GDPR

Se vendi prodotti o servizi a clienti dell'Unione Europea, devi sapere che stanno per entrare in vigore nuove disposizioni normative che ti riguardano. Anche se ti trovi in un altro continente.

Se non le rispetti, rischi sanzioni pesantissime. Anche per cose banali come usare i cookie sbagliati sul tuo sito web o inviare una mail alla persona sbagliata.

Per fortuna, le cose non sono così terribili come sembrano a prima vista. In quest'articolo scoprirai perché.

Il Regolamento generale sulla protezione dei dati (General Data Protection Regulation, GDPR) entrerà in vigore il 25 maggio 2018. Ti riguarda se:

• hai clienti nell'UE
• invii mail a cittadini dell'UE 
• il tuo sito web viene visitato da visitatori dell'Unione Europea

Il regolamento intende proteggere i dati personali dei cittadini dell'UE definendo

• i dati che puoi raccogliere da clienti e visitatori dell'UE
• cosa puoi fare con questi dati
• i diritti delle persone identificate da queste informazioni
• in che modo devono essere protetti questi dati

Le multe per la mancata osservanza sono elevatissime: fino a 20 milioni di Euro oppure il 4% del fatturato annuo (l'importo più alto tra i due). Questo significa che ignorare il GDPR è un'opzione estremamente rischiosa.

Per chi vende online, tuttavia, le cose non sono così male come sembrano. Questo perché il regolamento, al fine di facilitarne la conformità, prende in considerazione anche i venditori.
Sottolineiamo che queste disposizioni normative non sono del tutto nuove: perfezionano e rafforzano regole già adottate e in vigore.

I nostri sistemi e i nostri servizi online sono conformi al GDPR per aiutarti in questo percorso. 
Il testo che segue ti spiegherà in che modo la cosa ti riguarda. Ricordati comunque che quanto segue non è un parere legale. In caso di dubbi, chiedi sempre una consulenza legale per la tua situazione specifica.

Iniziamo!

Quali sono i dati personali protetti dal GDPR?

Il GDPR definisce "personali" le informazioni che permettono (direttamente o indirettamente) l'identificazione di un individuo, il cd. soggetto dei dati. Se vuoi quindi usare questi dati personali, devi avere il consenso del soggetto dei dati.

Tra i dati personali rientrano nome, informazioni di contatto, indirizzo, user-name online, numeri di carta di credito, cookie di tracciatura, immagini di tracciatura nelle mail e anche indirizzi IP.
Esistono, inoltre, categorie speciali di dati personali,  quali ad esempio sesso, religione, colore della pelle e dei capelli, affiliazioni politiche e molto altro. Questi dati sono soggetti a normative ancora più risttrette e l'accesso agli stessi non è permesso ai venditori online.

Quali dati puoi trattare?

Puoi trattare tutti i dati personali di cui hai bisogno per completare un ordine senza dover richiedere alcun consenso speciale. Questo perché , ai sensi del GDPR, inserire un ordine (compresa anche la semplice intenzione di inserire un ordine come ad esempio la richiesta di un preventivo) sottintende automaticamente il consenso.

Questo significa nome, indirizzo di spedizione e di consegna, informazioni di contatto e dettagli per il pagamento.

Per "trattamento dei dati", comunque, si intende qualsiasi cosa venga fatta con i dati personali, compresi raccolta, registrazione, visualizzazione, stampa e il sottoporre i dati a processi automatici. Per esempio, per approvare i pagamenti e mandare delle mail.

E per quanto riguarda l'aggiunta di clienti a un elenco di marketing diretto? Questo non è necessario per completare un ordine. Quindi, in futuro, potrai mandare offerte speciali e newsletter ai tuoi clienti senza il loro esplicito consenso?

Mandare mail di marketing ai tuoi clienti

Sì, puoi.

