Magento GDPR: la guida completa

GDPR-ecommerce

DISCLAIMER: Attenzione, questo articolo è puramente a scopo informativo, pertanto Magentiamo non è responsabile di eventuali imprecisioni o errori.  Ti consigliamo quindi di contattare un legale per mettere a norma il tuo sito E-Commerce, secondo le nuove normative vigenti.”

Dal 25 Maggio 2018 diventerà effettivo il nuovo Regolamento Europeo Ue 2016/679 in materia di protezione dei dati personali (GDPR – General Data Protection Regulation).

Questa novità, come descritto dal Garante delle Privacy,  “punta a rispondere alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali, sempre più avvertite dai cittadini dei paesi dell’Unione Europea”.

Per saperne di più, guarda anche il video di Ecommerce School:

Cos’è il GDPR?

GDRP è l’acronimo di General Data Protection Regulation e rappresenta il Regolamento Europeo in materia di protezione dei dati personali. Questa nuova normativa toccherà tutta la gestione dei dati, operata dalle aziende e non solo quelle dell’ Unione Europea.

Il GDPR infatti riguarderà sia le aziende con sede Europea, che con clienti Europei.

Cosa prevede il GDPR?

In sostanza si ampliano la definizione di “dati personali“, facendo rientrare in questa categoria moltissime informazioni.

Questo regolamento:

  • introduce regole chiare in materia di informativa e consenso
  • definisce i limiti al trattamento autorizzato dei dati personali
  • pone le basi per l’esercizio del nuovi diritti
  • stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’ UE e per casi di violazione dei dati personali

Quindi in sostanza, il Regolamento da la possibilità agli interessati di accedere, modificare, cancellare e limitare il trattamento dei propri dati. Inoltre, l’ Azienda che si occupa della raccolta dei dati, deve proteggerli, anche nel caso si affidi a terzi per alcuni servizi, e deve assicurarsi che gli interessati possano effettivamente esercitare tutti i diritti di cui ora possono godere.

Cosa si intende per “dati personali”

Come anticipato, con il GDPR, la definizione di “dati personali” si amplia e va a toccare tutti i dati e le informazioni che sono strettamente legate ad un individuo che utilizza i nostri servizi. Quindi, non solo Nome, Cognome, Email etc…, ma anche gli stessi IP che vengono utilizzati.

Il consenso al trattamento dei dati

Esattamente come ora, il consenso dell’interessato al trattamento dei dati, deve essere:

  • preventivo
  • inequivocabile
  • libero
  • esplicito
  • revocabile in qualsiasi momento

Con il nuovo regolamento, viene abolita qualsiasi forma di consenso tacito e soprattutto sarà obbligatorio non fornire nelle checkbox del consenso, scelte pre-selezionate.

Il consenso, può essere revocato in qualsiasi momento, anche se i trattamenti dei dati effettuati fino al momento della revoca del consenso, rimarranno comunque legittimi.

I fornitori di servizi Internet e i social media, dovranno richiedere il consenso ai genitori o a chi esercita la potestà genitoriale per trattare i dati personali dei minori di 16 anni.

Chi sono i nuovi attori del GDPR?

Il nuovo Regolamento Ue 2016/679, in vigore dal 25 Maggio 2018 è caratterizzato da alcune figure chiave. Vediamo quali…

Innanzitutto abbiamo l‘interessato al trattamento dei dati, ossia, colui i cui dati vengono trattati per finalità specifiche. Questa figura può quindi esercitare una serie di diritti legati alla tutela dei propri dati.

Quello che era prima il Titolare del trattamento ora viene definito, con il nuovo regolamento Data Controller o Responsabile del trattamento. Questa figura è generalmente il titolare dell’ Azienda che tratta i dati, ed è colui che ha il potere decisionale in merito alle tecniche da adottare per garantire la conformità al Regolamento.

Un’ altra figura coinvolta è il Responsabile esterno del Trattamento, che con il nuovo Regolamento Ue, diventa Joint Controller o Co-responsabile del trattamento. Questa figura è il soggetto esterno a cui l’ Azienda da il trattamento dei dati, potrebbe per esempio essere un fornitore di servizi in Cloud.

Per quanto riguarda invece il Responsabile ed incaricato del trattamento, diventa Data Processor o Incaricato del Trattamento (o Data Handler). Questa figura sarà l’attuale responsabile e potrà procedere al trattamento dei dati solo dopo istruzione del responsabile.

