GDPR Privacy WordPress per Aziende e professionisti
(articolo aggiornato il 19 ottobre 2024)
Cos’è il GDPR (GDPR)?
Il Regolamento generale sulla protezione dei dati dell’UE (GDPR dell’UE) è un regolamento della Commissione Europea, del Parlamento Europeo e del Consiglio dei Ministri dell’UE che mira a rafforzare e standardizzare la protezione dei dati dei cittadini dell’UE. Sostituisce la Direttiva 95/46/CE sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali nonché sulla libera circolazione di tali dati (Direttiva sulla protezione dei dati) del 1995 ed è stata adottata dal Parlamento Europeo il 14 aprile 2016 dopo quattro anni di preparazione e discussione.
Il GDPR fa dichiarazioni chiare sui dati personali dei cittadini e sul loro diritto di richiedere che i titolari e gli incaricati del trattamento cancellino, modifichino e consegnino i propri dati. Rispetto alla direttiva sulla protezione dei dati, richiede modifiche significative ai processi operativi di aziende e organizzazioni. Per garantire l’attuazione, potrebbero essere imposte sanzioni dolorose se i diritti dei cittadini dell’UE non vengono tutelati.
GDPR – Come procede la preparazione?
La pressione affinché aziende e organizzazioni agiscano cresce man mano che si avvicina rapidamente il giorno in cui entrerà in vigore il GDPR. Molte aziende sono lontane dall’obiettivo in termini di implementazione perché i cambiamenti che devono attuare richiedono uno sforzo maggiore a tutti i livelli.
Da un sondaggio condotto da AvePoint tra aziende internazionali alla fine del 2016 è emerso che su 223 intervistati solo il 26% documentava l’elaborazione e la trasmissione dei dati, solo il 33% classificava dati e solo il 10% utilizzava procedure di classificazione automatizzate.
I numeri sono preoccupanti perché la documentazione e la classificazione sono requisiti fondamentali del GDPR. Lo studio mostra inoltre che le aziende si trovano in fasi diverse di preparazione e stanno facendo lenti progressi. Alcuni hanno nominato un responsabile della protezione dei dati, mentre altri stanno ancora determinando l’impatto del GDPR sulle loro operazioni.
Questo white paper mira a fornire una guida per l’implementazione operativa per aiutare le aziende a prepararsi al GDPR.
Gli articoli più importanti e la loro importanza per le aziende
Ambito
Il GDPR si applica a tutte le aziende che raccolgono e trattano dati personali di cittadini dell’UE. Non importa in quale paese ha sede l’azienda e dove avviene il trattamento dei dati. Ad esempio, anche le aziende statunitensi i cui clienti includono cittadini dell’UE sono soggette al GDPR.
Approvazione
Le aziende devono ottenere il consenso dei cittadini dell’UE prima di archiviare e utilizzare i propri dati e devono spiegare per cosa verranno utilizzati. Dopo l’entrata in vigore del GDPR, dovrai essere in grado di dimostrare in qualsiasi momento di aver dato il consenso. Il consenso può essere revocato più facilmente di prima.
Obbligo di segnalazione
Le aziende devono segnalare una perdita di dati all’autorità per la protezione dei dati del proprio Paese entro 72 ore dal momento in cui ne vengono a conoscenza. Sono escluse le perdite di dati che non mettono a rischio i diritti e le libertà delle persone. La segnalazione deve contenere, tra l’altro, informazioni sulla natura della perdita di dati nonché sul numero e sul tipo di dati interessati, il nome del responsabile della protezione dei dati e informazioni sulle misure adottate per limitarne l’impatto.
Il responsabile della protezione dei dati
Sia i titolari che i responsabili del trattamento sono tenuti a nominare un responsabile della protezione dei dati qualora svolgano attività che richiedono un controllo particolare dal punto di vista della protezione dei dati. Tutte le altre società possono nominare volontariamente un responsabile della protezione dei dati. L’articolo 37 e seguenti del GDPR stabilisce chi può fungere da responsabile della protezione dei dati e quali sono i suoi compiti. In breve, il responsabile della protezione dei dati può essere un dipendente dell’azienda o un fornitore di servizi esterno. Lavora per garantire che l’azienda attui il GDPR, la consiglia e la informa sui suoi obblighi in materia di protezione dei dati e tiene un registro dei processi in cui vengono trattati i dati personali.
Non tutte le aziende hanno bisogno di un responsabile della protezione dei dati. Sono obbligati a farlo solo i titolari e i responsabili del trattamento le cui attività principali comprendono operazioni di trattamento che richiedono un monitoraggio ampio, regolare e sistematico degli interessati o il trattamento ampio di categorie particolari di dati o dati personali relativi a condanne penali e reati. Tutte le altre società possono nominare volontariamente un responsabile della protezione dei dati. Lavora per garantire che l’azienda attui il GDPR, la consiglia e la informa sui suoi obblighi in materia di protezione dei dati e tiene un registro dei processi in cui vengono trattati i dati personali.
Diritto all’informazione
Questa disposizione crea trasparenza. Gli interessati possono richiedere informazioni su quali dati che li riguardano un’azienda tratta, per quale scopo i dati vengono trattati e dove vengono archiviati. Le aziende devono essere in grado di inviare alle persone una copia dei propri dati in un formato elettronico comune.