Perché il GDPR prevede un'altra deroga che ti favorisce. Proprio come i vecchi regolamenti, ti dà la facoltà di usare per i tuoi interessi legittimi i dati personali che raccogli (Articolo 6 (f). E gli interessi legittimi non richiedono il consenso.

Il GDRP definisce in modo chiaro il marketing diretto come "interesse legittimo" nella Premessa 47. Pertanto sei interamente coperto quando si tratta di marketing tramite mail ai clienti.

E per quanto riguarda il marketing a clienti potenziali?

Per i clienti potenziali invece, proprio come in passato, dovrai sempre chiedere loro il loro consenso per aggiungerli alla tua mailing list. Tutto quello di cui hai bisogno è una semplice casella da spuntare del tipo "Inviatemi delle offerte speciali" all'interno di un modulo di contatto (Premessa 32). Assicurati che la casella non sia già spuntata, perché in tal caso non conta.

La novità è che ora devi archiviare questo consenso, in modo da poter in futuro dimostrare - qualora necessario - che il consenso è stato effettivamente dato.

Strategie di marketing basate su brochure dettagliate

Se sul tuo sito web distribuisci brochure dettagliate, immagini o altri contenuti gratuiti, non hai bisogno di un'ulteriore casella da spuntare, ma devi indicare in modo chiaro che aggiungerai l'indirizzo email alla mailing list.

Questo perché il GDRP richiede al visitatore del sito un'azione chiara e informata che indichi il suo consenso.

Per farlo, ti basta aggiungere alla pagina di download o di destinazione un testo adeguato (idealmente subito sopra il pulsante "scarica"). Un messaggio del tipo: "Scaricando questo documento acconsenti ad essere aggiunto/a alla nostra mailing list. Puoi annullare l'iscrizione in qualsiasi momento".

Cosa faccio con i miei vecchi contatti mail?

Puoi continuare a mandare mail ai tuoi precedenti clienti. Puoi continuare a mandare mail a chiunque abbia indicato di volersi iscrivere alle tue mailing list ai sensi dei vecchi regolamenti.

Ti devi solo ricordare di aggiungere sempre nelle mail di marketing un link per annullare l'iscrizione.

E per quanto riguarda i cookie?

Secondo il GDPR, i cookie sono dati personali che permettono di identificare un utente specifico.

Gli unici cookies usati da ShopFactory e Santu sono i cd. cookie di sessione e i cookie per il carrello della spesa. Questi non sono soggetti al GDPR e neanche alla cd. Cookie Law [Legge sui cookie].

A meno che tu non abbia altri script sul tuo sito web, non devi neanche mostrare l'avviso relativo ai cookie ai tuoi clienti dell’UE. (Articolo 29 Linee guida gruppo di lavoro).

E per quanto riguarda Google Analytics e altri script?

Google, Facebook, i programmi di chat online e altri script usano i cookie di tracciatura per tracciare e identificare i tuoi visitatori. Non soltanto sul tuo sito web, ma a volte anche su Internet. I programmi di marketing via mail aggiungono immagini di tracciatura alle mail di marketing.

Ai sensi del GDPR, prima di poter usare script di questo tipo devi ricevere il consenso informato dei tuoi visitatori. Avere questo consenso deve essere facile.

Al momento stiamo correggendo l'avviso sui cookie di ShopFactory per garantire la conformità con questi requisiti. Una volta che l'avviso sarà pronto, anche gli script come quelli di Google Analytics e Facebook Pixel, saranno conformi. Includeremo queste modifiche in ShopFactory 12 in tempo per le nuove disposizioni a norma di legge.

Per i tuoi clienti farà poca differenza. Il tuo sito web e il tuo negozio online funzioneranno grosso modo come ora.

Qualora tu abbia aggiunto al tuo sito web altri script che si avvalgono di cookie di tracciatura, tali script dovranno essere spostati in una sezione di ShopFactory conforme al GDPR. Funzioneranno, pertanto, solo dopo che l'utente avrà accettato i relativi cookie.

