Maggiori informazioni circa l'impatto del GDPR sui merchant di Shopify

Maggiori informazioni circa l'impatto del GDPR sui merchant di Shopify

If you collect data related to your European customers, you need to know about GDPR

Il Regolamento Europeo per la protezione dei dati (GDPR) riguarda tutti i commercianti Shopify che hanno sede in Europa o che hanno clienti europei. Shopify sta svolgendo un grosso lavoro di adeguamento e permette ai suoi merchant di conformarsi al GDPR immediatamente il 25 maggio 2018. Ma è importante notare che il GDPR richiede anche a te di attivarti, indipendentemente dalla piattaforma Shopify.

Shopify vuole agevolare quanto più possibile i commercianti nell'osservare le previsioni di legge. Questo articolo include alcune domande che dovreste porvi per identificare i vostri obblighi e assicurarvi di aver configurato il vostro negozio in modo conforme alla legge.

Tutto questo però non costituisce un parere legale. Il GDPR è una regolamentazione complicata e si applicherà in modo diverso ai diversi merchant. Dovreste consultare un avvocato per capire esattamente cosa fare.

Perché non può essere Shopify a occuparsi della conformità dei merchant al GDPR?

Il GDPR impone diversi obblighi ai responsabili e agli incaricati del trattamento dei dati. Come incaricato del trattamento dei dati, Shopify adempie ai propri obblighi di legge ai sensi del GDPR. Tuttavia, i commercianti (in quanto responsabili del trattamento) hanno degli obblighi autonomi da considerare.
 
Shopify offre ai commercianti una piattaforma configurabile in modo da essere conforme al GDPR, ma siete voi a dover valutare come gestire la vostra attività.
 
Come ulteriore aiuto all'orientamento, le seguenti autorità all'interno dell'Unione Europea hanno fornito indicazioni specifiche sul GDPR:
 

Raccolta dei dati personali 

Il GDPR tutela i diritti fondamentali dei privati all'interno dell'Unione europea in relazione al trattamento dei dati personali.
 
Ecco alcuni esempi di dati personali:

 

  • Nome
  • Indirizzo
  • Indirizzo email
  • Account social media
  • Identificativo digitale come un indirizzo IP o un ID cookie unico.
 

Ponetevi le seguenti domande:

  • Raccogliete dati personali di clienti europei?

La maggior parte dei siti web è disponibile ai residenti in Europa ed è soggetta al GDPR.

  • Se il vostro negozio utilizza app o temi di terze parti, queste raccolgono ed elaborano i dati in conformità al GDPR?

Per semplificare l'iter, Shopify richiede a tutte le app la pubblicazione di un'informativa sulla privacy indicante in dettaglio le pratiche di gestione dati adottate, in modo che voi possiate valutare se le pratiche di un'app vanno bene per voi. Le app sviluppate da Shopify sono indicate nell'Appendice sull'elaborazione dei dati e Shopify è responsabile della loro conformità.

  • I canali e gateway di pagamento che utilizzate raccolgono ed elaborano i dati in conformità al GDPR?

Dovreste fare delle verifiche per accertartene.

  • Avete un elenco di tutti i tipi di dati personali che raccogliete dai vostri clienti e di tutti i modi in cui utilizzate questi dati?

L'articolo 30 del GDPR richiede che voi teniate un registro delle attività di trattamento dati aggiornato.

Informativa sulla Privacy

Il GDPR (in particolare negli articoli da 12 a 14) prevede l'obbligo di fornire informazioni specifiche agli interessati in relazione al trattamento dei loro dati, in genere attraverso un avviso o un'informativa sulla privacy.
 
Come base di partenza, potete utilizzare il generatore di informativa sulla privacy di Shopify, al momento disponibile solo in inglese però. Potete trovarlo nelle impostazioni, sotto Check-out o online.

