Se gestisci un e-commerce è molto importante sapere come trattare i dati personali inseriti dai clienti sul tuo sito web. In questo modo, è possibile evitare pesanti sanzioni del Garante Privacy e reclami da parte degli utenti.
In questo articolo, scoprirai le principali indicazioni legali di LegalBlink su come gestire la privacy degli utenti in modo efficace e nel rispetto dei diritti dei clienti.
L’informativa privacy: l’elaborazione trasparente dei dati personali
L’informativa privacy (o “privacy policy”) è un documento che deve essere sempre presente nel tuo sito di commercio elettronico e deve contenere le informazioni richieste dall’art.13 del GDPR (il Regolamento Privacy entrato in vigore a maggio del 2018, che disciplina a livello europeo il trattamento dei dati personali delle persone fisiche).
Questo documento spiega ai tuoi utenti e clienti come vengono trattati i dati personali conferiti sul sito.
Ad esempio, spiega se il tuo sito e-commerce invia comunicazioni di marketing, per quanto tempo vengono conservati i dati personali oppure le categorie di soggetti ai quali i dati personali vengono comunicati.
Ecco alcune delle principali informazioni che deve contenere la tua informativa privacy per rispettare la legge:
- Dati del “titolare del trattamento”.
Con questo termine si intende chi decide i mezzi e le finalità del trattamento dei dati personali. Nel caso concreto, la tua ditta o società. Pertanto, nella privacy policy del tuo ecommerce devi indicare la denominazione (es. Rossi s.r.l.), sede legale, p. iva, capitale sociale, camera di commercio di appartenenza.
Indicare correttamente queste informazioni è molto importante in quanto aumenta il livello di fiducia dei tuoi nuovi potenziali clienti, i quali disporranno di tutte le informazioni societarie riferite al tuo business.
- Finalità del trattamento.
L’informativa privacy del tuo ecommerce deve spiegare all’utente per quali scopi vengono trattati i suoi dati personali. Ad esempio, per effettuare la registrazione sul sito, gestire gli ordini di acquisto o per rispondere alle richieste di assistenza.
- Periodo di conservazione dei dati personali.
Per ogni finalità di trattamento è necessario indicare per quanto tempo conservi i dati personali. Questo genere di informazioni è molto importante per gestire i dati personali di un e-commerce. Infatti, numerose sanzioni del Garante Privacy sono state irrogate proprio perché le informazioni su questo punto erano carenti o contradditorie.
Ad esempio, i dati conferiti per eseguire il contratto di vendita possono essere conservati fino a 10 anni (decorrenti dall’inoltro dell’ordine di acquisto). Oppure, l’email conferita per finalità di marketing di solito viene conservata fino a 24 mesi (decorrenti dall’ultimo giorno in cui l’utente ha aperto l’email di marketing) oppure fino a eventuale revoca dell’utente stesso.
Per permettere ai clienti di visionare agevolmente la privacy policy del tuo e-commerce, il footer del sito web dovrà contenere un link che, una volta cliccato, indirizzerà l’utente alla policy.
Marketing e gestione dei dati personali di un e-commerce
Consenso obbligatorio dell'utente
Anche per il tuo e-commerce il marketing è sicuramente una attività essenziale per promuovere il tuo business online.
Molto probabilmente vorrai infatti inviare e-mail per mantenere l'immagine del vostro marchio e promuovere la vostra offerta ai clienti e ai potenziali clienti.
Anche in questo contesto è ovviamente molto importante gestire i dati personali degli utenti a norma per evitare reclami o sanzioni del Garante Privacy.
A livello di marketing la tua privacy policy deve specificare nella informativa privacy che, previo consenso dell’utente, sarà possibile inviare comunicazioni di marketing.
Inoltre, il tuo sito di commercio elettronico dovrà esporre una c.d. “formula del consenso”, che deve essere specificatamente accettata dall’utente che desidera ricevere comunicazioni pubblicitarie.
Ad esempio, una formula del tipo:
- Letta la privacy policy di questo sito presto il consenso a ricevere e-mail promozionali da questo sito e-commerce.
- Il termine “privacy policy” può essere strutturato come link alla pagina che espone la tua informativa privacy.
- La formula del consenso non deve essere “pre-selezionata” e deve essere collocata vicino al box dove l’utente può inserire la propria e-mail, che verrà poi da te gestita per inviare comunicazioni promozionali.
Come gestire i dati personali tramite lo “soft-spam”?
Sempre nel contesto del marketing e della gestione dei dati personali degli utenti, è molto importante sapere gestire il c.d. “soft-spam”.