Di conseguenza, i visitatori che non accettano i cookie di tracciatura non compariranno più nelle tue statistiche. Il tuo programma di analitica, pertanto, mostrerà un calo del traffico, anche se in realtà il tuo traffico rimarrà esattamente lo stesso.

Non puoi fare niente a riguardo. Non puoi costringere i visitatori ad accettare i cookie di tracciatura prima di permettere loro di visitare il tuo sito web. Il GDPR lo vieta in modo esplicito.

Diritto all'oblio e alla correzione dei dati personali

Il GDPR dà inoltre, ai soggetti dei dati, maggiori diritti sui propri dati personali. I soggetti hanno la facoltà di chiederti di correggere i dati personali che hai salvato in modo erroneo e hanno inoltre il diritto all'oblio.

Al momento stiamo finalizzando una funzione che ti permetterà di aggiornare come richiesto i dati personali dei tuoi account Santu o ShopFactory Cloud.

Il diritto all'oblio significa che un cliente (ovvero un soggetto utente) ha la facoltà di chiedere di rimuovere completamente i suoi dati personali dai tuoi sistemi.

Questo diritto tuttavia non si applica quando devi archiviare i dati per finalità fiscali ovvero per requisiti normativi di altro tipo. Nella maggior parte dei Paesi, i contratti devono essere conservati per sette o otto anni, mentre in altri casi per periodi di tempo anche più lunghi. Durante questi periodi non vale il diritto all'oblio.

Una volta trascorso l'intervallo di tempo previsto, puoi selezionare gli utenti e gli ordini che hanno inserito ed eliminarli facilmente.

Offriremo anche una funzione che ti permetterà di aggiornare gli ordini rimuovendo i dettagli personali una volta trascorso il periodo di conservazione previsto dalla legge. Questo ti permetterà di conservare gli ordini per fini statistici senza contravvenire alla conformità con il GDRP.

Sicurezza dei dati

Accettiamo e trattiamo online i dati personali per conto tuo e in modo sicuro come parte del processo di completamento delle transazioni e di gestione degli ordini. I dati vengono criptati durante il trasferimento e quando li salviamo per tuo conto nei nostri database situati in Europa. Questo sistema viene chiamato "crittografia in fase di transito" e "crittografia in fase di riposo".

Per evitare perdite, inoltre, eseguiamo in modo sicuro dei backup regolari dei tuoi dati.

Quindi, se salvi i tuoi ordini online con noi, noi ti tuteliamo quando si tratta di sicurezza dei dati.

Ti devi solo assicurare di aver concluso con noi un Contratto sul trattamento dei dati. Lo stesso vale per gli altri fornitori di servizi, come imposto dal GDPR (di seguito trovi maggiori informazioni in merito).

Tieni presente che il GDPR vale anche se accetti, ad esempio, informazioni di contatto al telefono e le annoti su un pezzo di carta. O se mandi lettere di marketing diretto stampate direttamente tramite il tuo ufficio postale. Ti dovrai assicurare che anche tale parte della tua azienda tuteli i dati personali.

Per fortuna, se hai un business online standard, non hai bisogno di condurre un DPIA (Data Privacy Impact Assessment) o di un impiegato responsabile per la protezione dei dati.

Contratto sul trattamento dei dati

Per quanto riguarda la raccolta e il trattamento dei dati personali, tu, in quanto proprietario del negozio, sei responsabile per quello che succede a tali dati. Tuttavia, se ci affidi in outsourcing parte di questo lavoro, ai sensi del GDPR, il data processor [responsabile del trattamento] di questi dati diventiamo noi.

Questo significa che il GDPR impone che tu abbia con noi un contratto sul trattamento dei dati, in modo da essere sicuro che noi rispettiamo il GDPR per conto tuo.

Questo non vale soltanto per noi. Questo vale per qualsiasi servizio tu usi per il trattamento dei dati per conto tuo. Per esempio, i tuoi portali di pagamento, i fornitori di servizi di spedizione e i sistemi di contabilità online.

