. Generalmente, si tratta di una figura facente parte del Consiglio di Amministrazione, in quanto richiederà un'assicurazione di indennizzo, per coprire la responsabilità che comporta questo ruolo.
1 - Aggiorna la tua informativa sulla privacy
Includi una linea di conformità al Regolamento Generale sulla Protezione dei Dati;
Specifica quali informazioni raccogli e conservi da parte dei visitatori del tuo sito web. (Ad esempio, indirizzi IP, informazioni sul dispositivo, informazioni sull’accesso, cookie, durata e tracciamento delle visite, azioni del mouse e del cursore, e-mail, telefono, nome, indirizzo e indirizzi di fatturazione);
Specifica chi ha accesso a questi dati personali. (Ad esempio, tu, MailChimp, Google, Salesforce ecc.);
Specifica i dettagli di contatto del responsabile della protezione dei dati, assegnato dalla tua organizzazione;
Specifica come i soggetti interessati presentare una richiesta di accesso ai dati;
Specifica per quanto tempo conservi le informazioni personali.
2 - Rimuovi tutti gli opt-in automatici presenti sul tuo sito
Nei moduli online, tutte le caselle devono essere vuote. Una casella vuota non può comportare l'accettazione.
3 - Raccogli solo le informazioni necessarie per gestire la tua attività
"Se non hai le informazioni, non hai bisogno di proteggerle"
Elimina le informazioni personali che non utilizzi più e che sono conservate nei server, nei fogli excel ecc., incluse le e-mail con gli allegati di file che contengono informazioni personali.
Conserva solo una versione delle informazioni personali. Puoi conservare le copie solo per effettuare il backup e il ripristino, fino ad un massimo di 4 backup. Se ne conservi di più, il possesso deve essere giustificato. La posizione dei backup deve essere registrata nella verifica dei dati.
La raccolta di informazioni aggiuntive, nel caso in cui tu possa utilizzarle in futuro, è illegittima. Le informazioni personali che non hai bisogno di utilizzare, devono essere cancellate.
4 - Registra e gestisci in modo preventivo tutte le violazioni dei dati
Esempi di violazioni dei dati:
Informazioni personali trasmesse o in possesso di un incaricato o sub-incaricato di dati non autorizzato.
Trasmissione dei dati personali a un paese che non rispetta il Regolamento Generale sulla Protezione dei Dati.
Trasmissione dei dati personali a terze parti all'insaputa del soggetto interessato.
Informazioni personali divulgate, a seguito di attacco informatico su un sito web.
5 - Crea una procedura e un piano per la violazione dei dati
"Una violazione dei dati gestita in modo scorretto, può causare danni incalcolabili al tuo marchio. “
Crea un piano d'azione e sperimenta i peggiori scenari possibili per testare il tuo piano.
6 - Crea un piano per chi è alla ricerca di una copia dei propri dati personali. (Richieste di accesso ai dati da parte dei soggetti interessati)
"Ho ricevuto una richiesta da parte di una persona che vuole accedere a tutti i suoi dati personali, cosa devo fare?"
7 - Aggiorna i tuoi contratti, le informative sull'accordo di riservatezza e sulla privacy sul tuo sito web
Tutto lo staff deve aver firmato l’accordo di riservatezza e la formazione sulle attività di sensibilizzazione in materia di protezione dei dati. Una buona regola generale è quella di includere tutto lo staff, anche coloro che non hanno diretto accesso alle informazioni personali nel normale svolgimento delle proprie attività.
Tutti i contratti con i clienti devono essere aggiornati con una clausola relativa al Regolamento Generale sulla Protezione dei Dati.
È una buona opportunità per effettuare una pulizia dei dati, assicurarsi che tutti i sub-incaricati siano in buona fede e che tu abbia contratti validi con i tuoi clienti.
Questo vale solo per le grandi aziende, non controlleranno mai una piccola azienda?
Sbagliato!! Il garante per la protezione dei dati potrebbe non controllarti in questo momento, ma potrà sempre farlo in qualsiasi momento, nel futuro. Nel momento in cui subisci una violazione dei dati, devi segnalarlo all'ufficio del garante per la protezione dei dati personali. Non farlo è illegale. Potresti essere denunciato per non aver protetto correttamente i dati personali. Se durante i tuoi processi emergessero anomalie, saresti tenuto al pagamento di multe salate e penalizzato dalla perdita della reputazione e di conseguenza, dalla diminuzione del volume degli affari. (Cerca su "Google" "costruire la fiducia" e guarda l'effetto che provocherebbe una violazione dei dati, anche dopo diversi anni dall'evento).
Non puoi inviare e-mail indesiderate a nessuno. Niente più liste acquistate o liste accorpate di società diverse in altre liste.
Non puoi rifiutarti di fornire ai clienti i loro dettagli personali, su richiesta.
Non puoi inviare messaggi di testo indesiderati tramite numeri di cellulare.
In sintesi
Questo è un breve riassunto del Regolamento Generale sulla Protezione dei Dati dal punto di vista dell'ecommerce. Si consiglia di avere all'interno dell’organizzazione una persona, che è Certificata per la Protezione dei Dati.
Fai un controllo dei dati. Registra la posizione di tutti i dati personali conservati nella tua azienda. Conserva una lista/registrazione aggiornata per l’ispezione e il controllo. Questa diventerà la fonte delle richieste dei dati in futuro.
Abbiamo una serie di componenti aggiuntivi per opencart, woocommerce, magento e prestashop, che si occuperanno automaticamente delle richieste di accesso da parte dei soggetti interessati.
Se hai in progetto di aprire un negozio online oppure se non sei sicuro che il tuo ecommerce sia conforme alle nuove direttive GDPR, mettiti in contatto con noi!