Back
E-commerce

Preparazione al GDPR: Un Riassunto delle Informazioni Essenziali per i Proprietari di Negozi Online

Cos’è il GDPR?

Il nuovo Regolamento Generale sulla Protezione dei Dati sostituirà il pacchetto legislativo e le linee guida dell’UE in vigore dal 1995. Le direttive, che prevalgono sulla legge nazionale di ciascun paese e sono obbligatorie per ogni titolare del trattamento che gestisce i dati dei cittadini dell’UE, sono entrate in vigore il 25 maggio 2018.

Il Regolamento Generale sulla Protezione dei Dati (GDPR) è rilevante per tutte le aziende che dispongono di database clienti e svolgono attività di marketing diretto, così come per tutti i soggetti che trattano o gestiscono i dati dei cittadini UE. Prima dell’entrata in vigore del regolamento, le aziende devono prepararsi adeguatamente, motivo per cui abbiamo selezionato i punti più rilevanti del regolamento per i proprietari di negozi online.

Vale la pena sottolineare che la maggior parte delle leggi o degli obblighi, come la necessità di essere iscritti al registro dei titolari del trattamento, cessano di essere validi dalla stessa data. Molte piccole e medie imprese in Lituania si stanno preparando in modo inadeguato all’attuazione di queste norme a causa di voci circolanti e informazioni imprecise. Lo scopo di questa guida è aiutare i proprietari di e-commerce a comprendere le pratiche corrette e necessarie, fornendo informazioni concise e specifiche.

Perché è necessario prepararsi al GDPR?

Le violazioni sono suddivise in minori e gravi. Per le violazioni minori sono previste multe amministrative fino a 10.000.000 € o, per le aziende, fino al 2% del fatturato annuo, a seconda dell’importo maggiore. Per le violazioni gravi, le sanzioni raddoppiano: fino a 20.000.000 € o fino al 4% del fatturato annuo (ancora una volta, si prende in considerazione l’importo maggiore).

Violazioni minori:

Violazione delle procedure per l’esercizio dei diritti degli interessati

Mancata cooperazione con l’autorità di controllo

Coinvolgimento improprio di responsabili del trattamento o formalizzazione inadeguata dei rapporti con loro

Trattamento dei dati effettuato dal responsabile senza le istruzioni del titolare

Mancata comunicazione delle violazioni della sicurezza dei dati

Violazioni gravi:

Violazioni del principio di limitazione della finalità e di altri principi fondamentali (esattezza, durata di conservazione, ecc.)

Trattamento di categorie particolari senza un’eccezione che lo consenta

Mancata attuazione dei diritti degli interessati

Trasferimento illecito di dati a destinatari in paesi terzi

Ad oggi circolano voci secondo cui le aziende riceveranno prima una consulenza in caso di violazioni; tuttavia, il regolamento stesso non prevede alcun avvertimento e stabilisce direttamente l’applicazione di sanzioni amministrative.

Ti interessa l’integrazione di PrestaShop? Trovi maggiori informazioni cliccando su questo link.

Concetti chiave

Dati personali – qualsiasi informazione relativa a una persona fisica identificata o identificabile, ossia informazioni su una persona la cui identità è chiara o può essere stabilita anche ottenendo dati aggiuntivi.

In questo caso, va notato che la protezione dei dati si applica alle persone fisiche, mentre tutte le nuove regole e leggi del GDPR non si applicano alle persone giuridiche. Tuttavia, l’indirizzo email di un dipendente di una persona giuridica, che include nome e cognome, è già protetto dal GDPR. Ad esempio, mario.rossi@azienda.com è considerato dato protetto, mentre info@azienda.com non lo è.

I proprietari di e-commerce dovrebbero anche prestare attenzione a dettagli come la taglia delle scarpe o dei vestiti che, se collegati a un individuo specifico, sono già considerati informazioni private protette e regolamentate. Lo stesso vale per indirizzi IP, nomi, cognomi, informazioni sull’indirizzo e altri dati evidenti.

Un altro esempio interessante: memorizzare un numero di telefono con nome e cognome in un telefono per preparare, ad esempio, un’offerta. In linea di principio, anche questo costituisce un dato regolamentato. Se non prosegui la collaborazione con il cliente (offerta inviata ma non accettata), questi dati dovrebbero essere eliminati.

Trattamento dei dati personali significa “qualsiasi operazione o insieme di operazioni effettuate sui dati personali, sia con mezzi automatizzati che non, come raccolta, registrazione, organizzazione, conservazione, adattamento o modifica, estrazione, consultazione, utilizzo, comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, allineamento, combinazione, blocco, cancellazione o distruzione.”

Titolare del trattamento è colui che per primo ottiene l’autorizzazione a raccogliere e trattare i dati e li conserva.

Responsabile del trattamento è colui che ha il permesso del titolare e che l’interessato è informato possa trattare i dati.

Nel caso specifico dell’e-commerce, il titolare è il proprietario del negozio online, mentre il responsabile può essere l’azienda che fornisce il servizio, raccogliendo indirizzi e trattandoli per fornire il servizio. Il responsabile include anche il provider di hosting, i programmatori con accesso ai dati, ecc.

Responsabile della protezione dei dati (concetto rilevante solo per grandi aziende con molti dipendenti e grandi volumi di dati) è un intermediario tra autorità di controllo e dipartimenti aziendali.

Violazione dei dati personali – una violazione che comporta la distruzione, perdita, alterazione, divulgazione o accesso non autorizzato ai dati. Consigliamo alle aziende di predisporre una procedura per la gestione delle violazioni, da attivare entro 72 ore.

Dove iniziare?

Si consiglia di creare una struttura dati, ad esempio in un file Excel, per mappare tutte le informazioni sugli utenti. In seguito è necessario descrivere e categorizzare ogni campo dati per finalità specifiche approvate dagli utenti.

Fonti

https://ec.europa.eu/commission/sites/beta-political/files/data-protection-factsheet-sme-obligations_lt.pdf

http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC

https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_lt

https://www.ada.lt/go.php/lit/12-pasirengimo-zingsniu

Informazioni sulle lezioni di Algirdas Sakalauskas.

Presentazione E-Commerce 18 di Andrius Iškauskas