Diritto alla cancellazione
Il “diritto all’oblio” dà ai cittadini dell’Unione la possibilità di chiedere al titolare del trattamento di cancellare i dati che li riguardano. Il responsabile deve informare il responsabile del trattamento, che dovrà anche cancellare immediatamente i dati. L’articolo 17 del GDPR elenca le circostanze in cui si applica il diritto alla cancellazione: ad esempio, se l’interessato revoca il proprio consenso, i dati non sono più necessari rispetto allo scopo per il quale sono stati raccolti, oppure i dati sono stati trattati illecitamente.
Portabilità dei dati
I soggetti che hanno fornito i propri dati a un titolare del trattamento potranno trasferirli ad un altro. Per fare ciò, l’azienda deve essere in grado di consegnare i dati in un “formato strutturato, comune e leggibile dalla macchina”.
Protezione dei dati attraverso la progettazione tecnologica
Come la “sicurezza integrata”, il termine “privacy by design” si riferisce all’integrazione di funzionalità di protezione in tutti i processi, sistemi, prodotti e servizi fin dall’inizio. Ciò garantisce una protezione forte e coerente dei dati e previene le lacune che possono verificarsi quando vengono successivamente aggiunte ulteriori funzioni di protezione. La protezione dei dati attraverso la progettazione tecnologica non è una raccomandazione, ma un requisito ancorato al GDPR.
Multe
A seconda del tipo, della gravità, della durata della violazione, dell’intento o della negligenza, del grado di responsabilità e di altri fattori, l’entità delle sanzioni è:
• fino a 10 milioni di euro o, nel caso di una società, fino al 2% del fatturato mondiale totale dell’anno precedente, se maggiore, per violazioni di vari articoli del GDPR,
• fino a 20 milioni di euro o, nel caso di una società, fino al 4% del fatturato mondiale totale dell’anno precedente, se superiore, per violazioni ad es. B. contro i principi del trattamento dei dati o contro i diritti degli interessati
Due punti chiave per l’attuazione del GDPR (GDPR)
Affinché le aziende possano implementare normative più ampie e più rigorose, dovrebbero verificare e basarsi sulle soluzioni e sui processi esistenti per la protezione dei propri dati. L’audit dovrebbe registrare in quali processi vengono raccolti i dati personali, se le procedure di consenso sono corrette, dove sono archiviati i dati, come viene garantita la loro integrità, chi può accedervi, ecc. Su questa base, pianificare l’adattamento al È necessario elaborare un nuovo regolamento e coordinarlo con tutti i soggetti coinvolti.
Diamo un’occhiata a come dovrebbe essere un piano che aumenti le tue possibilità di raggiungere il traguardo senza utilizzare troppe risorse.
Implementazione corretta GDPR
Una strategia è valida tanto quanto la sua attuazione. Trovare e implementare gli strumenti e le soluzioni di gestione giusti per proteggere i dati per attuare il GDPR è più facile a dirsi che a farsi. Entrano in gioco molti fattori diversi, compresi quelli complessi come il fattore umano. Un semplice esempio è il responsabile della protezione dei dati. Le aziende devono prendere una decisione difficile data la responsabilità affidatagli. Il suo lavoro è fondamentale per garantire che l’azienda rispetti i requisiti di protezione dei dati ed è difficile perché deve trattare con i dipendenti da un lato e con i capi dipartimento dall’altro.
L’articolo sul trasferimento transfrontaliero dei dati è altrettanto difficile da attuare. Non si tratta dei confini dei paesi in cui si trovano le sedi centrali e le filiali dell’azienda. Un’azienda con sede in Italia può avere clienti in Francia, negli Stati Uniti o in qualsiasi altro paese. Il GDPR si applica al trattamento dei dati personali dei cittadini dell’UE, anche se il titolare o il responsabile del trattamento non è situato nell’UE. Pertanto, anche se sei un’azienda al di fuori dell’UE, potresti essere soggetto al GDPR.
Creare consapevolezza
I responsabili della sicurezza, i responsabili IT, gli amministratori delegati, i capi dipartimento, ecc. devono essere consapevoli dei cambiamenti richiesti dal GDPR e dovrebbero garantire che questi siano tradotti in misure chiare e facili da implementare.
Quanto più chiaramente vengono formulati i requisiti, tanto meglio tutti capiscono a cosa servono le misure. Tutti i manager e i decisori dovrebbero studiare approfonditamente il GDPR o consultare un avvocato specializzato in merito agli obblighi che derivano per l’azienda.
Il linguaggio delle normative come il GDPR non è generalmente comprensibile, quindi si consiglia l’assistenza nella traduzione legale se non necessaria. Sapere quali sono gli obblighi di un’azienda in materia di protezione dei dati personali è una buona base per tutti i passaggi successivi.
Tratta l’implementazione del GDPR come un progetto e inizia definendo le fasi di pianificazione e implementazione.
Chiedi consiglio ad un avvocato specializzato.
Il tuo compito è identificare quali dati archivi ed elabori per i cittadini europei, dove vengono archiviati, come vengono trasmessi, quali sistemi li elaborano, ecc. Il risultato ti mostrerà se disponi degli strumenti necessari per proteggere i dati privati o quali strumenti potrebbe essere necessario aiutarti a conformarti al GDPR.
