Il decreto GDPR

GDPR: cosa cambia per l’ecommerce con il nuovo regolamento sulla protezione dei dati personali?

Il nuovo Regolamento Europeo in materia di protezione dei dati personali (General Data Protection Regulation, in breve GDPR) diverrà applicabile a decorrere dal 25 maggio 2018.

Come indicato dal Garante della Privacy, il GDPR “punta a rispondere alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali, sempre più avvertite dai cittadini dei paesi dell'Unione Europea”.

Ma cosa cambia per l’ecommerce col GDPR?

Abbiamo interpellato uno dei nostri esperti interni, Vivek Narayanadas, responsabile della protezione dei dati personali di Shopify.

Con lui, vediamo cosa cambierà per i titolari di un sito ecommerce e come conformarsi alle nuove regole del GDPR.

Intervista a Vivek Narayanadas, responsabile della protezione dei dati personali di Shopify:

Innanzitutto, cos'è il GDPR? E a chi è applicabile?

È il Regolamento Europeo in materia di protezione dei dati personali, che di seguito chiameremo semplicemente GDPR. Si tratta della normativa di riforma della legislazione europea in materia di privacy e protezione dei dati personali. Quando entrerà in vigore, sarà la normativa più completa al mondo in materia. E avrà impatto sulla raccolta e gestione dei dati personali operata da tutte le aziende, grandi e piccole.

Anche le aziende che non hanno sede nell’Unione Europea devono prepararsi ai cambiamenti. Infatti, il GDPR avrà impatto su qualsiasi azienda con sede in Europa o che abbia clienti in Europa. Poiché l'ecommerce semplifica più che mai le vendite a livello globale, anche i negozi extraeuropei sono individuati come potenziali destinatari della normativa.

Il GDPR avrà impatto su qualsiasi azienda con sede in Europa o che abbia clienti in Europa.

Dunque ogni azienda con clienti in Europa è interessata. Ma in termini semplici, cosa prevede il GDPR?

Il GDPR amplia la sfera dei diritti sui “dati personali”, facendo rientrare in questa categoria una vasta serie di informazioni. Qui potete consultare una guida completa all’applicazione del Regolamento.

In particolare, il Regolamento conferisce agli interessati il diritto di accesso, modifica, cancellazione e limitazione del trattamento dei loro dati. Inoltre, impone rigorose regole per raccogliere il consenso all’utilizzo dei dati. E questo aspetto è particolarmente importante se utilizzate i dati dei clienti non solo per evadere gli ordini, ma anche per altri scopi; ad esempio, per fare marketing e pubblicità.

Oltre a ciò, il GDPR attribuisce all’azienda che effettua la raccolta la responsabilità di:

  • Proteggere i dati (anche nel caso si rivolga a terzi, per l’archiviazione)
  • Assicurarsi che clienti e visitatori del sito possano esercitare tutti i diritti di cui ora dispongono.

Immaginiamo che un cliente UE scriva a un sito statunitense chiedendo la cancellazione della cronologia dei propri acquisti sul negozio. Ebbene, il sito dovrà essere in grado di esaudire tale richiesta.

Potresti specificare meglio cosa s’intende per “dati personali”?

Certamente. Secondo il GDPR, le informazioni ricollegabili a un individuo che siano raccolte o archiviate, si considerano “dati personali”.

Trovate la definizione completa nel testo del Regolamento. Ma facciamo un rapido esempio: magari permettete ai vostri clienti di registrarsi sul vostro negozio, o raccogliete i loro indirizzi email. Dunque, in entrambi questi casi, state raccogliendo dei "dati personali".

Ma il GDPR amplia ulteriormente il concetto. E arriva a considerare dati personali persino informazioni come gli indirizzi IP che non identificano uno specifico individuo.

Quindi, dobbiamo prepararci a rispettare queste regole. Quando entreranno in vigore di preciso?

Il GDPR entrerà in vigore il 25 maggio 2018.

C’è un po’ di tempo a disposizione. Cosa occorre fare prima di allora?

Innanzitutto, esistono alcune domande da porvi per prepararvi adeguatamente.

  • Dovete aggiornare la vostra Privacy Policy o modificare gli avvisi mostrati ai clienti?
  • Nel caso il vostro negozio utilizzi applicazioni o temi di terze parti, tali app o temi sono conformi a GDPR?
  • Dovete nominare un “Responsabile” della protezione dei dati?
  • È necessario che iniziate a condurre e documentare valutazioni d’impatto sulla protezione dei dati?
  • Avete necessità di acquisire il consenso dei vostri clienti per elaborare i loro dati? E dovete modificare le modalità di acquisizione del consenso, per adeguarle ai più severi dettami del GDPR?
  • Sarete in grado di rispettare i diritti concessi ai vostri clienti e utenti dal GDPR, come il diritto di accesso, modifica, cancellazione e portabilità dei loro dati?

Come potete notare, si tratta principalmente di domande da porvi e non di azioni da intraprendere. Ogni azienda è diversa dalle altre e per conformarvi al GDPR, potreste aver bisogno di più (o meno!) preparazione rispetto ad altri negozi. Indubbiamente, la cosa migliore è consultare un legale; soprattutto se non siete sicuri di come il regolamento inciderà sulla vostra attività.

Ogni azienda è diversa dalle altre e per conformarvi al GDPR, potreste aver bisogno di più (o meno!) preparazione rispetto ad altri negozi.

Che dire di queste novità così specifiche e ricche di sfumature che incideranno sui siti ecommerce?

Naturalmente, non siamo i vostri avvocati e non possiamo offrirvi consulenza legale. Per questo, la cosa migliore che potete fare per preparare voi stessi (e i dati dei vostri clienti) al GDPR è incontrarvi col vostro avvocato e discuterne.

Inoltre, potete consultare queste risorse, che vi aiuteranno a rispondere a molte vostre possibili domande:

Per ulteriori informazioni, visita l'articolo originale redatto da Giulia Greco

Condividi questo articolo: