GDPR 2018: tutto ciò che i negozi online devono sapere sulla protezione dei dati

da Pascovski Victor

Al di là delle multe salate che può ricevere chi non rispetta il Regolamento generale sulla protezione dei dati, la cosa più importante da capire riguarda i dati. In particolare, tutti i commercianti online e non solo (tutti i responsabili del trattamento dei dati) devono sapere quali dati possono raccogliere, quali obblighi hanno e per quali scopi possono utilizzarli.  

Un altro aspetto molto importante è che con l'attuazione del Regolamento generale sulla protezione dei dati (noto come GDPR) il 25 maggio 2018, i rischi di violazione della normativa sulla protezione dei dati aumentano notevolmente, con multe che possono arrivare fino a 4% del fatturato.

Cos'è il GDPR

„GDPR Il sistema di controllo dei dati personali porta con sé diverse novità, ma la più importante da capire è che, al di là delle multe salate che di solito sono l'elemento principale che suscita l'interesse per questo argomento, è l'approccio reale e personalizzato ai dati che si raccolgono e a ciò che si fa con essi".

GDPR NON significa:

• un insieme di documenti creati da un soggetto esterno all'azienda che vengono messi tra le braccia del negozio;
• adottare uno standard di sicurezza;
• tutti i dipendenti firmano il testo del GDPR.

"Fondamentalmente il GDPR introduce un sistema relativamente nuovo per l'applicazione della legge: invece di dire "Vieni da me e lascia che ti controlli", dice "Per favore, fai i compiti". Se si presenta un problema, l'Autorità verrà a chiedervi se avete fatto i compiti e poi verificherà se li avete fatti correttamente", spiega l'esperto.

Obblighi dei negozi online

"Per la maggior parte (la principale eccezione sarebbe la notifica della sicurezza dei dati) gli obblighi non differiscono dalla legge attuale (677/2001), tranne per il fatto che per la maggior parte dei negozi si trattava di un non-problema ・in molti casi iniziava e finiva con la notifica all'Autorità. La risposta più breve è quella di rispettare i principi della raccolta".

Tipi di dati che i negozi online possono raccogliere

Ad eccezione delle categorie particolari di dati o dei cosiddetti dati sensibili (relativi alla salute, alla vita sessuale, all'orientamento politico, ecc. qui), non ci sono limitazioni sui tipi di dati raccolti. Nella nostra esperienza di Trusted.it, possiamo riscontrare le seguenti categorie di dati raccolti:

• Dati dei consumatori ottenuti a seguito di un ordine
• Dettagli sugli iscritti alla newsletter
• Dati dei visitatori del sito web
• Dati dei visitatori della pagina Facebook
• Dati dei dipendenti
• I dati dei clienti in un CRM
• I dati dei vostri candidati al lavoro
• Come e dove possono essere utilizzati i dati raccolti

Il GDPR non stabilisce finalità o luoghi in cui i dati raccolti non possono essere utilizzati. È solo che lo scopo deve essere visto in relazione alla base legittima del trattamento, in particolare per rispondere alla legittimità dello scopo.

Facciamo un esempio: tutti i negozi raccolgono i dati personali dei clienti per inviare loro i prodotti. In questo caso l'obiettivo è completare legalmente il processo di acquisto e consegnare l'ordine. Ciò rientra nella legittimità dell'articolo 6, paragrafo 2, quando il trattamento è necessario per l'esecuzione di un contratto di cui l'interessato è parte.

Il problema è che la maggior parte dei negozi non fermarsi qui e vogliono utilizzare i dati anche per il marketing e allora devono pensarci:

• come definiscono questo nuovo obiettivo
• qual è la base giuridica (perché in questo caso il trattamento NON è necessario all'esecuzione di un contratto)
• quali altri obblighi dovrebbero avere (informazioni, periodi di conservazione dei dati, ecc.)

Chi può operare con i dati personali dei clienti

Né qui né altrove GDPR non impone limiti rigidi, ma richiede agli operatori - e nel nostro caso ai negozi online - di garantire misure organizzative e tecniche per la protezione dei dati personali - per assicurarsi che i dati siano utilizzati esclusivamente per lo scopo sopra indicato. Si tratta di qualsiasi persona fisica o giuridica che elabora i dati raccolti dal responsabile del trattamento. Quindi ci riferiamo sia a :

• dipendenti di negozi online
• qualsiasi fornitore di servizi esterno al negozio che abbia accesso ai dati raccolti dal negozio (indicato dalla legge come "incaricato del trattamento")

Quali obblighi hanno i dipendenti dei negozi online nel trattamento dei dati

Per quanto riguarda i dipendenti, il negozio dovrebbe sia obbligarli a rispettare lo scopo per cui vengono trattati e la loro riservatezza, sia educarli sul perché è importante farlo.