I principi di Data Protection by Design e by Default stabiliscono standard completamente nuovi. Secondo loro, la protezione dei dati e le funzionalità di sicurezza devono essere integrate nei prodotti e nei servizi fin dalla fase di progettazione e sviluppo. Ciò potrebbe essere particolarmente interessante per gli sviluppatori di app mobili e nel settore dell’IoT.
Le nuove linee guida incoraggeranno i produttori a combinare sicurezza dei dati e innovazione in modo che i prodotti futuri non siano solo intelligenti, ma anche sicuri.
Oltre ai prodotti e ai servizi, secondo il GDPR la privacy by design deve essere applicata anche ai processi. Fondamentalmente, in processi come la comunicazione interna, le risorse umane o la logistica in cui vengono utilizzati dati personali, la sicurezza dei dati deve essere considerata un elemento paritario insieme ad altri fattori.
Ad esempio, quando si istituisce un dipartimento delle risorse umane, la politica di protezione dei dati e la sua applicazione devono essere determinate contemporaneamente al numero di dipendenti, responsabilità e processi.
Il Regolamento Generale sulla Protezione dei Dati (RGPD) è un’importante normativa europea che si applica a quasi tutti i trattamenti di dati personali. Ma cosa significa esattamente?
Quando si applica il GDPR?
Il GDPR entra in gioco ogni volta che un’organizzazione, sia essa una grande azienda o un piccolo imprenditore, tratta dati personali. I dati personali sono qualsiasi informazione che possa identificare una persona, direttamente o indirettamente, come nome, indirizzo, numero di telefono, email, dati finanziari, dati biometrici, ecc.
Il GDPR si applica in diverse situazioni, tra cui:
- Raccolta dei dati: Quando raccogli dati personali dai tuoi clienti, dipendenti o utenti.
- Conservazione dei dati: Quando archivi i dati personali.
- Elaborazione dei dati: Quando utilizzi i dati personali per qualsiasi scopo, ad esempio per inviare email di marketing, personalizzare i servizi o prendere decisioni automatizzate.
- Condivisione dei dati: Quando trasmetti i dati personali a terzi, come fornitori di servizi o altre aziende.
Ambito territoriale:
Il GDPR ha un’applicazione molto ampia e si applica non solo alle organizzazioni con sede nell’UE, ma anche a quelle al di fuori dell’UE che offrono beni o servizi a cittadini europei o che monitorano il loro comportamento.
Eccezioni:
Ci sono alcune eccezioni all’applicazione del GDPR, come:
- Trattamento di dati personali effettuato da un individuo per scopi esclusivamente personali o domestici.
- Trattamento di dati personali da parte di autorità pubbliche per lo svolgimento di compiti di interesse pubblico.
Quando non si applica il regolamento generale sulla protezione dei dati (RGPD)?
Il Regolamento Generale sulla Protezione dei Dati (RGPD) è un regolamento molto ampio e si applica a quasi tutti i trattamenti di dati personali. Tuttavia, esistono alcune eccezioni specifiche in cui il GDPR non si applica.
Ecco le principali situazioni in cui il GDPR non trova applicazione:
- Attività al di fuori dell’ambito del diritto dell’Unione Europea: Il GDPR non si applica a trattamenti di dati personali effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione Europea.
- Attività degli Stati membri: Il GDPR non si applica ai trattamenti effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, del Trattatosull’Unione Europea (TUE), ovvero legate alla politica estera e di sicurezza.
- Trattamenti personali e domestici: Il GDPR non si applica ai trattamenti di dati personali effettuati da un individuo per scopi esclusivamente personali o domestici.
Altre situazioni in cui l’applicazione del GDPR potrebbe essere limitata o diversa:
- Piccole imprese: Per le piccole imprese, alcune disposizioni del GDPR potrebbero essere meno stringenti, soprattutto se il trattamento dei dati personali non è una parte essenziale dell’attività e non crea rischi significativi per gli interessati.
- Ricerca scientifica: In alcuni casi, il trattamento di dati personali per scopi di ricerca scientifica potrebbe essere soggetto a deroghe specifiche.
- Interesse pubblico: Il trattamento di dati personali per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri potrebbe essere soggetto a norme nazionali specifiche.
È importante sottolineare che anche in presenza di queste eccezioni, è sempre consigliabile valutare attentamente la propria situazione e, in caso di dubbi, consultare un esperto in materia di protezione dei dati.
Cosa sono i dati personali?
Dati personali sono tutte quelle informazioni che permettono di identificare, direttamente o indirettamente, una persona fisica. Si tratta di un concetto molto ampio che va ben oltre i soliti dati anagrafici.
Esempi di dati personali:
- Dati identificativi diretti: nome, cognome, data di nascita, luogo di nascita, codice fiscale, numero di tessera sanitaria.
- Dati identificativi indiretti: indirizzo IP, cookie, numero di telefono, indirizzo email, immagini, impronte digitali, dati biometrici, geolocalizzazione.
- Dati sensibili: dati che rivelano l’origine razziale ed etnica,le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, dati genetici, dati biometrici, dati relativi alla salute o alla vita sessuale.