Viene poi introdotta una figura molto particolare il Data Protection Officer (DPO). E’ nella creazione di questa nuova figura che c’è una delle sostanziali differenti con la vecchia normativa sulla privacy.

DPO – Data Protection Officer: chi è e quando deve essere nominato?

Con la nuova normativa che sarà in vigore dal 25 Maggio 2018, è stata introdotta la figura del DPO – Data Protection Officer.

Questa figura si occupa di verificare il rischio legato al trattamento dei dati.

Il DPO deve essere nominato obbligatoriamente, quando il trattamento dei dati è effettuato:

  • da una pubblica amministrazione  o da un suo organismo
  • da azienda con più di 250 dipendenti
  • da aziende, le cui attività principali siano costituite, per loro natura, scopo o finalità, da sistematico e regolare monitoraggio delle persone interessate, oppure se l’attività principale del titolare implicherà un trattamento su larga scala di dati sensibili, relativi alla salute o alla vita sessuale, genetici, oppure giudiziari e biometrici.  (escluse comunque le autorità giurisdizionali)

Requisiti del DPO:

  • Non è una figura certificata
  • E’ obbligatorio solo nei casi sopra indicati
  • La carica del DPO ha una durata minima di 2 anni, rinnovabili alla scadenza
  • Il DPO deve avere esperienza nell’ area “legge sulla privacy”
  • Non è un ruolo esclusivo (nel senso che può ricoprire oltre al ruolo di DPO, anche altri)
  • Deve essere indipendente e non avere conflitti di interesse
  • Deve essere in stretto contatto con il BOARD aziendale

Valutazione del rischio e misure di accountability

Con il nuovo regolamento, si vuole porre attenzione sulla “responsabilizzazione” (ossia “Accountability”) dei titolari e dei responsabili.

In sostanza si vuole abituare all’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.

La prima cosa importante è sintetizzata nell’espressione “data protection by default and by design” e quindi la necessità di fare un trattamento dei dati consapevole, che preveda sin dall’inizio le garanzie indispensabili che soddisfino il nuovo Regolamento. Tutto quindi quindi deve essere previsto, prima del trattamento dei dati vero e proprio e pertanto viene prevista un’analisi preventiva e un impegno applicativo da parte dei titolari, che devono adoperarsi in una serie di attività specifiche, ma soprattutto dimostrabili.

La valutazione del rischio sul trattamento dei dati (DPA – Data Protection Impact Assessement), deve essere fatta dal Titolare.

Tale valutazione definisce se il rischio al trattamento dei dati è alto, medio o basso. Fatta la valutazione, il titolare deve consultare il Garante della Privacy che da poi delle direttive a riguado.

Registro dei trattamenti

Tutti i titolari e i responsabili del trattamento, tranne coloro che hanno meno di 250 dipendenti (ma solo se non effettuano trattamenti a rischio) devono tenere un registro dei trattamenti.

Tale registro deve riportare:

  • Quali dati sono stati trattati
  • La finalità del trattamento dei dati
  • Chi accede ai dati
  • Possibilità di trasferimento dei dati all’estero
  • Termini di cancellazione
  • Misure di sicurezza adottate

Con questo registro, il Titolare può attestare che ha effettivamente trattato i dati in maniera corretta

Notifica di violazione dei dati personali (Data Breach)

Quando si verifica la violazione di alcuni dati personali, il Titolare dovraà comunicare all’ Autorità nazionale di protezione dei dati, la violazione.

La violazione viene comunicata anche all’interessato se rappresenta una minaccia per i diritti e le libertà delle persone. In questo caso, il Titolare dovrà anche dare indicazioni s come intende limitare le possibili conseguenze negative.

Si può invece non informare l’interessato se:

  • la violazione non comporta un rischio elevato all’interessato
  • il titolare può dimostrare di aver adottato misure di sicurezza a tutela dei dati violati
  • l’informazione degli interessati può comportare uno sforzo sproporzionato (ad esempio, se il numero delle persone coinvolte è elevato)

Il diritto all’oblio

Viene introdotto il cosiddetto “diritto all’oblio“, con il quale gli interessati possono ottenere la cancellazione dei propri dati personali, anche online, da parre del titolare del trattamento, qualora ricorrano alcune caratteristiche previste dal trattamento:

  • se i dati sono trattati solo sulla base del consenso
  • se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti
  • se i dati sono trattati illecitamente
  • se l’interessato si oppone legittimamente al loro trattamento

A questo diritto si associa anche l’obbligo per il titolare del trattamento che ha pubblicato i dati, di comunicare la richiesta di cancellazione a chiunque li stia trattando.

