GDPR: Suggerimenti per i proprietari dei siti web e dei siti e-commerce

In data 25 maggio 2018 entra in vigore il Regolamento europeo per la protezione dei dati personali
(GDPR, in italiano RGPD). Molti potrebbero considerarlo un onere amministrativo inutile. Tuttavia, se non tratti i dati personali in maniera irresponsabile e utilizzi il buon senso, forse sei già a norma. Cosa cambia per il tuo sito web / sito e-commerce o come metterli in regola, lo scopri in quest’articolo.

GDPR, chi lo deve rispettare

Il GDPR riguarda tutti i proprietari di siti web / siti e-commerce, in cui vengono raccolti i dati personali di persone fisiche, ad esempio il nome, cognome, indirizzo, recapito telefonico o l’indirizzo email. Se invii novità ai lettori del tuo blog o invii newsletter ai tuoi clienti, diventi Titolare del trattamento (Data Controller) dei dati personali e devi ottenere il consenso dagli utenti del tuo sito web al trattamento dei loro dati. Inoltre, è doveroso rendere tale consenso dimostrabile nel caso di necessità.

 

Quando non è necessario il consenso

In alcuni casi, il consenso al trattamento dei dati personali è implicito e non è necessario richiederlo di nuovo.

Non occorre avere il consenso, nei casi in cui:

  • raccogli dati al fine dell’adempimento di obblighi assunti con un contratto (ad esempio, il nome e l’indirizzo per poter consegnare la merce ordinata);
  • raccogli dati al fine dell’adempimento di obblighi imposti dalla legge (ad esempio, dati personali necessari per emettere la fattura)
  • si tratta di un formulario in cui vengono raccolti dati necessari per elaborare e soddisfare una particolare richiesta inviata dall’utente.

Se volessi utilizzare i dati raccolti (ad esempio gli indirizzi email) per inviare comunicazioni commerciali, è prima necessario acquisire il consenso.

 

Cosa deve essere incluso nel consenso

Il consenso deve essere prestato in modalità attiva e volontaria – ad esempio tramite una casella da spuntare. Alcuni siti e-commerce richiedono il consenso all’invio delle comunicazioni commerciali come uno dei prerequisiti affinché sia possibile completare l’ordine. Questo modo di agire non è conforme alla norma GDPR.

Quando si chiede il consenso agli utenti, va fornita una chiara informazione sulle finalità e modalità con cui verranno utilizzati i loro dati, per quanto tempo e su come è possibile revocare il proprio consenso.

Ti suggeriamo di inserire il consenso come un documento separato in una pagina apposita all’interno del tuo sito web: il consenso non può più far parte dei tuoi Termini e condizioni.

Assicurati che il tuo sito web includa tutti gli elementi presenti nell’articolo 13 del Regolamento europeo per la protezione dei dati personali. Puoi trovare maggiori informazioni relative alla forma del consenso a www.garanteprivacy.it.

 

E la sicurezza?

Essendo Titolare del trattamento, sei responsabile di qualsiasi accesso non autorizzato ai dati. Sei obbligato a trattare i dati personali degli utenti con la stessa cautela con cui tratteresti i tuoi dati. Non metteresti in mostra i dati della tua carta di credito, non invieresti il PIN a chiunque via email, non salveresti le tue password in un computer pubblico, ecc.

Se i dati raccolti vengono elaborati da terze parti, ad esempio dal commercialista esterno che gestisce le fatture del tuo sito e-commerce, è necessario connotare gli accordi tra il Titolare del trattamento e il Responsabile del trattamento che elabora i dati per conto del Titolare. Gli obblighi del Responsabile del trattamento devono essere specificati in un contratto o in un altro atto giuridico.

Il contratto può riguardare anche i provider delle piattaforme Cloud e dei server dove è archiviata la maggior parte delle informazioni e dei dati online. Assicurati se è necessario stipulare alcun contratto, rivolgendosi a ogni singola terza parte. Puoi trovare maggiori informazioni nelle domande e risposte nella seconda parte di quest’articolo.

 

Cosa tenere a mente prima che la legge diventi effettiva?

Lo scopo del regolamento GDPR è quello di ridurre la quantità dei dati personali che vengono raccolti. Quali dati, relativi ai visitatori o ai clienti del tuo sito web, ti servono? Raccogli dei dati che vanno oltre ai dati di cui effettivamente necessiti? Liberatene o assicurati di avere il consenso per trattare questi dati.

