GDPR come interviene sulla Protezione Dati per Ecommerce

Regolamento Generale sulla Protezione dei Dati per l’e-commerce:

Cosa devo fare per il Regolamento Generale sulla Protezione dei Dati sul mio sito di e-commerce?

Come proprietario di un’azienda sei responsabile del trattamento dei dati. Lo sviluppatore web, il fornitore di hosting e gli strumenti di marketing del mercato saas (mailchimp, salesforce, CRM in genere, ecc.) sono incaricati del trattamento dei dati. Il responsabile del trattamento dei dati è in definitiva il responsabile della protezione dei dati personali conservati. Tuttavia, se si scopre che i tuoi incaricati del trattamento dei dati hanno una condotta negligente, allora, in questo caso saranno anche loro responsabili.

ecommerce privacy policy trattamento dati
GDPR come interviene sulla Protezione Dati per Ecommerce

Tutti gli incaricati e i sub-incaricati del trattamento dei dati devono rispettare il Regolamento Generale sulla Protezione dei Dati.

Il Regolamento Generale sulla Protezione dei Dati, comprende tutti i dati personali che sono in possesso della tua organizzazione e dei tuoi incaricati di terze parti.

Il Regolamento Generale sulla Protezione dei Dati, non prevale sulle altre leggi. Ad esempio, se devi conservare i dati personali per giustificare l’addebito dell’IVA, è necessario conservarli per l’adempimento fiscale.

Quindi cosa devo fare per rispettare il GDPR per il mio ecommerce?

Nomina un membro dello staff che si occuperà della Protezione dei Dati. Ricevi la formazione sulla protezione dei dati e una certificazione. Generalmente, si tratta di una figura facente parte del Consiglio di Amministrazione, in quanto richiederà un’assicurazione di indennizzo, per coprire la responsabilità che comporta questo ruolo.

1 – Aggiorna la tua informativa sulla privacy

  1. Includi una linea di conformità al Regolamento Generale sulla Protezione dei Dati;
  2. Specifica quali informazioni raccogli e conservi da parte dei visitatori del tuo sito web. (Ad esempio, indirizzi IP, informazioni sul dispositivo, informazioni sull’accesso, cookie, durata e tracciamento delle visite, azioni del mouse e del cursore, e-mail, telefono, nome, indirizzo e indirizzi di fatturazione);
  3. Specifica chi ha accesso a questi dati personali. (Ad esempio, tu, MailChimp, Google, Salesforce ecc.);
  4. Specifica i dettagli di contatto del responsabile della protezione dei dati, assegnato dalla tua organizzazione;
  5. Specifica come i soggetti interessati presentare una richiesta di accesso ai dati;
  6. Specifica per quanto tempo conservi le informazioni personali.

2 – Rimuovi tutti gli opt-in automatici presenti sul tuo sito

Nei moduli online, tutte le caselle devono essere vuote. Una casella vuota non può comportare l’accettazione.

3 – Raccogli solo le informazioni necessarie per gestire la tua attività.

“Se non hai le informazioni, non hai bisogno di proteggerle”

Elimina le informazioni personali che non utilizzi più e che sono conservate nei server, nei fogli excel ecc., incluse le e-mail con gli allegati di file che contengono informazioni personali.

Conserva solo una versione delle informazioni personali. Puoi conservare le copie solo per effettuare il backup e il ripristino, fino ad un massimo di 4 backup. Se ne conservi di più, il possesso deve essere giustificato. La posizione dei backup deve essere registrata nella verifica dei dati.

La raccolta di informazioni aggiuntive, nel caso in cui tu possa utilizzarle in futuro, è illegittima. Le informazioni personali che non hai bisogno di utilizzare, devono essere cancellate.

4 – Registra e gestisci in modo preventivo tutte le violazioni dei dati.

Esempi di violazioni dei dati:

  1. Informazioni personali trasmesse o in possesso di un incaricato o sub-incaricato di dati non autorizzato.
  2. Trasmissione dei dati personali a un paese che non rispetta il Regolamento Generale sulla Protezione dei Dati.
  3. Trasmissione dei dati personali a terze parti all’insaputa del soggetto interessato.
  4. Informazioni personali divulgate, a seguito di attacco informatico su un sito web.

5 – Crea una procedura e un piano per la violazione dei dati.

