Shopify e conformità al GDPR.

La sua semplicità, unita alla sua grande versatilità, rende Shopify una piattaforma completa per sviluppare il proprio negozio online in maniera autonoma e sicura.

Proprio l’autonomia, che consente a migliaia di piccoli commercianti (ma anche realtà ben più strutturate) di gestire in proprio il sito ecommerce, porta con sè la necessità di una conoscenza almeno basilare delle necessità di conformità a privacy e cookie law, che sono ancor più incombenti con l’applicazione ormai completa del Regolamento UE 2016/679 (più noto con l’acronimo GDPR).

In particolare, per le attività che hanno sede o vendono all’interno dell’Unione Europea, sorge la necessità di essere in regola con le prescrizioni del GDPR ovvero il Regolamento UE 2016/679.

In questo vademecum affronteremo alcune delle domande ricorrenti che i nostri clienti ci sottopongono relativamente al GDPR per il proprio sito ecommerce. Le risposte valgono in generale per ogni sito ecommerce e in particolare, data la nostra specializzazione, per i siti realizzati su piattaforma Shopify.

 

Il GDPR si applica al mio sito web?

Perché devo adeguare il mio sito web Shopify al GDPR

Cos’è la conformità al GDPR di un sito ecommerce Shopify?

Quali dati vengono trattati da un sito ecommerce come Shopify?

Cosa fare per essere in regola con il GDPR se si ha un sito ecommerce?

Come organizzo l’adeguamento al GDPR del mio sito ecommerce Shopify?

Cos’è un cookie banner? Il mio ecommerce Shopify deve avere un cookie banner per essere conforme al GDPR?

Cos’è il registro dei consensi di un sito web? È obbligatorio per il mio ecommerce Shopify avere un registro dei consensi?

Come realizzare l’informativa privacy conforme al GDPR per un sito e-commerce?

 

Il GDPR si applica al mio sito web?

Il GDPR deve essere rispettato sia dalle organizzazioni con sede nell’Unione Europea sia da quelle che, pur avendo sede al di fuori dell’UE, elaborano, trattano e raccolgono i dati dei cittadini di uno dei 28 stati membri.

Qualsiasi organizzazione del mondo che si rivolge a soggetti dell’Unione europea deve rispettare il nuovo regolamento GDPR.

Il GDPR si applica quindi anche ai siti web? Se attraverso il sito avviene un qualsiasi trattamento di dati personali che, da soli o congiuntamente, possano far risalire al titolare certamente sì.

Va considerato che anche il semplice indirizzo IP dell’utente è considerato dato personale, pertanto possiamo affermare che qualsiasi sito web tratta dati personali ed è pertanto soggetto al Regolamento UE 2016/679 (GDPR).

 

Perché devo adeguare il mio sito web Shopify al GDPR?

Adeguare il sito ecommerce al GDPR è spesso visto come un obbligo, una necessità di cui si farebbe volentieri a meno.

In realtà, oltre ad evitare alla nostra attività possibili contestazioni, sanzioni e provvedimenti che potrebbero impedirci l’utilizzo dei dati (con il conseguente blocco delle attività) è un’opportunità per mettere a fuoco i processi aziendali che trattano tali dati.

Uno dei principi su cui poggia il GDPR è la minimizzazione dei dati: l’art. 5 del regolamento prevede che i dati debbano essere “limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. Quindi non devono essere trattati (e nemmeno raccolti) dati non necessari.

Per un imprenditore, evitare un’attività inutile o limitarla allo stretto necessario significa risparmiare tempo e denaro. Ecco quindi che il GDPR diventa un incentivo ad ottimizzare il flusso delle informazioni e delle attività di trattamento.

Nello specifico di un sito e-commerce, come arrivano le informazioni personali dei suoi utenti? Quasi sempre grazie ad un form compilato dall’utente.

Sono richiesti solo i dati necessari? Dove vanno a finire? Chi li tratta sa cosa farne? Il sistema di conservazione è sicuro? Rispondere a queste domande significa migliorare l’organizzazione, renderla più efficiente e quindi più produttiva.

Ma rispondere a queste e ad altre analoghe domande, significa anche adeguarsi al GDPR.

Qual è l’utilità di raccogliere tante informazioni che poi non verranno mai utilizzate? Per fornire un servizio di newsletter, ad esempio, ha senso chiedere agli utenti anche il numero di telefono o l’indirizzo fisico?

Un utente al quale vengono richieste informazioni palesemente non necessarie sarà disincentivato dal fornircele e, se il nostro obbiettivo era aumentare la platea del nostro pubblico, in tal modo otterremo il risultato opposto .