Il nuovo regolamento va affrontato con una visione d’insieme, senza panico inutile. I proprietari dei siti web e dei siti e-commerce che hanno sempre utilizzato il buon senso e rispettato la legislazione attuale, non dovrebbero riscontrare difficoltà di dimostrare come avevano ricevuto i singoli dati dei visitatori dei loro siti web. Per gli altri, invece, questo nuovo regolamento rappresenta un’opportunità per mettere in ordine tutti i dati raccolti e per rendere tutta la raccolta dei dati efficiente; un opportunità di utilizzare i dati a proprio vantaggio, in conformità al GDPR.

 

Domande frequenti

L’adeguamento al GDPR è un grosso tema, ormai se ne sente parlare ovunque. Ecco le risposte alle vostre domande più frequenti.

 

Sarà illegale raccogliere dati personali dei visitatori e clienti del mio sito web?

No, il GDPR è destinato a migliorare il sistema attuale per la sicurezza dei dati, tenta di rimediare alle iniquità e offre agli utenti maggiori informazioni su come vengono gestiti i loro dati personali. La raccolta dei dati personali diventerebbe illegale in assenza di un legittimo interesse.

 

Cos’è il legittimo interesse?

Per il “legittimo interesse” s’intende l’adempimento di obblighi contrattuali o fiscali, tra cui ad esempio l’invio della merce o l’emissione della fattura.

Se i dati vengono raccolti per finalità diverse, ad esempio per inviare comunicazioni commerciali (newsletter o promozioni), è necessario essere in possesso del consenso attivo (indicato in modo attivo) degli utenti.

 

Ho creato il sito web con Webnode. Sono io la persona che si prende carico di tutte le responsabilità?

Sì. Se tramite il tuo sito web raccogli dati riguardanti i visitatori del tuo sito web, sei responsabile per la privacy di tali informazioni.

 

Mi serve il consenso attivo per inviare newsletter?

Se per raccogliere i dati di contatto nel tuo sito web utilizzi il formulario che chiaramente e univocamente indica la finalità della raccolta dei dati, ad esempio “Desidero ricevere le newsletter”, non è necessario ottenere un ulteriore consenso.

In ogni caso, dovresti indicare sul tuo sito web le informazioni riguardo i dati che vengono raccolti, come vengono trattati, chi altro elabora i dati e specificare i diritti dell’interessato (utente). Qualora raccogliessi dati in modalità dalla quale non n’è chiara la finalità, il consenso attivo è necessario.

Tuttavia, ricordati di prestare attenzione ai contenuti delle newsletter che invii. Anche con il GDPR è obbligatorio dare la possibilità agli utenti di disiscriversi dalle newsletter. Inoltre, i clienti dovrebbero ricevere email riguardanti esclusivamente i prodotti o servizi acquistati nel tuo sito e-commerce: se hai organizzato i prodotti in categorie, assicurati che ogni utente riceve informazioni appropriate.

 

Mi serve un contratto con Webnode riguardante il trattamento dei dati?

Sì. Il Contratto per l’elaborazione dei dati (Data Processing Contract)  è disponibile sul nostro sito web.  Puoi scoprire come vengono trattati i dati da Webnode consultando l’Informativa sulla Privacy.

 

L’azienda Webnode e la sua piattaforma sono conformi al GDPR?

Sì, Webnode sia come azienda sia come piattaforma è a norma con il regolamento GDPR. Gli utenti che utilizzano il nostro editor per siti e-commerce, trovano un esempio dell’Informativa sulla Privacy e la casella da spuntare per prestare un attivo consenso all’invio delle comunicazioni commerciali pronte da personalizzare.

L’Informativa sulla Privacy esempio ovviamente non è sufficiente per ogni singola persona o sito e-commerce, pertanto si consiglia di rivolgersi a esperti in materia per verificare la propria situazione e adeguare l’Informativa sulla Privacy a seconda delle proprie esigenze, consultandosi con un avvocato o con il
Garante per la protezione dei dati personali.

È essenziale riflettere sulle finalità del trattamento dei dati. Se vendi dati a terze parti oppure se utilizzi i dati con finalità diverse da quelle per cui avevi ricevuto il consenso dagli utenti, allora stai violando il GDPR. Se invece non tratti i dati personali in maniera irresponsabile, è probabile che sia già in regola.

 

Dove Webnode archivia i propri dati?

Tutti i tipi del traffico e sviluppo di Webnode avviene nell’UE e i dati vengono archiviati nei server all’interno dell’UE.

 

Speriamo che quest’articolo ti abbia aiutato a superare l’ansia dovuta al nuovo regolamento. Naturalmente, non è possibile coprire tutte le eventualità e chiarire tutti i dubbi. Perciò ti consigliamo di consultare il tuo caso concreto con le relative autorità.