Perché i dati personali sono così importanti?
La protezione dei dati personali è fondamentale per garantire la privacy delle persone. Il GDPR (Regolamento Generale sulla Protezione dei Dati) è una normativa europea che ha introdotto regole più stringenti per la tutela dei dati personali, riconoscendo il diritto di ogni individuo a controllare le proprie informazioni personali.
Categorie speciali di dati
Non è possibile trattare i dati personali riguardanti:
- la razza o l’origine etnica
- l’orientamento sessuale
- le opinioni politiche
- le convinzioni religiose o filosofiche
- l’appartenenza sindacale
- dati genetici, biometrici o sanitari ad eccezione di casi specifici (ad esempio quando è stato dato un consenso esplicito o quando il trattamento è necessario per ragioni di interesse pubblico rilevanti sulla base del diritto nazionale o dell’UE)
- dati personali relativi a condanne penali e reati, a meno che il trattamento non venga autorizzato dal diritto nazionale o dell’UE.
Chi effettua il trattamento dei dati personali?
Il trattamento dei dati personali è un’attività che coinvolge diverse figure. Le principali sono:
- Titolare del trattamento:È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri,determina le finalità e i mezzi del trattamento di dati personali.In sostanza, è chi decide cosa fare con i dati e perché.
- Responsabile del trattamento:È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto deltitolare. In pratica, è chi esegue materialmente il trattamento dei dati su indicazione del titolare.
- Incaricato del trattamento: È la persona fisica autorizzata a trattare dati personali sotto l’autorità diretta del titolare o del responsabile. Si tratta di persone che svolgono compiti specifici all’interno dell’organizzazione.
Esempi di responsabili del trattamento dati:
- Un’azienda che raccoglie i dati dei suoi clienti per inviare offerte commerciali è il titolare del trattamento.
- Una società esterna a cui l’azienda affida la gestione della propria mailing list è il responsabile del trattamento.
- Un dipendente dell’azienda che inserisce i dati dei clienti nel database è un incaricato del trattamento.
Perché è importante conoscere queste figure?
- Responsabilità: Ogni figura ha specifiche responsabilità in materia di protezione dei dati.
- Diritti degli interessati: Gli interessati (cioè le persone cui si riferiscono i dati) possono rivolgersi a ciascuna di queste figure per esercitare i propri diritti (ad esempio, il diritto di accesso, il diritto alla rettifica, il diritto alla cancellazione).
- Controllo: Conoscere chi tratta i propri dati permette di avere un maggiore controllo sulla loro gestione.
Chi controlla come vengono trattati i dati personali all’interno di un’azienda?
Il controllo sul trattamento dei dati personali all’interno di un’azienda è un compito condiviso tra diverse figure e autorità:
- Titolare del trattamento: È la figura principale responsabile. Definisce le finalità e i mezzi del trattamento, ovvero decide cosa fare con i dati e perché. Deve garantire che il trattamento sia conforme al GDPR e ad altre leggi applicabili.
- Responsabile della protezione dei dati (RPD o DPO): È una figura obbligatoria in determinate circostanze (ad esempio, per aziende con un numero elevato di dipendenti o che trattano dati sensibili su larga scala). Il suo compito è quello di vigilare sul rispetto della normativa sulla privacy all’interno dell’organizzazione, fornendo consulenza al titolare e ai dipendenti.
- Incaricato del trattamento: Sono le persone che trattano i dati per conto del titolare, seguendo le sue istruzioni. Devono essere informati sulle loro responsabilità e sulle misure di sicurezza da adottare.
- Dipendenti: Tutti i dipendenti che entrano in contatto con dati personali devono essere consapevoli delle loro responsabilità e rispettare le procedure interne.
- Autorità Garante per la Protezione dei Dati Personali: È l’autorità indipendente che ha il compito di vigilare sul rispetto della normativa sulla privacy e può effettuare controlli e sanzionare le violazioni.
Come avviene il controllo:
- Registro dei trattamenti: Il titolare deve tenere un registro aggiornato di tutte le attività di trattamento, indicando le finalità, le categorie di dati, le misure di sicurezza adottate, ecc.
Valutazione d’impatto: Per i trattamenti che presentano un alto rischio per i diritti e le libertà degli interessati, il titolare deve effettuare una valutazione d’impatto sulla protezione dei dati.
Misure di sicurezza: Il titolare deve adottare misure tecniche e organizzative adeguate per garantire la sicurezza dei dati personali.
Formazione del personale: Il personale deve essere adeguatamente formato sulle norme sulla privacy e sulle procedure interne.
Diritto di accesso degli interessati: Gli interessati hanno il diritto di accedere ai propri dati, di chiederne la rettifica o la cancellazione.
Collaborazione con l’RPD: Se presente, l’RPD svolge un ruolo fondamentale nel monitoraggio e nella valutazione delle misure di sicurezza adottate.
Controlli dell’Autorità Garante: L’Autorità Garante può effettuare controlli a campione o su segnalazione di terzi.
Quando è necessario nominare un Responsabile della Protezione dei Dati (RPD o DPO)?
La nomina di un Responsabile della Protezione dei Dati (DPO) è obbligatoria in determinate circostanze, dettate dal Regolamento Generale sulla Protezione dei Dati (GDPR).
