Come fare un e-commerce conforme al GDPR
Nelle piattaforme e-commerce non bisogna considerare solo la parte tecnica del sito, ma anche l’adeguamento privacy al GDPR.
Si tratta di un adeguamento complesso, che deve conciliare aspetti tecnici e legali, vanno analizzati i trattamenti che vengono realizzati (spesso complessi e articolati), anche con riferimento alle particolari tipologie di prodotti offerti dall’utente.
Prima di tutto è importante fare un’attenta e specifica analisi del sito dal lato tecnico
Nell’analisi delle componenti tecniche del sito saranno verificate le tipologie di dati trattati, le modalità e le finalità del trattamento. A questo punto sarà possibile avere una mappatura generale e completa dei trattamenti realizzati, utile per la compliance del sito.
Questo aspetto è molto più facile in fase di realizzazione dell ‘e-commerce, dove sarà possibile lavorare contemporaneamente sia sugli aspetti tecnici che legali. Nel caso il sito sia già online, è indispensabile un‘analisi e valutazione degli aspetti tecnici da parte degli sviluppatori e di chi si occupa della compliance.
Al primo accesso all’e-commerce l’utente dovrà scegliere liberamente se e quali dati fornire durante la sua navigazione sul sito: è importante che al primo accesso venga comunicato quali cookies utilizza il sito web, per quali finalità e la possibilità di rilasciare il proprio consenso per ogni tipologia.
Deve essere presente un banner che, attraverso la predisposizione di caselle per ciascuna tipologia di cookie, consente all’utente di rilasciare (o negare) il proprio consenso ad alcune categorie.
L’utente:
- non deve essere obbligato ad accettare i cookies in blocco;
- non deve trovare caselle prespuntate. Il consenso è libero e volontario;
- deve essere informato di tutte le tipologie di cookies utilizzati.
I pop-up devono essere costruiti secondo GDPR
Molto spesso i pop-up contengono moduli che devono essere compilati con i dati personali dell’utente: proprio per questo è importante strutturare i pop-up secondo le disposizioni del GDPR.
Si dovranno analizzare tre aspetti:
- quanti e quali dati richiedere, nel rispetto del principio di minimizzazione;
- per quali finalità viene realizzato il trattamento;
- quali informazioni fornire all’utente.
L’analisi preventiva del trattamento stabilirà quali campi inserire nel pop-up e per quali finalità richiedere il consenso, prevedendo alcune caselle in corrispondenza del relativo link di rinvio.
Newsletter, consenso e esigenze del marketing
La richiesta dei dati per l’invio periodico di informazioni con finalità di marketing deve rispettare i principi del GDPR.
Il principio di minimizzazione prevede che per l’iscrizione al servizio di newsletter all’utente venga chiesto solo l’indirizzo e al massimo il nome, nel caso si voglia personalizzare il messaggio.
Nel caso si vogliano inserire anche altri dati, è indispensabile predisporre un’apposita informativa ai sensi dell’art.13 del GDPR.
L’informativa prevede una serie di indicazioni che spiegano all’utente il modo e il motivo per il quale vengono trattati i dati.
Nel sito dovrà essere presente un’apposita informativa, redatta ad hoc, con i trattamenti realizzati dal sito e le informative specifiche per i singoli servizi.
Il numero di informative dipendono dai trattamenti che il sito effettua : solo attraverso un’analisi di questi è possibile individuare quante informative siano necessarie.
Abbiamo parlato di informativa privacy e di regole di compliance per il trattamento dei dati anche in questo articolo.
Gli esperti di Aksilia Group, da sempre attenti alla tutela dei dati personali e aziendali, sono disponibili a questo contatto per qualsiasi informazione.