Anche in questo caso, rispondere alle domande di cui sopra non solo aiuta ad essere in linea con il regolamento europeo 2016/679 e magari a evitarci le temute sanzioni, ma è un’attività che ha un ritorno positivo sulle nostre attività di marketing.

 

Adeguare il tuo ecommerce Shopify al GDPR è un’ottima (e indispensabile) strategia di marketing per vendere online.

Un vantaggio significativo dell’adeguamento alle prescrizioni del Regolamento UE 2016/679 è quello di individuare con precisione il flusso delle informazioni, un’attività che ti aiuterà ad organizzare meglio il lavoro. Rispondere alle semplici domande di un data protection officer ti aiuterà anche a risalire lungo tutto il processo organizzativo e, di conseguenza, a migliorarlo.

Una ulteriore ragione per essere conformi al GDPR è relativa alla “responsabilità sociale” connessa al trattamento dei dati personali: la tutela della privacy è un diritto fondamentale della persona e una necessità imprescindibile della società moderna. Conoscere le normative ed essere attenti con i dati che ci vengono forniti ci autorizza ad esigere altrettanta chiarezza e cura nel trattamento dei nostri dati personali, nella vita di tutti i giorni e nelle attività di business.

 

Cos’è la conformità al GDPR di un sito ecommerce Shopify?

Sarà un’affermazione datata e scontata, ma il sito ecommerce è a tutti gli effetti la vetrina dell’azienda. Possiamo avere uffici moderni, una produzione all’avanguardia e magazzini efficienti, ma i nostri utenti decideranno se meritiamo fiducia principalmente in base all’idea che si faranno della nostra attività online.

Visitando il nostro sito si renderanno immediatamente conto se siamo compliant con la privacy e il GDPR: lacune e superficialità nel trattare questi temi ci possono rendere poco credibili rispetto a quanto promettiamo. Un progetto di e-commerce deve quindi unire le esigenze dell’esperienza di acquisto alla protezione dei dati personali.

L’intervento di un consulente privacy può essere molto utile per validare il progetto o il sito in produzione, verificando che siano rispettati i principi di trasparenza, limitazione, minimizzazione, conservazione dei dati personali fino al termine del loro ciclo di vita, ovvero quando i dati saranno cancellati.

Tre importantissimi elementi dei quali ci si dovrà preoccupare sono:

• La raccolta di dati personali effettuata attraverso i form presenti sul sito
• La raccolta e lo scambio con fornitori terzi di informazioni raccolte tramite cookie
• La predisposizione di un documento di “privacy policy” che spieghi al titolare dei dati (l’utente) come tratteremo i dati che vorrà fornirci.

Predisporre correttamente quanto necessario per adempiere al GDPR e alle prescrizioni del Garante renderà il nostro sito conforme, dichiarando in tal modo ai nostri visitatori che meritiamo fiducia e considerazione.

 

Quali dati vengono trattati da un sito ecommerce come Shopify?

È inevitabile che un sito ecommerce raccolga i dati dell’utente che lo visita.  Possiamo suddividere i dati raccolti in 3 macrocategorie:

• Dati di navigazione, sono quelli raccolti attraverso i cookie tecnici utilizzati dal sito internet che ne permettono il corretto funzionamento, ma anche quelli che servono alle statistiche e preferenze di utilizzo;
• Dati dell’utente raccolti attraverso la compilazione volontaria di un form (di contatto, di supporto o per l’iscrizione a un servizio quale la newsletter)
• Dati del cliente, indispensabili per poter evadere l’acquisto di un prodotto o servizio.

Per ogni tipologia di trattamento effettuato è necessario individuare nel GDPR (art. 6) se sussiste la liceità al trattamento per l’uso che se ne vorrebbe fare.

 

Cosa fare per essere in regola con il GDPR se si ha un sito ecommerce?

Per la natura del suo servizio, un sito ecommerce raccoglie e tratta molti dati personali e quindi deve prestare particolare attenzione al rispetto delle prescrizioni del Regolamento UE 2016/679.

Durante l’attività di verifica e di adeguamento al GDR del tuo sito Shopify dovrai prestare particolare attenzione a:

• form di registrazione utenti;
• form di contatto;
• form di iscrizione alla newsletter;
• sezioni di commento agli articoli e recensioni dei prodotti o servizi;
• tool di analisi del traffico (es. Google Analytics, Facebook insight, ecc.);
• strumenti e tools di marketing e newsletter.

In ognuno di questi casi, infatti, avviene una raccolta o trattamento di dati personali, ovvero utili a identificare una persona, quali il nome e cognome, l’indirizzo email, l’indirizzo IP, le coordinate bancarie, i dati raccolti tramite cookie, ecc.

Il GDPR introduce il principio dell’accountability: in virtù di tale principio, il Regolamento dispone che “il titolare del trattamento adotti politiche e attui misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme”.