In generale, la figura del DPO è obbligatoria quando:
- L’attività principale dell’organizzazione consiste in operazioni di trattamento che richiedono un monitoraggio regolare e sistematico degli interessati su larga scala: Questo include attività come la profilazione su larga scala, l’analisi comportamentale estensiva o il monitoraggio di luoghi accessibili al pubblico.
- L’attività principale dell’organizzazione consiste in trattamenti su larga scala di categorie particolari di dati: Si tratta di dati sensibili come quelli relativi all’origine razziale ed etnica, alle opinioni politiche, alle convinzioni religiose o filosofiche, alla vita sessuale, alla salute, ecc.
- L’organizzazione è un’autorità pubblica: Tutte le amministrazioni pubbliche sono tenute a nominare un DPO, con alcune eccezioni.
Esempi di organizzazioni che potrebbero necessitare di un DPO:
- Ospedali: Trattano grandi quantità di dati sanitari sensibili.
Aziende di sicurezza: Monitorano luoghi pubblici e raccolgono dati biometrici. - Aziende di marketing digitale: Effettuano profilazione degli utenti su larga scala.
- Istituti di credito: Gestiscono dati finanziari sensibili.
Perché è importante avere un DPO?
Il DPO ha il compito di:
Vigilare sul rispetto del GDPR: Assicura che l’organizzazione adotti le misure tecniche e organizzative necessarie per proteggere i dati personali.
Fornire consulenza: Offre consulenza al titolare del trattamento e ai dipendenti in materia di protezione dei dati.
Cooperare con l’autorità di controllo: Agisce come punto di contatto per l’autorità garante della privacy.
In sintesi:
La nomina del DPO è un obbligo che nasce dalla necessità di garantire un livello adeguato di protezione dei dati personali, soprattutto quando si trattano grandi quantità di dati o dati particolarmente sensibili. La presenza di un DPO assicura una maggiore trasparenza e accountability nei processi di trattamento dei dati.
È importante sottolineare che la valutazione della necessità di un DPO deve essere effettuata caso per caso, tenendo conto delle specifiche attività di trattamento svolte dall’organizzazione.
Il mio sito Web WordPress / o Sito ecommerce WooCommerce deve essere compatibile con il GDPR?
Certo che sì.
Se il tuo sito Web WordPress o il sito e-commerce creato con WooCommerce o Magento o qualsiasi altra piattaforma ecommerce raccoglie dati personali di utenti provenienti dall’UE, è necessario ottenereo una conformità al GDPR.
In altre parole, tutti i siti Web che raccolgono le informazioni personali di individui e cittadini all’interno dell’UE rientreranno nella giurisdizione del GDPR.
Ok ora immaginiamo già l’espressione sul tuo viso: ti stai chiedendo cosa siano i dati personali, giusto?
Un indirizzo email è considerato dato personale, per esempio?
Il GDPR ha una chiara definizione per ciò che è un dato personale e tra poco lo spiegheremo.
Non vendo nulla tramite il mio sito WordPress! Devo rispettare anche io il GDPR?
L’obiettivo del GDPR non è il tipo di sito Web o negozio che stai gestendo. Il regolamento non se ne preoccupa affatto.
La cosa principale su cui GDPR ingerisce sono i dati e quindi può influire anche su un semplice modulo di contatto che sta su una delle tue pagine.
Ti aiutiamo noi!
I nostri esperti in WordPress GDPR Management potranno aiutarti a rendere conforme il tuo sito e anche i tuoi messaggi.
Contattaci subito.
Quindi:
Se hai un sito Web WordPress e disponi di un modulo di commento, e le persone mettono
il loro nome e indirizzo email nel modulo di commento, stai raccogliendo un dato personale.
E se il tuo sito web è raggiungibile dalle persone che vivono nell’Unione europea, stai
raccogliendo dati personali da persone nell’Unione europea.
Quindi ogni Sito web WordPress è potenzialmente toccato da questo nuovo regolamento.
Come chiedere indirizzi stradali
Gli indirizzi stradali sono un caso più specifico relativo all’eCommerce o
Siti web basati su WooCommerce che richiedono queste informazioni durante il checkout e sono
trattati allo stessa stregua degli indirizzi e-mail sotto il GDPR.
Spieghiamo:
Puoi chiedere l’indirizzo alla fine per la convalida della carta di credito,
a seconda del fornitore di servizi di pagamento che stai utilizzando.
Quindi la regola di cui sopra, continua a reggere: se
la transazione non funziona senza l’indirizzo, allora è necessario
raccogliere questo dato utente, quindi sicuramente puoi.
D’altra parte, se non ne hai strettamente bisogno per processare l’acquisto e il pagamento, valuta di non raccoglierlo.
Gli indirizzi stradali sono importanti nei download digitali e nei pagamenti online perché il crimine informatico e le frodi sono uno dei maggiori fastidi del commercio elettronico oggi e se un cliente sta usando una carta rubata, questa può essere verificata analizzando se l’indirizzo fornito corrisponde a quello della carta.
E’ importante ricordare che non è necessario il consenso per raccogliere dati personali che sono necessari per la transazione.
Quindi, la richiesta di indirizzi stradali non è particolarmente problematica, perchè essenziale dato per processare un ordine.
