Tutto ciò che dovete sapere sul GDPR per il vostro sito e-commerce

Tutto ciò che dovete sapere sul GDPR per il vostro sito e-commerce

Sebben il Regolamento generale sulla protezione dei dati (GDPR) è stato ratificato nel maggio del 2016, sarà applicato solo a partire da maggio 2018 e darà maggiori responsabilità alle aziende di e-commerce che conservano dati sui cittadini e visitatori dell’UE, indipendentemente dalle dimensioni.

I dati personali sono quei dati che possono identificare una “persona naturale” e possono includere informazioni come un nome, una foto, un indirizzo fisico o email, dimensioni della scarpa, cronologia di fatturazione e identificatori online come indirizzi IP, stringhe di cookie o ID di dispositivi mobili. Il GDPR avrà effetto su qualsiasi punto vendita online che raccoglie dati provenienti da siti Web, app, email o qualsiasi altro mezzo che consente di conservare i dati in un database interno.

Tutto ciò che gli esperti di marketing elettronico devono sapere

Opt-in attivo, opt-out disattivato

Per rispettare i regolamenti del GDPR, il consenso deve essere “liberamente dato, specifico, informato e non ambiguo” e pertanto deve essere:

  • separato dai termini e dalle condizioni, con consenso separato per ciascuna attività di marketing;
  • attivazione identificativa in modo che le caselle di consenso non possano essere pre-selezionate;
  • denominata cosicché qualsiasi o tutte le terze parti devono essere menzionate in modo specifico.

Cancellare il contenuto

Richiede che qualsiasi informazione e comunicazione relativa al trattamento dei dati personali sia facilmente accessibile e di facile comprensione. Il GDPR include sette riferimenti a “linguaggio chiaro e semplice”.

Sicurezza

Le aziende devono adottare misure che possano fornire una protezione adeguata ai dati personali in loro possesso. Per esempio, i dati personali devono essere crittografati e non archiviati come testo semplice. Le aziende sono inoltre tenute ad adottare misure relative alla resilienza dei loro sistemi e servizi e al modo in cui i dati vengono ripristinati in caso di una violazione. Le aziende sono inoltre tenute a testare regolarmente l’efficacia delle loro misure di sicurezza.


Notifica di violazioni dei dati  

Le aziende devono avvisare i garanti della protezione dei dati nel caso in cui si presenta un incidente di sicurezza che riguarda l’integrità, la riservatezza o la sicurezza dei dati personali in loro possesso. Le aziende dovranno anche notificare le persone interessate nel caso in cui possono emergere svantaggi economici o sociali, a meno che l’azienda non abbia implementato adeguate misure di sicurezza prima della violazione.

Geografia

Le aziende che intrattengono rapporti commerciali con “soggetti interessati” nell’UE devono conformarsi al GDPR. I “soggetti interessati”, in questo caso, riguardano sia i cittadini dell’UE sia i residenti temporanei, anche quelli in vacanza. Inoltre, il “campo di applicazione territoriale” della normativa europea sulla protezione dei dati è stato esteso per includere società al di fuori dell’UE. La clausola di “ambito territoriale” non significa che tutte le attività web accessibili dall’UE rientrino nell’ambito di applicazione del GDPR. Le aziende che prendono di mira attivamente le persone nell’UE attraverso nomi di dominio regionali, valute, lingue (non native per il paese di origine) o contenuti localizzati sono soggette ai regolamenti.

Nel Regno Unito, il disegno di legge sulla protezione dei dati è stato presentato alla Camera dei Lord il 13 settembre 2017. Ha lo scopo di portare gli standard GDPR in legge prima dell’uscita del Regno Unito dall’Unione europea.

Quali diritti hanno gli individui interessati?

GDPR individual

Il diritto di essere informati riguarda l’obbligo di fornire “un corretto trattamento delle informazioni”, in genere tramite avvisi sulla privacy. Copre inoltre la necessità di trasparenza sulle modalità di utilizzo dei dati personali.

Il diritto di accesso conferisce agli individui il diritto di ottenere la conferma che i loro dati sono in corso di elaborazione. Inoltre, dà a loro il diritto di accedere ai propri dati personali e ad altre informazioni supplementari.

Il diritto alla rettifica conferisce agli individui il diritto di correggere i dati personali se inesatti o incompleti.

Il diritto alla cancellazione noto anche come “il diritto all’oblio” conferisce a un individuo il diritto di richiedere la cancellazione o la rimozione di dati personali in cui non vi siano motivi validi per la loro continua elaborazione.

Il diritto di limitare l’elaborazione, continua a conferire ai singoli il diritto di “bloccare” o sopprimere l’elaborazione dei dati personali attualmente consentiti tramite il DPA. Tuttavia, quando l’elaborazione è limitata, il GDPR consente ai responsabili del trattamento di memorizzare i dati personali, ma non di elaborarli ulteriormente.

Il diritto alla portabilità dei dati consente alle persone di ottenere e riutilizzare i propri dati personali per i propri scopi tra diversi servizi.

Il diritto di opporsi conferisce alla persona il diritto di opporsi al trattamento in qualsiasi momento, a meno che il responsabile del trattamento non abbia motivazioni legittime. In precedenza, l’interessato aveva l’onere di dimostrare che l’obiezione era giustificata.

I diritti in relazione al processo decisionale automatizzato e alla profilazione forniscono garanzie per gli individui contro il rischio che una decisione potenzialmente dannosa venga presa senza l’intervento umano.

Quali sono le sanzioni?  

Il GDPR vuole essere preso sul serio, quindi ha dato ai garanti della protezione dei dati maggiori poteri per contrastare la non-conformità, comprese multe basate sulle entrate fino al 4% del fatturato mondiale annuo o fino a 20 milioni di euro (a seconda di quale sia la maggiore), per le infrazioni più gravi.

Inoltre, il GDPR rende molto più semplice ai soggetti interessati di intentare un’azione privata contro i responsabili del trattamento dei dati qualora ci sia stata una violazione della privacy dei dati e consente ai soggetti che hanno subìto danni materiali a seguito di una violazione di chiedere un risarcimento.

Checklist

Questa checklist dovrebbe indicare eventuali potenziali segnali di pericolo nelle procedure della protezione dei dati e indicare le misure da adottare per massimizzare la sicurezza dei dati e ridurre al minimo i rischi di non-conformità con il GDPR.

Checklist

Passaggio 1: inventario dei dati

  • Perché i dati vengono trattenuti?
  • Dove e come vengono memorizzati i dati? Creare un inventario di tutte le risorse critiche che memorizzano o elaborano i dati.
  • Per quanto tempo saranno conservati i dati, sono ancora necessari?

Passaggio 2: documentazione del flusso di dati

  • In che modo i dati entrano nell’organizzazione: tramite una sezione di commenti sul sito web? o un abbonamento alla newsletter= o identificativi online come gli indirizzi IP?
  • in che modo e dove avviene l’uscita dei dati dall’organizzazione? Sono condivisi con terze parti?
  • Chi può accedere ai dati in azienda?
  • I dati anonimi possono essere combinati in qualsiasi modo per identificare le persone?

Passaggio 3: esaminare la raccolta dei dati

  • Modificare le procedure di consenso per soddisfare i requisiti ampliati, ad es. rimuovere le caselle pre-selezionate.
  • è stato usato un linguaggio chiaro e semplice per la richiesta di consenso?
  • Rivisitare i motivi esistenti per la raccolta e l’elaborazione dei dati - sia legale che “di interesse legittimo”.

Passaggio 4: esaminare le procedure

  • In che modo le attuali procedure di elaborazione si adeguano ai nuovi diritti dei soggetti interessati?
  • Come si cerca, si ottiene e si registra il consenso?
  • Sono stati forniti o resi disponibili i motivi per la raccolta dei dati?
  • Esiste una procedura per revocare il consenso e bloccare o cancellare i dati?
  • Quali procedure di accesso sono in vigore per gli interessati?

Passaggio 5: sicurezza

  • I dati sono al sicuro?
  • In the event of a data breach, can you demonstrate that appropriate security controls were in place? In caso di violazione dei dati, è possibile dimostrare che sono stati predisposti adeguati controlli di sicurezza?
  • Con quale cadenza vengono effettuati test per verificare se i controlli di sicurezza funzionano come previsto?
  • Sarete in grado di identificare e reagire ad una violazione non appena si verifica?
  • Tutte le parti interessate vengono informate e sono consapevoli sul da farsi in caso di incidente?

 


Pubblicato da: Kooomo - 02 Gennaio 2018

Post Tag #GDPR

Post correlati