In quest’ottica ecco alcuni suggerimenti che possono farti da guida nel raggiungere la conformità al GDPR:

• Verifica che i trattamenti effettuati siano leciti, ai sensi dell’art. 6 del GDPR.
• Se per il trattamento è richiesto il consenso del titolare dei dati, assicurati di ottenere un consenso chiaro e specifico per ogni trattamento di dati che intendi effettuare.
• Raccogli solo i dati necessari per fornire il servizio richiesto.
• Sii trasparente sulla tua conformità al GDPR. Termini e condizioni, dichiarazioni privacy, gestione dei cookie devono essere chiari e facilmente consultabili.
• Fai attività di marketing? Verifica che gli strumenti che utilizzi siano conformi al GDPR.
• Condividi i dati con servizi e fornitori esterni? Verifica che abbiano adeguato le loro politiche di trattamento alle prescrizioni europee.
• Documenta i processi di trattamento dati nel caso te ne fosse richiesto prova.
• Aggiorna il sito web con le informative privacy e cookie. Nel caso di un ecommerce pubblica un documento esaustivo di termini e condizioni di vendita.
• Sii onesto. Potresti non raggiungere la totale conformità al GDPR: se dimostri di esserti impegnato nell’attività di adeguamento, le autorità di regolamentazione saranno più propense a chiudere un occhio su eventuali violazioni non gravi.

Ricorda inoltre che, pur essendo la parte più visibile dell’attività, la conformità del sito web è solo una parte del complesso iter per raggiungere la piena conformità al GDPR di tutte le attività di trattamento dati effettuate in azienda.

 

Come organizzo l’adeguamento al GDPR del mio sito ecommerce Shopify?

Per capire come approcciarsi all’adeguamento web al GDPR sarà indispensabile fare un’analisi preventiva. Potrà essere utile predisporre un questionario che raccolga le seguenti informazioni:

• quali dati personali vengono raccolti tramite il sito?
• quali sezioni/aree del sito raccolgono dati personali?
• come viene rilasciato il consenso al trattamento dati?
• chi può accedere ai dati memorizzati?
• quale uso viene fatto dei dati raccolti (adempimento contrattuale, profilazione, marketing diretto, ecc.)
• dove vengono conservati i dati? (sia a livello tecnico che geografico)
• come vengono riconosciuti agli interessati i loro diritti relativamente al trattamento?
• per quanto tempo vengono conservati i dati?
• quale livello di sicurezza è offerto ai dati e a quali rischi sono esposti?

L’elenco qui sopra non è certo esaustivo e la complessità dell’analisi va di pari passo con la complessità e strutturazione del sito web.

Consulta anche le ulteriori risorse informative che trovi al link consentsolution.it/shopify/come-avere-un-sito-shopify-a-norma-di-legge/

 

Cos’è un cookie banner? Il mio ecommerce Shopify deve avere un cookie banner per essere conforme al GDPR?

Uno dei modi più comuni per raccogliere e condividere i dati personali online è rappresentato dai cookie dei siti internet. Ecco perché, nonostante i cookie siano menzionati una sola volta nel GDPR, il consenso all’utilizzo di questa tecnologia riveste un ruolo primario per la conformità di un sito web che tratta dati di utenti situati nell’UE.

In virtù del GDPR, il “consenso” all’utilizzo dei cookie è il fondamento giuridico più frequentemente utilizzato dai siti web per poter trattare ed eventualmente condividere con servizi terzi i dati personali.

L’interpretazione normativa più accreditata, prevede che i siti web debbano soddisfare i seguenti requisiti per l’utilizzo dei cookie:

• Il consenso preventivo ed esplicito dall’utente, ottenuto prima di qualsiasi attivazione dei cookie, ad eccezione dei cookie indispensabili al funzionamento del sito.
• Il consenso raccolto deve essere specifico, ovvero l’utente deve poter attivare alcuni cookie, lasciandone al contempo disattivati altri: non può essere costretto ad acconsentire o a rifiutarli tutti.
• Il consenso deve essere prestato liberamente, cioè non deve essere carpito forzatamente.
• Il consenso deve poter essere revocato con la stessa facilità con cui è stato fornito.
• Il consenso deve essere custodito in modo sicuro, con eventuale finalità legale probatoria.
• Il consenso deve essere rinnovato con la frequenza indicata dalle differenti normative nazionali (generalmente dopo 6 mesi o un anno).

La conformità al GDPR per quanto riguarda i cookie viene in genere raggiunta grazie al cookie banner. Ovvero una finestra informativa e di scelta che permette all’utente, quando visitano un sito, di selezionare e accettare l’attivazione di determinati cookie piuttosto che altri.