Con questo termine si intende la possibilità – prevista dal Codice della privacy – di inviare al cliente comunicazioni promozionali per e-mail aventi ad oggetto prodotti o servizi uguali o appartenenti alla medesima classe merceologica di quella oggetto del precedente acquisto effettuato sul sito dal cliente.
Ad esempio, se il cliente ha effettuato un acquisto di un paio di scarpe da ginnastica puoi inviare e-mail promozionali riferite allo stesso paio di scarpe, oppure a paia di scarpe simili. In questo contesto, vi permetterà anche di ottimizzare il vostro cross-selling.
Non puoi ovviamente inviare comunicazioni di marketing su prodotti alimentari, proprio perché in questo caso la comunicazione commerciale avrebbe ad oggetto un prodotto diverso rispetto a quello in precedenza acquistato.
Considera che il cliente deve sempre avere la possibilità di impedire l’invio di questo genere di comunicazioni.
Pertanto, dovesse scriverti chiedendo di non ricevere più questo genere di comunicazioni sarà necessario dare seguito alla richiesta, impedendo l’invio di comunicazioni di “soft-spam”.
La documentazione privacy: gestione interna dei dati
La gestione dei dati personali passa anche attraverso la compilazione e l’aggiornamento di una serie di documenti.
Vediamone alcuni:
- Registro dei trattamenti.
E’ il documento che “mappa” il trattamento dei dati personali effettuato dall’azienda. Di solito viene redatto in formato Excel (in base a un modello pubblicato dal Garante Privacy) e aggiornato almeno una volta all’anno. In esso vengono inserite informazioni riferite, ad esempio, alla tipologia di dati personali trattati, il periodo di conservazione, le misure di sicurezza.
- Nomina a responsabile del trattamento.
Questo documento legale deve essere fatto firmare a qualsiasi persona, giuridica o fisica, che tratti dati personali per tuo conto. Ad esempio, se la web agency che gestisce il tuo sito di commercio elettronico effettua la manutenzione del sito (e quindi consulta i dati personali degli utenti) deve essere nominata “responsabile del trattamento”.
La nomina a responsabile del trattamento, infatti, spiega come devono essere trattati i dati personali degli utenti del tuo sito di commercio elettronico.
- Privacy policy per i dipendenti.
Se hai dipendenti devi presentarli una informativa privacy che illustri la modalità di gestione dei dati personali. Il documento non deve essere accettato dal dipendente, bensì firmato per presa visione oppure inviato per e-mail.
Quali possono essere le sanzioni?
Probabilmente ti sarai chiesto quali sanzioni rischi se non gestisci a norma i dati personali dei clienti.
Ebbene, il GDPR prevede sanzioni che possono arrivare fino a 20 milioni di euro, oppure il 4% del fatturato annuo della tua società o ditta.
Ovviamente la multa è parametrata a diversi fattori, quali:
- La gravità della irregolarità
- Per quanto tempo è stata posta in essere la violazione dei dati personali
- L’eventuale ravvedimento del sito e-commerce
Oltre a ciò, deve aggiungersi il danno di immagine che può derivare da una sanzione.
I provvedimenti del Garante Privacy, infatti, sono pubblici e possono essere condivisi online e sui social: sarebbe veramente dispiacevole veder riconosciuto il tuo brand come poco rispettoso della privacy degli utenti!
Conclusioni
Gestire a norma i dati personali degli utenti ti permetterà di gestire con serenità il tuo business e migliorare il rapporto con i clienti.
Ecco le principali accortezze di cui devi tenere conto:
- Pubblica una informativa privacy completa e coerente con il trattamento dei dati personali posto in essere dal tuo sito e-commerce.
- Se vuoi inviare comunicazioni di marketing, inserisci una valida formula del consenso (puoi prendere come esempio quella da noi proposta in questo articolo).
- Nomina l’eventuale web agency che gestisce il tuo e-commerce “responsabile del trattamento”, in modo che possa validamente gestire i dati personali dei tuoi clienti.
- Quando si tratta di gestire i dati di pagamento, non siete soli: PSP come Payplug sono a vostra disposizione per supportarvi e garantire la sicurezza dei dati delle vostre carte.
Bene, abbiamo visto alcune delle principali accortezze legali utili per gestire a norma i dati personali degli utenti. Non esitare a scriverci per qualsiasi ulteriore informazione: LegalBlink.
LegalBlink è un generatore di documenti legali specifico per e-commerce. Nato nel 2018 da un Team di avvocati esperti in diritto digitale, offre tutti i tool per vendere online a norma di legge, insieme a servizi innovativi come il checkup legale del sito oppure la possibilità di far generare i documenti direttamente dai legali di LegalBlink. Per progetti particolarmente strutturati è disponibile la consulenza legale ad hoc.