Creare una privacy policy: Come rendere il tuo negozio online conforme al GDPR

Per assicurarti che il tuo negozio sia conforme al GDPR, una politica sulla privacy è indispensabile. Ma ci sono anche altre regole che devi considerare. Queste regole riguardano:

• Form web

• Crittografia del sito web

• Email marketing

• Cookie

• Plugin dei social media

Form web

Quando un cliente vuole inserire i propri dati personali sul tuo sito (ad esempio, durante il checkout o quando si iscrive alla tua newsletter), deve compilare un form web. Per assicurarti che i form web sul tuo sito siano conformi al GDPR, devono soddisfare due requisiti importanti: 

• Minimizzazione dei dati: Come operatore del negozio, puoi richiedere solo il minimo necessario di dati per adempiere alla tua obbligazione contrattuale (ad esempio, per evadere un ordine). Quindi, durante il checkout, tutto ciò di cui hai realmente bisogno è il nome e l'indirizzo del cliente. Se il tuo cliente vuole solo iscriversi alla tua newsletter via email, non puoi richiedergli di fornirti anche l'indirizzo postale e il numero di telefono. 

• Riservatezza: Come rivenditore online, sei obbligato a proteggere tutti i dati personali dei tuoi clienti da trattamenti non autorizzati o illeciti. Ciò significa che qualsiasi trasferimento di dati deve essere crittografato.

Crittografia del sito web

L'articolo 32.1.a del GDPR richiede agli operatori del negozio di assicurarsi che il trasferimento dei dati sia crittografato. È una buona idea usare il protocollo HTTPS per proteggere le comunicazioni sul tuo sito web. Puoi anche usare un certificato SSL per assicurarti che...

• ... i partner di comunicazione siano autorizzati tramite un processo di crittografia asimmetrica.

• ... il trasferimento dei dati sia protetto end-to-end con un processo di crittografia simmetrica.

• ... l'integrità dei dati trasportati non sia compromessa.

Per saperne di più su come ottenere un certificato SSL e quali altre misure di sicurezza puoi prendere, dai un'occhiata al nostro articolo sulla sicurezza eCommerce.

Email marketing

Da quando il GDPR è entrato in vigore, i negozi online sono tenuti a usare un processo di double opt-in per ottenere il consenso del cliente per il trattamento dei loro dati (ad esempio, quando un cliente si iscrive alla tua newsletter). Ciò significa che un cliente interessato a ricevere informazioni o pubblicità da te deve esplicitamente acconsentire a ciò quando ti fornisce i suoi dati di contatto (ad esempio, selezionando una casella per indicare che desidera ricevere email pubblicitarie da te). Successivamente, devi inviargli anche un link di conferma via email, che deve cliccare per completare il processo di iscrizione. Questo significa che deve dare due volte il suo consenso a ricevere future informazioni/offerte da te. Se non ottieni questo doppio consenso, non sei autorizzato a inviare messaggi pubblicitari o di marketing all'indirizzo email del cliente. Se il cliente non clicca sul link di conferma, non sei autorizzato a usare o archiviare il suo indirizzo email per scopi di marketing. 

Cookie

I cookie sono un altro argomento importante quando si tratta di sicurezza dei dati. Molti negozi online usano i cookie per creare una esperienza utente più amichevole. Ad esempio, i cookie possono memorizzare informazioni in modo che gli utenti non debbano compilare i propri dati ogni volta che visitano il sito. Queste includono informazioni come:

• Impostazioni della lingua

• Articoli nel carrello

• Dettagli di accesso

La direttiva sui cookie dell'UE (2009/136/CE) è un'altra normativa strettamente legata al GDPR. Secondo questa direttiva, un proprietario di negozio può usare cookie senza il consenso del visitatore solo se sono strettamente necessari dal punto di vista tecnico. Inoltre, il tuo sito web deve sempre includere un banner che informa i visitatori che usa cookie. E devi sempre chiedere il consenso del visitatore in anticipo per usare cookie che non sono necessari per far funzionare correttamente il tuo sito.

La tabella seguente mostra esempi di quali tipi di cookie sono considerati tecnicamente necessari e quali non lo sono:

Plugin dei social media

In passato, i plugin dei social media potevano iniziare a raccogliere dati utente non appena un visitatore arrivava sul tuo sito. Il GDPR ha cambiato tutto ciò. Sotto le nuove regole, i plugin dei social media devono sempre essere inattivi per default quando un utente arriva su un sito. Quando un plugin è correttamente integrato nel tuo sito, è un pulsante passivo che diventa attivo solo quando l'utente ci clicca sopra. Cliccando sul pulsante, l'utente dà il suo consenso affinché i suoi dati vengano trasferiti alla piattaforma di social media a cui il plugin è collegato. Dopotutto, se un utente clicca il pulsante, è logico supporre che desideri usarlo (ad esempio, per condividere contenuti dal tuo sito web tramite i social media).

I plugin dei social media sono molto comuni nell'e-commerce e di solito appaiono sotto forma di pulsanti Shariff. Inoltre, puoi usare un principio di consenso a due clic per i pulsanti dei social media sul tuo sito (simile al principio di double opt-in per le newsletter). Nel sistema a due clic, l'utente prima clicca sul pulsante di social media che vuole usare. Poi il tuo negozio chiede esplicitamente se acconsente al trasferimento dei suoi dati alla piattaforma di social media.

Elaborazione degli ordini

Come operatore del negozio, probabilmente lavori con molti fornitori di servizi, come:

• Fornitori di servizi di pagamento

• Fornitori SaaS

• Servizi cloud

Questi fornitori di servizi trattano anche i dati personali relativi ai tuoi clienti, quindi il GDPR ti richiede di stipulare un accordo sul trattamento dei dati (DPA) con ciascun partner. Senza un DPA, non hai basi legali per trasferire i dati dei clienti a terzi. Sebbene la creazione di un DPA richieda un piccolo sforzo extra, ti offre più sicurezza rispetto al passato. Ad esempio, un DPA definisce chiaramente chi è responsabile in caso di perdita di dati.