Il modo in cui le aziende e le altre organizzazioni trattano i dati personali è disciplinato da un regolamento europeo: Regolamento generale sulla protezione dei dati, GDPR, dall’inglese General Data Protection Regulation. Anche coloro che gestiscono un sito di e-commerce devono adempiere al GDPR, soprattutto per quanto riguarda la gestione dei contatti online dei propri clienti. Ci sono una serie di regole da seguire per adeguarsi in modo corretto alla normativa sulla protezione dei dati personali. Vediamo insieme quali sono.

I principi del GDPR

I dati personali possono essere utilizzati da un’azienda, un’organizzazione o un professionista solo se sono acquisiti e gestiti nel rispetto dei principi del GDPR. Questo regolamento interessa tutti coloro che raccolgono e utilizzano liste di contatti online, in modo manuale o automatico, a scopo professionale. Sono inclusi in questa categoria quindi anche i gestori di un’attività di e-commerce o coloro che possiedono un sito web che contiene: moduli di registrazione utenti; sezione Commenti; moduli di contatto; strumenti di analisi del traffico; strumenti pubblicitari; strumenti di e-mail marketing o di funnel marketing. Per dati personali si intendono sia tutte le informazioni che consentono di identificare una persona, ad esempio nome ed e-mail, sia la combinazione dei dati che permette di identificare l’utente che naviga sul web. Ne consegue che anche i cookie impiegati per trattare dati personali rientrano nel GDPR, quindi il loro  trattamento deve rispettare i principi dello stesso regolamento. 

Principio di liceità e correttezza:  Si possono trattare i dati personali solo nei casi indicati dal Regolamento, come l’adempimento contrattuale e il consenso informato;

Principio di trasparenza: È necessario comunicare  in modo chiaro e comprensibile lo scopo e le modalità con cui sono utilizzati i dati dell’interessato;

Principio di limitazione delle finalità: I dati devono essere raccolti soltanto per determinate finalità e trattati in modo compatibile con quelle finalità;

Principio di minimizzazione: Occorre limitare i dati richiesti allo stretto necessario richiesto per lo scopo del loro trattamento;

Principio di esattezza dei dati: I dati raccolti dovranno essere esatti e, nel caso in cui fosse necessario, aggiornati;

Principio di limitazione della conservazione: I dati potranno essere conservati solo per il tempo necessario a raggiungere lo scopo del loro trattamento;

Principio di integrità e riservatezza: I dati dovranno essere sempre trattati in modo da garantire una sicurezza adeguata a proteggerli dall’utilizzo illecito o non autorizzato.

Privacy policy e Cookie Policy

Il GDPR prevede che  l’informativa della privacy e-commerce deve rendere noto all’interessato: le finalità e le modalità del trattamento cui sono destinati i dati; la natura obbligatoria o facoltativa del conferimento dei dati; le conseguenze di un eventuale rifiuto di rispondere; i soggetti o categorie di soggetti ai quali possono essere comunicati i dati personali, o di coloro che possono venirne a conoscenza in qualità di responsabili o incaricati; i diritti dell’interessato, ex art. 7 Regolamento UE; gli estremi identificati del titolare e, eventualmente, del rappresentante e del responsabile. Dopo che l’interessato  seguito ha preso visione dell’informativa, si passa all’acquisizione del consenso, mediante la firma di un modulo. È  dunque necessario  dotarsi di sistemi che diano prova che il consenso sia stato reso esplicitamente, come un form in una casella opzione da spuntare o del sistema double opt-in, che si caratterizza per la verifica a due passaggi, ovvero comporta l’inoltro di un link di conferma per e-mail, accedendo a quest’ultimo si attiva il servizio richiesto. Nel caso di mancata informativa sui cookie, la sanzione amministrativa può arrivare fino a 120mila euro. Per evitare ciò ed essere in linea con i principi del GDPR, è necessario che la politica dei cookie abbia una serie di requisiti: offrire informazioni chiare su come i cookie saranno utilizzati; fornire panoramica e responsabilità per i cookie sul sito; richiedere il consenso con un’azione affermativa; possibilità di ritirare il proprio consenso in qualsiasi momento, ovvero consentendo l’accesso all’utente al proprio stato di consenso, al fine di modificarlo o ritirarlo; rinnovare il consenso ogni 12 mesi; accessibilità, da intendersi come linguaggio chiaro e facilmente comprensibile per gli utenti, per consentirgli di comprendere e scegliere; consenso preventivo, prima dell’impostazione dei cookie, per far sì che vengano memorizzati solo quelli necessari; archiviazione dei consensi, al fine di provarli in sede di controllo.

Come adeguare il proprio sito

Da un punto di vista tecnico, è necessario assicurarsi che tutti i componenti del sito di e-commerce siano conformi al GDPR. Uno degli ostacoli più grandi può essere rappresentato dai plugin che installano cookie di profilazione.

Ci sono tre tipi di cookie identificati dal legislatore: tecnici, quelli di statistica e quelli di profilazione. Nel caso in cui  il sito di e-commerce installi solo cookie tecnici non occorre chiedere il consenso preventivo. Se invece si usa un software di analisi del traffico, è possibile evitare di chiedere il consenso preventivo solo se: 

l’indirizzo IP venga reso anonimo; le funzionalità di profilazione come fascia di età, interessi e via dicendo vengano disattivate; l’identificazione dello user ID venga disattivato; la condivisione dei dati con altri prodotti Google venga disattivata. I cookie di profilazione sono utilizzati per creare il profilo degli utenti così da utilizzare queste informazioni per proporre messaggi pubblicitari mirati in base alle preferenze di ricerca effettuate dallo stesso utente durante la navigazione su Internet. Proprio per questo motivo, la normativa prevede che l’utente debba essere informato preventivamente sull’uso di cookie e dare il suo consenso prima di accedere al sito web.

Sul sito web deve essere presente l’informativa breve visibile all’utente nel momento in cui accede al sito e quindi deve essere posizionata in home page. Tale informativa breve deve contenere una serie di indicazioni:

che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete; il link dell’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics, viene data la possibilità di scegliere specifici cookie da autorizzare;

indicazione con le diverse caselle di scelta del consenso all’uso dei cookie.

UN PICCOLO GLOSSARIO PER TE

Cookie
: È un piccolo file di testo che viene memorizzato sul dispositivo dell’utente quando questo naviga su determinati siti web tramite l’utilizzo del proprio browser preferito. I cookie sono usati per memorizzare le ricerche fatte su Internet durante le varie sessioni di navigazione degli utenti. Tuttavia, siccome i dati contenuti in queste ricerche possono anche essere una potenziale minaccia per la privacy degli utenti.
GDPR: Il Gdpr, sigla di General data protection regulation, è il regolamento europeo su privacy e dati.