Presto potrai scaricare il nostro contratto sul trattamento dei dati accedendo all'account ShopFactory Cloud o Santu ed entrando nella sezione "Il mio account". Per rendere il contratto vincolante, ti basta controfirmarlo e mandarcelo via mail come spiegato nel documento.

Che cos'altro devi rispettare?

Una volta che hai garantito la sicurezza dei dati personali online usando i nostri servizi e stipulando accordi per il trattamento con i diversi servizi di cui ti avvali, c'è ancora della burocrazia da completare.

Questo perché il GDRP richiede che tu, come negozio online, documenti sia i dati che raccogli, sia cosa fai con gli stessi.

Di seguito riportiamo un semplice esempio. Se lo adatti per le tue finalità, assicurati di discuterne con il tuo consulente legale, perché noi non possiamo dare pareri legali.

Denonimazione sociale: Cookie Bakers GmbH, Controller dei dati: Egon Baker, 25 Baker Street, Bakers City, Backhausen, Germania

Trattiamo i dati personali dei visitatori del sito web, dei clienti del nostro sito web e delle mail.
Raccogliamo e trattiamo i dati personali per completare gli ordini, compresi nomi, informazioni di contatto, dettagli dell'indirizzo e per il pagamento. Inoltre, raccogliamo i dati tramite cookie e analoghe tecnologie di tracciatura per monitorare il comportamento dei visitatori sul nostro sito web e rispetto ai messaggi di posta elettronica, in modo da poter migliorare l'esperienza dei visitatori sul nostro sito web e rispetto alle mail (per esempio raccomandando prodotti adatti). Usiamo inoltre i dati personali raccolti per legittime finalità di marketing.
Usiamo Santu Pty Ltd come data processor per raccogliere i dati dei clienti a nostro nome. Usiamo PayPal come data processor per elaborare i pagamenti a nome nostro. Usiamo XY Couriers come data processor per spedire i prodotti a nostro nome. Usiamo Google Analytics per tracciare il traffico sul nostro sito web. Usiamo Monkeymail come data processor per inviare e tracciare mail di marketing. 
I dati personali vengono conservati per 8 anni per garantire la conformità con le disposizioni governative.
Qualora dovessimo scoprire una violazione dei sistemi di sicurezza che ha esposto i dati personali, contatteremo entro 72 ore l'autorità preposta alla supervisione, nello specifico: Denominazione e recapiti dell'ente.
Anche i soggetti dei dati personali esposti verranno informati in modo tempestivo tramite notifica alla loro casella di posta elettronica registrata.

Il tuo regolamento sulla privacy

Assicurati di aggiornare il tuo regolamento sulla privacy e i termini indicati sul tuo sito web in modo che siano conformi al GDPR. Questo punto tuttavia esula dall'ambito di questo articolo.

Ma puoi trovare dei buoni generatori di contenuti per regolamenti sulla privacy conformi al GDPR, come ad esempio https://goo.gl/piu79B.

Conformità al GDPR con ShopFactory 12 e ShopFactory Cloud

Abbiamo fatto molto lavoro per aiutarti a essere conforme al GDPR.

Le modifiche per permetterti di usare i cookie di tracciatura e altri script sul tuo sito web verranno inclusi in ShopFactory 12 in tempo per l'entrata in vigore del GDPR. Salvando i tuoi ordini su ShopFactory Cloud, potrai accedere al trattamento conforme al GDPR e a un contratto sul trattamento dei dati.

Se non hai ancora effettuato l'upgrade a ShopFactory 12, ti consigliamo vivamente di farlo il prima possibile. Puoi usare ShopFactory 12 sullo stesso computer delle versioni precedenti. Potrai importare il tuo attuale negozio e continuare a lavorarci. ShopFactory Cloud è incluso gratis per il primo anno, se fai la sottoscrizione annuale.

In caso di domande o se desideri ricevere maggiori informazioni, ti invitiamo a contattarci.