I dati personali possono essere trattati secondo le condizioni previste dall'articolo 6 del GDPR:

• consenso
• per eseguire un contratto di cui l'interessato è parte o per prendere provvedimenti su richiesta dell'interessato prima della conclusione di un contratto;
• l'adempimento di un obbligo legale a carico dell'operatore;
• proteggere gli interessi vitali dell'interessato o di un'altra persona fisica;
• l'esecuzione di un compito svolto nell'interesse pubblico o nell'esercizio dei poteri ufficiali conferiti all'operatore;
• interesse legittimo

Cosa succede ai dati trattati per il marketing

Di tutte le condizioni di legalità sopra citate, quella che è Il più affidabile nel marketing online è il consenso (accordo) che, cosa molto importante, deve essere un'azione chiara e libera da parte dell'utente.

L'unica eccezione potrebbe essere l'uso del "legittimo interesse", ma i negozi online dovrebbero essere consapevoli che il legittimo interesse deve essere dimostrato e soppesato rispetto ai diritti degli utenti. In questo caso dipende molto dal livello di intrusione nella privacy del tipo di marketing utilizzato ・ una cosa è inviare una newsletter al mese a un ex cliente e un'altra è analizzare ogni sua mossa sul vostro sito.

"Quindi, se il negozio si limita a dire, o nella sua politica sulla privacy, che utilizziamo il 'legittimo interesse' come base giuridica, non è sufficiente. È necessaria un'analisi dettagliata che parta dai dati raccolti e che miri ai diritti dell'utente per vedere se effettivamente l'interesse legittimo può essere considerato una base giuridica in quel caso specifico. Non si tratta necessariamente di una questione semplice, quindi la raccomandazione per i negozi online che non hanno le competenze necessarie è di optare per il consenso come base giuridica", consiglia.

Dove sono conservati i dati

Il luogo di stoccaggio è meno importante. La legge richiede solo che sia conforme a condizioni di sicurezza adeguate. Ma questo include l'hosting dei dati in un paese che abbia un regime di protezione adeguato - l'Unione Europea o altri paesi in cui questo livello è riconosciuto, comprese le aziende statunitensi.

Quali misure devono adottare i negozi online per proteggere i dati

Il GDPR si applica a tutti i trattamenti di dati personali, dall'elenco delle presenze a un evento ai dati sanitari raccolti dagli ospedali. Ecco perché l'articolo 32 del GDPR fornisce solo linee guida generiche sulle misure tecniche e organizzative. Spetta a ciascun negozio individuare ciò che è appropriato in queste circostanze.

• Cosa dice la legge - Tenendo conto dell'attuale stadio di sviluppo, dei costi di attuazione e della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio, con vari gradi di probabilità e gravità, per i diritti e le libertà delle persone fisiche, il responsabile del trattamento e l'incaricato del trattamento attuano misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato a tale rischio.

Cosa fare in caso di danni alla sicurezza dei dati

Ecco un'importante notizia da GDPR - qualsiasi violazione dei dati deve essere notificata all'Autorità entro 72 ore dal momento in cui se ne viene a conoscenza. Tuttavia, non è ancora chiaro quale procedura dovrà essere seguita in Romania - presumibilmente ci saranno spiegazioni dettagliate da parte dell'Autorità, ma per ora c'è una guida svolto dal Gruppo di lavoro "Articolo 29" (che riunisce le autorità di controllo di tutti gli Stati membri).

Sanzioni e ammende in caso di non conformità al Regolamento

Regolamento GDPR prevede pesanti ammende, per le quali è fissata solo la soglia massima: 10 o 20 milioni di euro o 2 % o 4% di fatturato. Inoltre, i criteri per l'applicazione di queste multe sono stabiliti dall'articolo 83 del GDPR. Ci aspettiamo che nel corso dell'anno vengano adottate norme nazionali che definiranno ulteriori dettagli.

Fonte: startupcafe.ro 

Pascovski Victor

Messaggi consigliati

Le 40 principali tendenze dell'e-commerce per il 2022

30/07/2021

Abbiamo vinto il premio per gli innovatori tecnologici della rivista CV.

01/06/2020

L'AGENZIA PANDA È PARTNER PREMIUM DI GOOGLE

09/01/2020