Interrogatevi su quanto segue:

  • Il vostro sito è provvisto di un'informativa sulla privacy completa di tutte le informazioni che siete tenuti a fornire ai sensi del regolamento?
  • Indicate almeno i recapiti dove i clienti possono contattarvi in merito alla privacy e le modalità con cui possono esercitare i loro diritti — ad esempio il diritto di cancellazione o modifica dei dati o il diritto di accesso ai dati?
  • La vostra informativa sulla privacy contiene indicazioni su come Shopify può utilizzare i dati personali dei clienti per la valutazione automatizzata di rischi e frodi?
Il GDPR richiede che specifichiate quando voi (o i vostri fornitori di servizi) utilizzate i dati che riguardano i clienti in connessione con processi decisionali automatizzati. Shopify utilizza le informazioni personali dei vostri clienti per bloccare determinate transazioni che appaiono fraudolente attraverso un processo decisionale automatizzato. Il Generatore di informativa sulla privacy di Shopify include queste informazioni.
 

Nomina di un Responsabile della protezione dei dati

Il Responsabile della protezione dei dati (Data Protection Officer, in breve DPO) controlla le modalità di raccolta ed elaborazione dei dati personali adottate dall'azienda. Se tra le attività principali della vostra azienda rientra il monitoraggio online su larga scala, il GDPR richiede che voi nominiate un responsabile della protezione dei dati, specificando i suoi dati di contatto nell'informativa sulla privacy.
 
Il GDPR prevede specifiche attività che il DPO deve eseguire, come condurre valutazioni d'impatto sulla protezione dei dati quando l'azienda cambia le modalità di raccolta ed elaborazione dei dati personali. Il responsabile della protezione dei dati può essere una persona interna all'azienda che abbia esperienza su GDPR e normative sulla protezione dei dati. Ma potreste anche valutare di incaricare un'azienda o un consulente esterno come responsabile della protezione dei dati.
 
Ponetevi le seguenti domande:

 

  • Qual è il numero di soggetti interessati dalle tecnologie di tracking/monitoraggio sul vostro negozio?

  • Sono da considerarsi tali le app di pubblicità comportamentale e anche le applicazioni di retargeting. Stabilire in base al numero di interessati coinvolti se si configuri o meno un “monitoraggio su larga scala”; richiede competenze giuridiche. Consultate un legale, se necessario.

  • Siete veramente obbligati a scegliere di nominare un Responsabile della protezione dei dati?

Anche qualora voi non siate legalmente obbligati a nominare un responsabile della protezione dei dati, se la vostra presenza in Europa è piuttosto ampia, potreste volerlo fare comunque, per assicurarvi di proteggere adeguatamente i dati dei vostri clienti.

Accordi sul trattamento dei dati 

L'Articolo 28 del GDPR richiede al responsabile del trattamento, quando elabora i dati dei clienti tramite un incaricato del trattamento (come Shopify), di regolamentare l'utilizzo e l'elaborazione di tali dati con precise previsioni contrattuali. Ciò è normalmente attuato tramite un'Appendice sul trattamento dei dati.
 
Shopify ha incorporato automaticamente nei propri termini di servizio un Accordo sul trattamento dei dati (https://www.shopify.com/legal/dpa), concepito per soddisfare i requisiti dell'articolo 28.
 
Per i commercianti Shopify Plus, il rapporto con Shopify sarà regolato da contratti negoziati individualmente. I commercianti Plus possono sottoscrivere un'Appendice sul trattamento dei dati che soddisfi le loro esigenze. I commercianti Shopify Plus che non sottoscrivono un'Appendice sul trattamento dei dati saranno soggetti alle previsioni online dell'Appendice sul trattamento dei dati di Shopify.
 
Ponetevi le seguenti domande:

 

  • Gli ulteriori incaricati del trattamento dati con cui collaborate oltre a Shopify hanno assunto contrattualmente l'impegno di proteggere i dati dei vostri clienti?

  • Molte app di terze parti, canali, gateway di pagamento o altri incaricati del trattamento dati inseriranno automaticamente nei loro termini di utilizzo un Accordo sul trattamento dei dati. Vi siete consultati con ciascuna di queste terze parti?

  • Siete un commerciante Plus con un contratto negoziato individualmente?

Se desiderate sottoscrivere un'Appendice sul trattamento dei dati, contattate il vostro Merchant Success Manager. Può fornirvi il modello dell'Appendice sul trattamento dei dati Shopify da sottoscrivere.

Consenso del cliente

In base al GDPR, potreste dover acquisire il consenso per elaborare i dati personali dei clienti o modificare il modo in cui acquisite tale consenso.
 
Ad esempio, potreste dover acquisire un consenso specifico per l'invio ai clienti di messaggi di marketing o per l'utilizzo di applicazioni per la pubblicità online o per il retargeting.
 
Laddove sia prevista l'acquisizione del consenso, il GDPR afferma che questo dev'essere:
 
  • Liberamente prestato: dev'essere fornito spontaneamente e non in relazione a un insieme di beni o servizi.
  • Specifico: dev'essere legato a casi d'uso chiaramente spiegati.
  • Informato: è tale solo se all'interessato sono fornite sufficienti informazioni sui dati personali che saranno raccolti e utilizzati.
  • Inequivocabile: dev'essere documentato da un'azione positiva del merchant (cioè, non può semplicemente desumersi dal protrarsi dell'utilizzo dei servizi).

Ciò significa che al cliente devono essere fornite informazioni dettagliate sui casi di utilizzo dei dati; inoltre, la manifestazione del consenso non può desumersi, ma deve risultare da azioni positive.

Infine, laddove sia offerta ai clienti la possibilità di prestare il consenso, il GDPR richiede che essi abbiano anche modo di revocarlo. Ciò è spesso realizzabile attraverso una funzionalità di annullamento dell'iscrizione. Se vi chiedete quando e come ottenere il consenso per la raccolta dei dati personali, o entro quali limiti concedere ai clienti la possibilità di revocare il consenso prestato, consultate un avvocato esperto nella normativa sulla privacy.

Peraltro, il consenso è solo una delle varie basi giuridiche idonee secondo il GDPR a giustificare il trattamento dei dati personali. Altri fondamenti di liceità del trattamento dei dati personali sono l'adempimento di obblighi contrattuali e l'osservanza di obblighi di legge.

Secondo alcune autorità di controllo europee, qualora inizialmente si richieda il consenso e il cliente rifiuti o accetti, ma infine revochi il consenso, successivamente non sarebbe più possibile fondare il trattamento dei dati personali su una base giuridica diversa. Di conseguenza, dovreste subordinare il trattamento al consenso solo se non intendete (o non dovete) trattare i dati in virtù di una base giuridica diversa.
 

Ponetevi le seguenti domande:

 

  • In relazione a ogni diversa modalità di utilizzo o trattamento dei dati dei vostri clienti, qual è il fondamento giuridico? State procedendo al trattamento sulla base del consenso?

  • State procedendo al trattamento per adempiere a un obbligo contrattuale nei confronti del cliente? State procedendo al trattamento per far valere un vostro interesse commerciale legittimo? Dovreste documentare tale base giuridica nel vostro registro delle attività di trattamento dati.

  • Se fate affidamento sul consenso, si tratta di un consenso ottenuto in relazione a un insieme di beni o servizi che offri? Affermazioni come “con l'acquisto dei beni l'utente acconsente all'utilizzo dei propri dati personali” può non essere più consentito ai sensi del GDPR.

  • I dettagli sulle modalità di utilizzo dei dati personali in questione sono sufficienti per garantire che il consenso del cliente sia informato?

  • Il consenso del cliente è registrato e archiviato da qualche parte?

  • Richiedete il consenso per l'invio di comunicazioni di marketing ai vostri clienti? Anche laddove non sia necessario il consenso ai sensi del GDPR, le leggi locali potrebbero richiedervi di ottenere il consenso per l'invio di comunicazioni di marketing ai clienti. Consultate un avvocato in merito ai requisiti specifici che potrebbero applicarsi al vostro negozio.

  • Se ritenete di aver bisogno del consenso per inviare comunicazioni di marketing, la casella per il consenso al marketing sul vostro negozio è deselezionata per impostazione predefinita? Valutate di impostare il vostro negozio in modo che la casella per il consenso al marketing presentata ai clienti non sia preselezionata di default; questo, per garantire che i clienti forniscano il consenso mediante un'azione positiva. 