Il problema nasce invece con i carrelli abbandonati e le pagine di pagamento.
Attenendosi alle questioni relative alla profilazione per il marketing, i carrelli abbandonati alla cassa sono una zona grigia, questo perché un alcuni negozi online catturano l’indirizzo e-mail del cliente
non appena inserito, anche quando non completano il rispettivo
Acquisto.
Quindi:
Il problema con i carrelli abbandonati e il checkout abbandonato per gli utenti che non hanno acquistato da te è una grande area grigia.
E quando dico area grigia, voglio dire, che un’interpretazione del GDPR potrebbe indicare che le pratiche attualmente in uso per il carrello abbandonato costituiscono una violazione del requisito del consenso. Molti negozi acquisiscono l’indirizzo e-mail prima di aver compiuto azioni e quindi inviano un messaggio e-mail un paio di giorni dopo, dicendo:
“Abbiamo notato che hai riempito questo nel carrello. Vuoi riprendere ora il tuo acquisto?”
Come è stato raccolto il consenso lì?… per caso NoN è stato raccolto?
La prima risposta a questa domanda cruciale è che:
non hanno ottenuto alcun consenso esplicito da parte del cliente.
Quindi, se stai semplicemente raccogliendo in silenzio gli indirizzi email dalle tue pagine di pagamento e non fai nulla per ottenere un consenso esplicito, è molto probabile che ciò non rientri nello spirito del GDPR.
Quindi, come si può ottenere un consenso esplicito per inviare email per riprendere un carrello abbandonato?
È difficile fornire una soluzione valida per tutti, senza conoscere il tuo caso specifico, ma ce n’è uno relativamente semplice da implementare.
In particolare, come per altri tipi di moduli, devi avere la possibilità di far dare esplicitamente il permesso – “spuntare per attivare” – per memorizzare i dati dell’utente attraverso il tuo modulo di verifica.
Ma non solo; in questo specifico scenario, il tuo modulo dovrebbe avere anche
una sorta di spiegazione di quando inizia il processo di checkout, perché è da quel momento
che è necessario il consenso esplicito per raccogliere i dati dell’utente.
Quindi:
Non puoi semplicemente dire sui tuoi moduli: ‘Accetto l’utilizzo dei dati su questo sito’ perché questo non riguarderà i carrelli abbandonati “.
Dovresti avere, per esempio, qualcosa che dica: “la procedura di pagamento non inizia se nessuno è espressamente d’accordo alla raccolta di carrelli abbandonati ‘e mettere in atto una funzionalità personalizzata che si innesca se le condizioni sono soddisfatte.
Questo sarebbe un assenso. Ma, e questo è importante, è ancora necessario consentire di terminare il pagamento se l’utente non accetta la procedura del carrello abbandonato. Non puoi negargli il servizio basato su questo.
Non si deve mai dimenticare che, in base al GDPR, non è consentito abilitare un servizio se
la gente ha rinunciato ad esso.
L’opt-in silenzioso o soft non è più accettabile per il consenso di GDPR.
Invio di e-mail ai tuoi clienti e utenti sotto GDPR
Moduli di contatto, pagine di checkout incomplete, pagine per download di risorse e simili,
hanno tutti lo stesso scopo: raccogliere l’indirizzo email di qualcuno e ulteriori dettagli. Ecco perché dopo che il GDPR entrerà in gioco, le cose cambieranno.
Uno dei principali problemi con le informazioni personali raccolte sui siti Web è che, una volta create le liste email, alcuni bombardano la casella di posta del cliente con
email promozionali. Oppure segmentano le loro mailing list e iniziano a promuovere un prodotto completamente diverso per le stesse persone (che non hanno optato ).
Ecco su cosa concentrarti: l’opt-in e per che cosa opta la gente.
Se la tua newsletter menziona sempre prodotti e invii link di affiliati dovresti rivelarlo – è il tuo lavoro!
Va bene, perché i tuoi utenti hanno dato il consenso. Tuttavia, il GDPR ti colpirà molto se prendi questi clienti che hanno optato per la tua newsletter e li inserisci in un elenco separato per inviare pubblicità, che è un lavoro completamente diverso, e questo sarebbe una violazione della privacy del cliente.
Anche qui, l’opt-in silenzioso o soft non è più accettabile. Quindi, per esempio:
Caselle per iscriversi alla newsletter pre-smarcate dovranno essere rimosse come recita il recital 32,:
Silenzio, caselle pre-spuntate o inattività non costituiscono assenso.
GDPR ESEMPIO
Come ottimo esempio, citiamo il negozio online di Jimmy Choo:
Capitolo 3 (GDPR WordPress)
Come preparare il tuo Sito Web WordPress o WooCommerce per il GDPR?
La risposta in breve, prepara una strategia.
Una strategia che permetta di raccogliere, e archiviare dati e proteggerli come richiede il regolamento. ma anche una che preveda le procedure che ogni gestore di siti web / o negozio dovrà implementare in caso di violazione dei dati, portabilità dei dati, e la cancellazione dei dati.
Questo è un buon punto di partenza infatti la cosa principale su cui punta il GDPR è l’arricchimento della sicurezza dei dati personali.