“Una violazione dei dati gestita in modo scorretto, può causare danni incalcolabili al tuo marchio. “

Crea un piano d’azione e sperimenta i peggiori scenari possibili per testare il tuo piano.

6 – Crea un piano per chi è alla ricerca di una copia dei propri dati personali. (Richieste di accesso ai dati da parte dei soggetti interessati)

“Ho ricevuto una richiesta da parte di una persona che vuole accedere a tutti i suoi dati personali, cosa devo fare?”

  1. Verifica l’identità del soggetto;
  2. Assicurati di disporre dei dati prima di elaborare la richiesta, se non hai alcun dato rispondi: “Non ho i dati”;
  3. Non generare più dati personali durante l’esecuzione della richiesta;
  4. Elabora la richiesta;
  5. Registrala nel tuo registro di controllo dei dati;
  6. Non rivelare i dati personali di altre persone. Ovvero, i dettagli degli ordini del sito e-commerce, in cui il nome del cliente non corrisponde a quello del richiedente;
  7. Elaborala entro 20 giorni.

7 – Aggiorna i tuoi contratti, le informative sull’accordo di riservatezza e sulla privacy sul tuo sito web.

Tutto lo staff deve aver firmato l’accordo di riservatezza e la formazione sulle attività di sensibilizzazione in materia di protezione dei dati. Una buona regola generale è quella di includere tutto lo staff, anche coloro che non hanno diretto accesso alle informazioni personali nel normale svolgimento delle proprie attività.

Tutti i contratti con i clienti devono essere aggiornati con una clausola relativa al Regolamento Generale sulla Protezione dei Dati.

Rispondiamo ad alcune domande comuni sul GDPR:

Sistemare tutta la documentazione secondo il GDPR questo appare come un sacco di lavoro extra per un imprenditore?

È una buona opportunità per effettuare una pulizia dei dati, assicurarsi che tutti i sub-incaricati siano in buona fede e che tu abbia contratti validi con i tuoi clienti.

Questo vale solo per le grandi aziende, non controlleranno mai una piccola azienda?

Sbagliato!! Il garante per la protezione dei dati potrebbe non controllarti in questo momento, ma potrà sempre farlo in qualsiasi momento, nel futuro. Nel momento in cui subisci una violazione dei dati, devi segnalarlo all’ufficio del garante per la protezione dei dati personali. Non farlo è illegale. Potresti essere denunciato per non aver protetto correttamente i dati personali. Se durante i tuoi processi emergessero anomalie, saresti tenuto al pagamento di multe salate e penalizzato dalla perdita della reputazione e di conseguenza, dalla diminuzione del volume degli affari. (Cerca su “Google” “costruire la fiducia” e guarda l’effetto che provocherebbe una violazione dei dati, anche dopo diversi anni dall’evento).

Cosa non puoi più fare?

  1. Non puoi inviare e-mail indesiderate a nessuno. Niente più liste acquistate o liste accorpate di società diverse in altre liste.
  2. Non puoi rifiutarti di fornire ai clienti i loro dettagli personali, su richiesta.
  3. Non puoi inviare messaggi di testo indesiderati tramite numeri di cellulare.

In sintesi

Questo è un breve riassunto del Regolamento Generale sulla Protezione dei Dati dal punto di vista dell’ecommerce. Si consiglia di avere all’interno dell’organizzazione 1 persona, che è Certificata per la Protezione dei Dati.

Fai un controllo dei dati. Registra la posizione di tutti i dati personali conservati nella tua azienda. Conserva una lista/registrazione aggiornata per l’ispezione e il controllo. Questa diventerà la fonte delle richieste dei dati in futuro.

Crea un piano per la violazione dei dati.

Effettua una valutazione del rischio dei dati.

Esegui una prova generale per la violazione dei dati.

Aggiorna le tue informative e i tuoi contratti per includere la conformità al Regolamento Generale sulla Protezione dei Dati.

Crea un sistema dedicato all’elaborazione delle richieste individuali delle informazioni personali, all’interno della tua organizzazione.

Abbiamo una serie di componenti aggiuntivi per opencart, woocommerce, magento e prestashop, che si occuperanno automaticamente delle richieste di accesso da parte dei soggetti interessati.

Il tuo ecommerce è già in linea con le nuove direttive del GDPR?

Fonte (willows-consulting.com/gdpr-for-ecommerce)