Consenso parentale 

Il GDPR include specifici requisiti di consenso parentale per il trattamento dei dati personali degli utenti di età inferiore ai 16 anni (sebbene questa età possa essere inferiore in alcuni paesi).

Interrogatevi su quanto segue:
 
  • Occorre che introduciate modifiche volte a evitare il trattamento dei dati degli utenti di età inferiore ai 16 anni o ad acquisire il consenso parentale?
Per farlo, potete vietare agli utenti di età inferiore ai 16 anni di accedere al vostro sito tramite un'app per l'age-gating dell'App Store di Shopify; oppure, potete chiedere ai visitatori di confermare che hanno raggiunto la maggiore età.
 

Processo decisionale automatizzato

Il GDPR richiede che provvediate a informare i clienti nel caso utilizziate i loro dati personali per un qualsiasi processo decisionale automatizzato.
 
Un processo decisionale automatizzato implica l'utilizzo di algoritmi per decidere se un utente sia idoneo per determinati servizi o offerte, se debba essere soggetto a un particolare prezzo o se probabilmente sia interessato a determinate tipologie di beni o servizi.
 
Se utilizzi soluzioni che includono processi decisionali completamente automatizzati (ovvero, senza l'intervento umano) che abbiano un significativo effetto giuridico sul cliente, allora dovete ottenere il consenso del cliente.
 
Di norma, Shopify non impiega i dati personali dei vostri clienti per processi decisionali completamente automatizzati.
 
L'unica eccezione è il controllo di Shopify sul rischio di frode, in base al quale Shopify potrebbe bloccare automaticamente il numero della carta o l'indirizzo IP dopo un certo numero di tentativi di pagamento non riusciti. In questo caso, Shopify non ritiene sussista un effetto giuridico significativo sui clienti, perché il blocco automatizzato dura solo per un breve periodo di tempo.
 
Ponetevi le seguenti domande:
 
  • Avete inserito nella vostra Informativa sulla privacy che il controllo di Shopify sul rischio di frode può comportare l'utilizzo delle informazioni personali dei clienti per prendere decisioni automatizzate? Potete trovare maggiori informazioni sui processi decisionali automatizzati di Shopify nella Sezione 13 dell'Informativa sulla privacy. Dovreste anche verificare con un legale che, nel vostro caso specifico, questo servizio non comporti un effetto giuridico significativo sui vostri clienti.

  • State utilizzando app di terze parti che potrebbero essere impiegate per processi decisionali automatizzati? Prestate particolare attenzione alla verifica degli eventuali servizi antifrode di terze parti utilizzati in relazione al vostro negozio, o a qualsiasi tipo di app di marketing o advertising che potrebbe creare profili o segmenti target dei clienti.

  • Se utilizzate app di terze parti impiegate per processi decisionali automatizzati, per poter utilizzare queste app dovete informare i vostri clienti o raccogliere il loro consenso?

Notifica della violazione dei dati

 
Se il GDPR è applicabile alla vostra azienda e si verifica una violazione dei dati, è possibile che abbiate l'obbligo di informare gli interessati e le autorità di controllo competenti.
 
In particolare, il GDPR prevede l'obbligo di comunicazione quando una violazione dei dati può comportare un elevato rischio di pregiudizio per i diritti e le libertà degli individui.
 
È probabile che ciò si verifichi se le informazioni violate:
 
  • Includono dati di pagamento.
  • Potrebbero essere utilizzate per rivelare informazioni imbarazzanti o personali.
  • Potrebbero essere utilizzate per accedere ad account o servizi dell'interessato.
 
In tal caso, siete tenuti a provvedere alla notifica entro sole 72 ore dal momento in cui siete venuti a conoscenza della violazione.
 
Ponetevi le seguenti domande:
 
  • Avete parlato con un avvocato per determinare quali dei dati da voi raccolti e trattati possono comportare l'obbligo di comunicazione in caso di violazione dei dati?
  • Avete stabilito quale comunicazione inviare in caso di violazione dei dati a danno della vostra azienda, in modo da essere preparati a una simile evenienza?
 