Anche se non hai attivato servizi di statistiche o remarketing di Google o Facebook, il tuo sito ecommerce Shopify utilizza molti cookies, alcuni di tipo tecnico, altri con funzionalità prestazionali ed altri ancora con finalità di marketing. È pertanto indispensabile che venga installato e configurato un cookie banner specifico che consenta all’utente una selezione cosiddetta “granulare” di quali cookie accettare e quali eventualmente rifiutare.

Vuoi saperne di più? Puoi trovare informazioni specifiche al link consentsolution.it/shopify/il-tuo-banner-cookie-shopify-e-conforme-al-gdpr/

 

Cos’è il registro dei consensi di un sito web? È obbligatorio per il mio ecommerce Shopify avere un registro dei consensi?

Secondo quando stabilito dal GDPR, il consenso al trattamento dei dati personali deve essere:

• Informato,

• Specifico,

• Libero,

• Revocabile,

• Documentabile.

Quest’ultima prescrizione impone al titolare del trattamento di poter dimostrare che l’interessato ha prestato consenso a uno specifico trattamento. Nel caso di un sito web, la modalità più utilizzata per prestare il consenso è mediante form di raccolta dati.

Nasce quindi l’esigenza di raccogliere quelle informazioni che possono aiutare a dimostrare il corretto rilascio del consenso da parte dell’utente. Per farlo è utile memorizzare una serie di informazioni aggiuntive che documentino le condizioni in cui è stato raccolto il consenso: l’indirizzo IP dell’utente, data e ora del rilascio, informativa privacy in vigore al momento del consenso, l’esatta composizione del form di raccolta dati, ecc.

Tutte queste informazioni devono essere salvate su un supporto sicuro e non modificabile e devono poter essere recuperate con facilità nel caso sia necessario adempiere all’onere della prova. Una “Consent solution” ha lo specifico scopo di adempiere a questa necessità e non è da confondere con il Registro consensi cookie, che ha un ambito di applicazione differente.

Un’ultima importante considerazione.

I dati che vengono comunicati al sito ecommerce con la specifica finalità di fornire il prodotto o servizio richiesto possono essere utilizzati solo per tale scopo. Qualsiasi altra finalità di utilizzo che richiede il consenso del titolare dei dati deve essere documentabile. In caso contrario tali dati NON sono utilizzabili e sono considerati illecitamente raccolti.

 

Come realizzare l’informativa privacy conforme al GDPR per un sito e-commerce?

Particolare attenzione va posta alla Privacy Policy, l’Informativa che spiegherà all’utente in modo semplice e chiaro come i suoi dati verranno raccolti, utilizzati e trattati.

L’informativa deve essere redatta dal Titolare del trattamento, dovrà indicare i dati di contatto del Titolare e, se nominato, del Responsabile della Protezione dei Dati, le finalità e la durata del trattamento, la base giuridica e molte altre informazioni.

Gli articoli 13 e 14 del GDPR elencano con precisione quali contenuti vanno obbligatoriamente inclusi nell’informativa sul trattamento dei dati personali.

Ecco un elenco di ciò che deve essere riportato nell’informativa privacy (o privacy policy):

1. Chi è l’interessato (ovvero la persona fisica a cui si riferiscono i dati personali).
2. Chi effettua il trattamento (cioè il titolare del trattamento).
3. Se nominato, i recapiti del DPO (Data Protection Officer) o Responsabile della Protezione dei Dati personali (RPD). La necessità di nominare un DPO deve essere valutata caso per caso, ma generalmente non è necessaria per le piccole realtà aziendali.
4. Quali sono i trattamenti effettuati e perché (il titolare del trattamento spiega come e per quali finalità tratterà i dati personali dell’interessato).
5. Qual è la base giuridica del trattamento (ovvero la motivazione che giustifica il trattamento dei dati).
6. Quali sono i dati raccolti (l’informativa deve indicare quali dati personali verranno raccolti)
7. Se il trattamento comporta operazioni automatizzate, come la profilazione (ovvero la raccolta di informazioni su un individuo o un gruppo di individui per analizzarne le caratteristiche e inserirli in categorie o gruppi e poterne fare delle valutazioni o previsioni).
8. Se i dati verranno comunicati a soggetti esterni diversi dal titolare del trattamento, cioè i responsabili esterni.
9. Per quanto tempo saranno conservati i dati e in che modo.
10. Se i dati saranno trasferiti in altri Paesi al di fuori dell’Unione Europea e dello spazio economico comunitario.
11. Quali sono i diritti dell’interessato (informazione, accesso, rettifica, ecc.).

 

Non vuoi o non puoi fare da te? Microteam ha un team specializzato per rendere in tuo sito conforme al GDPR, anche in sole 24 ore.