E questo passa attraverso una revisione della strategia di raccolta dei dati degli utenti, che va al di là di come li gestisci e memorizzi.
Nello specifico, devi modificare tutto il contenuto e deselezionare tutte le opzioni dei tuoi moduli.
Quindi lascia che le persone si iscrivano senza dar loro qualcosa direttamente, che non è espressamente richiesto, chiedi quindi chiaramente il consenso del cliente.
Ottenere il consenso può rendersi difficile sui siti WordPress WooCommerce.
La caratteristica più basilare introdotta da GDPR è che, sebbene la richiesta di consenso fosse in atto
già prima, ora deve essere chiesta in modo molto chiaro ed esplicito.
Quindi:
Il consenso deve essere chiaro, molto chiaro. La parola usata nel testo del regolamento GDPR è”inequivocabile”.
Quindi non può esserci più un: “Accetto, che i miei dati potrebbero essere inseriti in una lista di newsletter”.
No, deve dire “Accetto, che i miei dati siano usati a fini di Marketing e inseriti in una lista newsletter Pubblicitaria” e quindi devono esserci chiari riferimenti specifici, a come quei dati verranno utilizzati.
E così via in tutti gli altri punti di contatto del sito web o negozio online.
Inoltre, il consenso deve essere espresso per ciascuno degli scopi per cui si stanno raccogliendo
dati e ancora si deve raccogliere il consenso in ogni occasione in cui il dato venga richiesto, anche se più volte in pagine diverse.
In fine devi descrivere il motivo per cui lo stai usando.
Per i form di WooCommerce sono necessarie delle modifiche per renderli conformi.
Premettiamo che è in fase di Testing la versione Woocommerce 3.4 che avrà delle novità in termini di GDPR.
Alcune caratteristiche sono:
- Possibilità di aggiungere testo della privacy policy alle pagine di checkout e account
- Strumenti per ripulire (trash) e rendere anonimi vecchi ordini che non richiedono più l’elaborazione.
- Strumenti per rimuovere alcuni campi opzionali dal checkout.
Quindi:
Nel contesto WooCommerce, ci sono un paio di complicazioni che potrebbero essere
più complesse da gestire per ottenere il consenso su:
- carrelli abbandonati,
- ordini di pagamento abbandonati
- la segmentazione dei clienti basata sugli ordini.
Per esempio se stai usando un servizio come MailChimp, e l’hai collegato ai dati del tuo sito eCommerce che segmenta i clienti in base ai precedenti acquisti.
Per cose come questa, avrai bisogno di ottenere il consenso, e questo diventa piuttosto complesso nell’area di check out, perché dovrai aggiungere un area di consenso in più.
Come titolare di un sito ecommerce dovrai ragionare su alcune domande che saranno strettamente correlate
alle decisioni aziendali, come :
- Ok, cosa è più importante per noi?
- In quale caso, avremo bisogno di ottenere un consenso specifico?
- Dovremo smettere di segmentare i nostri utenti come facciamo ora?
Quali sono le primissime cose che devono essere implementate per essere conformi al GDPR?
Ci sono un certo numero di funzionalità che devono essere implementate in conformità con questa nuova legge, 3 sono le aree principali.
3 aspetti su cui concentrarsi immediatamente per il sito web:
- Notifica di violazione
- Raccolta, elaborazione e archiviazione dei dati
- in che modo i plug-in in esecuzione sul tuo sito web / negozio trattano i dati dall’utente
Per aiutarti, ci sono plugin gratuiti per WordPress già disponibili su repository.
3 cose poco famose ma essenziali che devi fare
Per ravvivare un pò le cose, il nuovo regolamento UE, sebbene sia principalmente focalizzato su aspetti tecnici che riguardano la raccolta, l’elaborazione e l’archiviazione dei dati, lo faranno richiedono anche altre importanti attività da affrontare.
In particolare, il GDPR richiede la tua attenzione su diverse aree e attività che hanno poco a che vedere direttamente con ciò che è necessario sviluppare per conformarsi, ma piuttosto con strumenti di terze parti che stai utilizzando e altre aree più vicine ai problemi di Usabilità del sito web.
Quindi, quali sono queste tre attività chiave meno conosciute e di cui è necessario occuparsi?
1. Discutere la situazione con i fornitori di servizi di terze parti
Dato che il GDPR è interamente basato su dati e privacy, prima di tutto dovrai capire come
tutti i fornitori di servizi che gestiscono i dati utente con cui lavori si approcciano al GDPR.
Soprattutto, devi indagare su ciò che verrà fatto dato che il GDPR diventa effettivo a maggio.
Se hai un background tecnico e una buona conoscenza di GDPR, potresti fare una chiamata con i loro sviluppatori e richiedere informazioni nel merito dei loro rispettivi plugin / strumenti, a volte basta chiedere. Se non ti senti a tuo agio nel farlo, puoi chiedere a un esperto WordPress di verificare quali plugin stai usando e se questi abbiano bisogno di essere adeguarsi al GDPR.