La portabilità dei dati

L’interessato ha diritto di portabilità dei dati e può richiedere al titolare la consegna dei dati su un supporto digitale ed eventualmente consegnarla ad un altro titolare.

Ad esempio, si può passare ad un nuovo gestore di telefonia, chiedendo al vecchio di dare tutte le informazioni al nuovo.

Ci saranno però alcune eccezioni che non consentono l’esercizio del diritto: in particolare, quando si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi.

Cosa fare nel proprio E-Commerce con il GDPR?

Il lavoro da fare sul proprio E-Commerce per adeguarlo correttamente, non è sempre semplicissimo, ma vediamo alcuni aspetti su cui possiamo porre attenzione.

In particolare occorre verificare che:

  • la correttezza della Privacy Policy e la corrispondenza con i requisiti introdotti dal GDPR
  • le estensioni o applicazioni di terze parti, eventualmente presenti sul sito, siano conformi al GDPR
  • ci sia bisogno o meno di nominare un “Responsabile” della protezione dei dati
  • se occorre fare una valutazione del Rischio in merito al trattamento dei dati
  • che sia presente la giusta formula per la richiesta di consenso dei dati dei  clienti
  • che sia possibile garantire il pieno godimento dei diritti in questa materia, da parte dei clienti
  • creare anche dei pop-up per il consenso ai cookies, con una richiesta esplicita di consenso (ad esempio: mettere una check box, non pre-selezionata, con l’indicazione di spuntarla per accettare i cookies)

Sanzioni

Il GDPR introduce anche un nuovo sistema sanzionatorio, più rigido del precedente. Attualmente infatti le sanzioni relative possono ammontare a poche centinaia di euro. Con il nuovo Regolamento Ue, le sanzioni invece possono essere molto più alte (si parla del 4% del fatturato o addirittura 20 milioni di euro).

Queste sanzioni poi, non saranno rilasciate solo per danni ai dati, ma anche a chi per esempio, pur essendo in obbligo, non tiene un Registro del Trattamento dei dati.

Quindi in sostanza cosa cambia con il GDPR?

Con il nuovo Regolamento Ue, abbiamo visto, sono state introdotte diverse novità.

Vediamo un piccolo riepilogo:

  • Vengono introdotte regole più chiare sulle informative e sul consenso al trattamento dati
  • Sono stati introdotti dei limiti più rigidi per il trattamento automatizzato dei dati personali
  • L’interessato può esercitare nuovi diritti in materia di trattamento dei dati
  • Sono stati stabiliti dei criteri particolari per il trasferimento dei dai dati al di fuori dell’ Ue
  • Sono state fissate delle norma specifiche per i casi di violazione dei dati (data breach)
  • Sanzioni più rigide

La tua cheklist GDPR per Magento

Ecco un’utile checklist per riassumere tutti gli adempimenti da seguire per il tuo sito Magento e renderlo compatibile con il GDPR.

1. Sposta tutti i tuoi tracciamenti su Google Tag Manager

Questo renderà tutto più semplice per te in merito al GDPR, perché tutti i tuoi tracciamenti verranno eseguiti da un luogo e, una volta che il cliente ha dato il consenso al tuo sito web di utilizzare cookie di terze parti, devi semplicemente attivare GTM per eseguire tutti i tuoi tracciamenti. Altrimenti potrebbe essere necessario modificare diversi punti del codice per assicurarsi che tutti i tracciati siano disabilitati fino a quando non si ottiene il consenso dei clienti sull’utilizzo dei cookie di terze parti.

2. Aggiungi la barra degli strumenti per il consenso dei cookie

Questa barra andrebbe aggiunta nell’ header e nel footer del tuo sito web.

Questa barra degli strumenti consente ai tuoi clienti di sapere che esistono altri servizi di terze parti, ad esempio Google Analytics, che richiedono il funzionamento dei cookie. Il cliente deve dare il consenso, facendo clic sul pulsante “Accetto”, prima che venga abilitato qualsiasi tracciamento di terze parti sul tuo sito web. Ti consigliamo di configurarlo per funzionare con Google Tag Manager, come già menzionato nella Fase 1, in modo che il servizio di terze parti venga eseguito solo dopo che il cliente ha dato il consenso.