App di terze parti

Il GDPR vi richiede l'adozione di una serie di misure positive in relazione alla raccolta e utilizzo dei dati personali da parte vostra e dei terzi fornitori di servizi. Tra i terzi rientra Shopify, ma anche ogni app di terze parti che utilizzate per il vostro negozio Shopify.

Shopify ha adottato delle misure per rendervi più semplice capire a quali dati personali abbiano accesso le app che avete installato.

Per verificare i dati personali a cui le vostre app hanno accesso, completate i seguenti passaggi:

  1. Dal pannello di controllo Shopify, cliccate su App.
  2. Cliccate Visualizza dettagli per l'app di cui desiderate controllare le autorizzazioni.

Potete controllare le autorizzazioni delle app anche prima della loro installazione, dalla schermata di installazione nell'app store.

Inoltre, nell'app store vi è una sezione dove ogni app rimanda alla propria privacy policy, indicando più in dettaglio quali siano raccolti dagli sviluppatori dell'app e come siano impiegati.

Mentre Shopify vuole agevolarvi il più possibile nel valutare le procedure sui dati adottate dalle app che scegliete di installare, sta a voi assicurarvi di utilizzare app di terze parti che siano conformi al GDPR.

Interrogatevi su quanto segue:

  • In base al vostro paese di residenza e a quello dei vostri clienti e sviluppatori di app, nonché in base all'implementazione di ogni app, il vostro utilizzo delle app di terze parti è conforme al GDPR? Consultate un avvocato per sapere se le procedure sui dati adottate da una particolare app possano richiedere considerazione o lavoro extra da parte vostra per garantire l'osservanza del GDPR.

Trasferimenti internazionali dei dati

Il GDPR vieta che i dati personali dei residenti nell'Unione Europea vengano trasportati fuori dall'Europa, salvo se tali dati non siano soggetti a un'adeguata protezione.
 
Shopify protegge i dati personali secondo le previsioni del GDPR, quando questi vengono trasferiti ed elaborati negli Stati Uniti e in Canada.
 
Shopify ha impostato i propri flussi di dati in modo tale da soddisfare questi requisiti per conto dei merchant. Come descritto nella sezione 12 dell'Informativa sulla privacy di Shopify, tutti i dati personali europei sono inizialmente ricevuti dai merchant e trattati in Irlanda da Shopify International Ltd, filiale irlandese di Shopify. Quindi, Shopify trasferisce ulteriormente tali dati in conformità con quanto previsto dal GDPR.

GDPR trasferimenti internazionali dei dati

Per maggiori informazioni sulle modalità di ricezione ed elaborazione da parte di Shopify dei dati personali provenienti dallo Spazio Economico Europeo (SEE) in base agli standard GDPR e alle best practice sulla sicurezza delle informazioni, consultate la documentazione ufficiale di Shopify sul GDPR.
 
Interrogatevi su quanto segue:
  • Vi siete accertati che le altre parti a cui trasferite i dati eseguano il trasferimento dei dati oltre i confini europei in modo conforme al GDPR? Potete farlo consultando la privacy policy di app di terze parti, dei canali, dei gateway di pagamento o degli altri fornitori che utilizzate e verificando la presenza di eventuali spiegazioni sul modo in cui vengono protetti i dati europei.
Per maggiori informazioni su come Shopify sta lavorando per conformarsi al GDPR in vista della sua entrata in vigore del 25 maggio e per accertarvi di essere in linea con la normativa utilizzando Shopify, scaricate la documentazione ufficiale di Shopify sul GDPR (disponibile in inglese).

 


Which method is right for you?Note sull’Autore - Giulia Greco è caporedattrice e responsabile di marketing per Shopify in Italiano. Traduttrice ed esperta di localizzazione, vive a Toronto da 15 anni e da 15 anni non beve un caffè espresso degno di questo nome.

Inizia la tua prova gratuita di 14-giorni