Agli sviluppatori dei tuoi plugin potresti, qualcosa del tipo: “Pensiamo che il tuo strumento o il tuo servizio web possa infrangere il GDPR. Quali misure hai messo in atto per adeguarlo? Questi potrebbero rispondere: “Ok qui, trovi la procedura di opt-in, è così
appare sullo schermo poco prima del pagamento. Se le persone decidono di eseguire l’ opt-in, archiviamo i loro dati. Se
dicono di no, lo spegniamo. “
Questo è un aspetto importante di cui devi essere a conoscenza, in quanto un’ azienda che utilizza uno strumento o servizio, deve comunicarlo nella proprio documento privacy.
Ovviamente, tieni presente in quale misura strumenti o servizi di terze parti gestiscono i tuoi dati utente.
Fornitori di terze parti a cui vuoi chiedere in merito alla conformità GDPR:
- Hosting
- Provider di script di terze parti
- Spedizionieri e partner di spedizione
- Sviluppatori di plug-in che raccolgono e archiviano i dati utente attualmente utilizzati (o pianificati)
- I fornitori di servizi di invio email
- Aggiorna la tua politica sulla privacy e le note sulla privacy
Considerato quanto sia vasto il dominio del GDPR per un sito Web o un negozio online, una revisione importante
della tua attuale documentazione sui dati dell’utente e sulla privacy è decisamente necessaria.
Come richiesto nel Capitolo # 3, art. 12, è necessario trasmettere tutte le informazioni relative a come
gestisci ed elabori i dati dell’utente con le seguenti modalità:
- In un linguaggio chiaro e semplice;
- Facilmente accessibile;
- Conciso;
- Trasparente;
- Intellegibile;
- Accesso al documento Gratuito;
Ciò significa, ovviamente, che la tua politica sulla privacy e le note sulla privacy potrebbero dover essere riviste per riflettere questi requisiti.
3. Usa icone coerenti (e attendi fino a quando le icone standard saranno rilasciate)
Il consenso esplicito per ottenere informazioni personali è la chiave di volta del GDPR, ma non è l’unica base legale su cui appoggiarti . Qualsiasi sito web o negozio – anche il tuo – che raccoglie i dati personali e le informazioni dovrà esporre icone che faciliteranno i suoi utenti a capire nel dettaglio il consenso che stanno per dare.
Il GDPR è molto specifico a riguardo: le icone devono essere coerenti. E riguardo a questo, i legislatori che hanno creato il GDPR vogliono vedere uno standard globale, che è in arrivo per le icone relative ai dati personali.
Non c’è ancora nulla di pronto, ma molto presto lo sarà. Tenetevi pronti a vedere spuntare qualcosa a riguardo, molto a breve.
Per un’idea migliore su queste icone sulla GDPR, ecco un progetto accademico di Aza Raskin di Mozilla che ha sviluppato delle icone sulla privacy ispirate da Creative Commons che sembrano semplificare l’informativa sulla privacy.
I vantaggi delle icone standard
Una volta che le persone inizieranno ad abituarsi a vedere un nuovo set di icone che riguardano le loro preoccupazioni in fatto di privacy, questo è il momento giusto per far lavorare un specialista UX e un designer che disponga queste icone
sul sito web o negozio online in modo corretto, e che consente agli utenti di sentirsi a proprio agio.
Quindi: I visitatori del tuo sito Web cominceranno ad abituarsi a vedere queste icone. Cominceranno a dire: “Ok, questa rappresenta il consenso su come sono utilizzati i miei dati. ‘ Oppure smarcheranno alla cieca il consenso perché sono già abituati all’icona.
GDPR: Cosa succede?
Il GDPR non è un argomento facile da capire. Lo sappiamo. E porta un nuovo set di norme severe che governano la maggior parte dei siti web. Particolarmente, siti WordPress e WooCommerce che raccolgono dati dai clienti.
Ci sono una enorme varietà di modi in cui il GDPR sarà applicato su siti web che raccolgono
informazioni personali da utenti residenti in UE.
Primo fra tutti è quello per cui ogni dato raccolto, deve essere ottenuto chiedendo esplicitamente il consenso del cliente e
affermando lo scopo esatto di dove e come verranno utilizzati i dati.
Ciò significa che il consenso dell’utente deve essere raccolto senza oscurare ogni minimo dettaglio.
Dato il numero di cose che devono essere cambiate, o almeno modificate per fare un
Sito web WordPress o un negozio WooCommerce compatibile con il GDPR, quale dovrebbe essere il prossimo passo?
Ti suggeriamo di iniziare a valutare qual è il tuo stato attuale verificando quale tipo di dati raccogli e come
li stai acquisendo dal tuo utente.
Ciò darà un quadro chiaro delle aree su cui sarà necessario agire per renderlo compatibile con il GDPR e creare una lista di lavori prioritari e secondari.
Puoi farlo fare ad uno specialista per te o farti aiutare a capire cosa deve essere fatto prima.
Ciononostante, tutti i siti Web e i negozi online dell’UE dovranno conformarsi e, lo sai anche tu, il 25 maggio non è poi così lontano.
Ma non dimenticare, però: il GDPR è un importante atto legislativo che sta per scuotere (in realtà lo sta già facendo) molto di ciò che il mercato conosce e faceva al giorno d’oggi, il flusso giornaliero di transazioni, comunicazioni, raccolta dati e così via. I tuoi affari,
sia che si tratti di un sito web WordPress o di un negozio WooCommerce, saranno un pò ritoccati dal GDPR.