3. Possibilità per le persone di rimuovere o anonimizzare i dati personali

È necessario dare la possibilità sul proprio sito Web ai clienti di cancellare o rendere anonimi i loro record personali dal database Magento, accedendo alla sezione del “mio account” presente sul sito Web.

4. Possibilità per le persone di rinunciare alla sottoscrizione

È necessario dare ai clienti, presenti sul tuo sito web, la possibilità di rifiutare l’iscrizione a qualsiasi iscrizione (a newsletter etc), tramite l’ accesso nella sezione del “mio account” presente nel sito Web. Assicurati inoltre che qualsiasi e-mail che invii ai tuoi clienti, abbia un’opzione che li autorizzi a uscire dalla tua mailing list. Non inserire checkbox pre-selezionate.

5. Rendere anonimi di dati

Assicurarsi che tutti i dati che non vengono utilizzati, in particolare i dati che non sono richiesti ai fini dell’adempimento, devono essere resi anonimi dal database. 

6. Aggiorna le pagine di CMS

Assicurati che la tua politica sulla privacy e le pagine relative ai termini e condizioni, siano aggiornate con le informazioni sulla conformità GDPR.

Ecco l’elenco di cose che devi considerare:

  • Quali informazioni vengono raccolte?
  • Che le sta raccogliendo?
  • Come vengono raccolte?
  • Come saranno utilizzate?
  • Con chi sanno condivise?
  • Quale sarà l’effetto di questo trattamento sugli individui interessati?
  • L’uso previsto dei dati, può in qualche maniera far obiettare o lamentare gli individui coinvolti?

7. Accesso ai dati

Secondo il GDPR, gli individui avranno il pieno diritto di richiedere i propri dati personali e questa deve essere una copia completa dei dati che potrebbero trovarsi sotto diverse tabelle nel database Magento. Ecco l’elenco delle tabelle Magento in cui i dati personali potrebbero essere archiviati:

  • Preventivi
  • Indirizzo del preventivo
  • Ordine
  • Indirizzo dell’ordine
  • Cliente
  • Indirizzo del cliente
  • Newsletter

Devi assicurarti di avere la possibilità di estrarre questi dati dal tuo database, quando richiesto  eentro 30 giorni dalla richiesta. Questo servizio deve  essere gratuito: non puoi chiedere una commissione, specialmente quando questa è la prima richiesta del cliente.

Esiste un modulo GDPR per Magento?

Quando conosci alcuni aspetti fondamentali del GDPR, comprendi l’importanza della nuova legislazione sulla protezione dei dati personali sulla tua attività. Ci si chiede quindi se esistono dei moduli che possano aiutarci ad adeguarci a queste nuove normative.

Ti proponiamo per esempio i modulo GDPR per Magento 1  e il modulo GDPR per Magento 2 di Amasty.

Assicurati che il tuo negozio Magento stia seguendo gli ultimi requisiti legislativi GDPR dell’UE. Con questa estensione, è possibile memorizzare ed elaborare i dati dei clienti nel modo più efficace e trasparente e in modo da rispettare pienamente i termini del regolamento sulla protezione dei dati.

Cosa consentono di fare questi moduli:

  • Rispettare il GDPR dell’UE e vari requisiti legislativi
  • Creare e aggiornare la tua politica sulla privacy, gestisci le versioni dei documenti
  • Inviare email agli utenti in merito agli aggiornamenti della politica sulla privacy e la richiesta del consenso
  • Consentire ai clienti di scaricare, anonimizzare o richiedere la cancellazione di dati personali
  • Gestire i consensi dei clienti

GDPR-moduli-magento

Ti consigliamo comunque, per adeguare il tuo sito Magento al nuovo GDPR,  di consultare  un legale, che dovrà effettuare un’analisi approfondita del sito, valutando come vengono trattati i dati. Su questa base, il legale dovrà preparare tutti  i documenti per la Privacy Policy e la Cookies Policy, personalizzate per il tuo sito.

Ti ricordiamo infatti che non esiste un modulo GDPR standard. Diventa quindi necessario avvalersi del parere e della consulenza di un legale affinché il tuo sito rispetti completamente il GDPR.

Inoltre, ecco alcune utili risorse:

Ti è piaciuto questo articolo? Votalo!

Torna in alto