Il GDPR nell'e-commerce: Come un'attività può rendere legalmente conforme il proprio negozio online

Checkout
Checkout

Stripe Checkout è un modulo di pagamento predefinito e ottimizzato per la conversione. Incorpora Checkout nel tuo sito web o reindirizza i clienti alla pagina in hosting su Stripe per accettare in modo facile e sicuro pagamenti una tantum o abbonamenti.

Ulteriori informazioni 
  1. Introduzione
  2. Perché è stato introdotto il GDPR?
  3. Quali sono le disposizioni chiave del GDPR?
    1. Principi del trattamento dei dati
    2. Liceità del trattamento
    3. Diritti dell’interessato
    4. Responsabilità del titolare del trattamento
  4. Che impatto ha il GDPR sull’e-commerce?
  5. Quali requisiti devono soddisfare le attività di e-commerce per conformarsi alle normative GDPR?
    1. Informativa sulla privacy
    2. Informativa sull’utilizzo dei cookie
    3. Misure tecniche e organizzative
    4. Consenso per offerte pubblicitarie e informative
    5. Accordi per il trattamento dei dati
    6. Nomina del responsabile della protezione dei dati
  6. Quali sanzioni sono previste se le attività non rispettano il GDPR?

Dal 2018, il Regolamento generale sulla protezione dei dati (GDPR) disciplina tutti gli aspetti della protezione dei dati in Europa e a livello nazionale. In particolare, le attività di e-commerce che gestiscono un negozio online dovrebbero assicurarsi di rispettare numerosi requisiti nel trattamento dei dati personali.

In questo articolo scoprirai perché è stato introdotto il GDPR, quali sono le principali disposizioni del regolamento e cosa significa per le attività di e-commerce. Spiegheremo anche i requisiti che le attività devono soddisfare per conformarsi al GDPR e le sanzioni che potrebbero essere applicate in caso di mancata osservazione.

Di cosa tratta questo articolo?

  • Perché è stato introdotto il GDPR?
  • Quali sono le disposizioni chiave del GDPR?
  • Che impatto ha il GDPR sull'e-commerce?
  • Quali requisiti devono soddisfare le attività di e-commerce per conformarsi alle normative GDPR?
  • Quali sanzioni sono previste se le attività non rispettano il GDPR?

Perché è stato introdotto il GDPR?

Il GDPR è stato introdotto per standardizzare la protezione dei dati in tutta l'Unione europea (UE) e per migliorare la protezione dei dati personali in un mondo sempre più digitale. Prima del GDPR, gli Stati membri dell'UE avevano leggi diverse sulla protezione dei dati. Ciò ha comportato differenze significative nel livello di protezione e ha rappresentato una sfida per le attività che operano in più paesi. Il GDPR stabilisce un quadro giuridico unico che si applica a tutti i paesi dell'UE.

L'obiettivo principale del GDPR è quello di proteggere le persone fisiche in merito al trattamento dei dati personali. Il regolamento mira a promuovere la fiducia dei cittadini nel trattamento dei loro dati. Il GDPR consente alle attività dell'UE di operare in modo più efficiente in quanto possono rispettare standard uniformi di protezione dei dati.

Prima dell'introduzione del GDPR, in Germania la protezione dei dati era regolata dalla legge federale sulla protezione dei dati (BDSG) che è stata adattata ed è considerata un'integrazione del GDPR, soprattutto nelle aree in cui il GDPR lascia agli Stati membri una certa discrezionalità.

Quali sono le disposizioni chiave del GDPR?

Il GDPR contiene diverse disposizioni chiave suddivise in 11 capi e 99 articoli. Ecco una panoramica dei più importanti:

Principi del trattamento dei dati

L'articolo 5 del GDPR disciplina i principi applicabili al trattamento dei dati personali. Tra gli altri requisiti, i dati devono essere:

  • trattati in modo lecito e trasparente nei confronti dell'interessato;
  • raccolti e trattati per finalità determinate, esplicite e legittime;
  • trattati solo nella misura necessaria rispetto alle finalità per le quali sono trattati;
  • aggiornato ed esatti;
  • cancellati se non più necessari ai fini del trattamento;
  • protetti mediante misure tecniche e organizzative dall'accesso, dalla perdita o dalla distruzione non autorizzati.

Liceità del trattamento

L'articolo 6 del GDPR stabilisce che il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni giuridiche:

  • consenso da parte dell'interessato;
  • un contratto con l'interessato;
  • il trattamento è necessario per adempiere un obbligo legale;
  • il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;
  • il trattamento è necessario per l'esecuzione di un compito di interesse pubblico;
  • il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti fondamentali dell'interessato.

Diritti dell'interessato

Il capo 3 del GDPR disciplina i diversi diritti dell'interessato in merito al trattamento dei loro dati.

  • L'interessato ha il diritto di sapere quali dati personali che lo riguardano sono memorizzati, come vengono trattati e con chi vengono condivisi (articolo 15 del GDPR).
  • I dati personali errati o incompleti devono essere corretti su richiesta dell'interessato (articolo 16 del GDPR).
  • L'interessato può, a determinate condizioni, chiedere la cancellazione dei dati personali (articolo 17 del GDPR).
  • L'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento (articolo 20 del GDPR).
  • L'interessato ha il diritto di opporsi per determinati motivi al trattamento dei dati personali che lo riguardano in particolare per finalità di marketing diretto (articolo 21 del GDPR).

Responsabilità del titolare del trattamento

Il capo 4 elenca gli obblighi del titolare del trattamento e del responsabile del trattamento. Questi includono, tra gli altri, i seguenti obblighi:

  • Il titolare del trattamento deve garantire che coloro che trattano i dati personali per loro conto soddisfino anche i requisiti del GDPR (articolo 28 del GDPR).
  • Le violazioni dei dati devono essere notificare dai responsabili all'autorità di controllo competente entro 72 ore se comportano un rischio per i diritti e le libertà delle persone fisiche (articolo 33 del GDPR).
  • Per determinati tipi di trattamento dei dati che presentano un rischio elevato per i diritti e le libertà degli interessati, il titolare del trattamento effettua una valutazione dell'impatto sulla protezione dei dati (articolo 35 del GDPR).

Che impatto ha il GDPR sull'e-commerce?

Il GDPR è fondamentale per le attività di e-commerce perché elaborano grandi quantità di dati personali. Le informazioni sui clienti come nome, indirizzo, dettagli di pagamento e cronologia degli ordini sono essenziali per il funzionamento di un negozio online. Ciò significa che il GDPR ha un impatto significativo sulla progettazione e sul quadro giuridico dei modelli di business dell’e-commerce.

Un trattamento negligente dei dati personali da parte dei negozi online può comportare una violazione della protezione dei dati, con conseguenti controversie legali, sanzioni normative e danni all'immagine dell'attività. Per questo motivo, soprattutto i gestori dei negozi online devono conoscere il GDPR e gli obblighi che impone.

Ad esempio, un'attività non è autorizzata a raccogliere il numero di telefono se non è necessario per l'ordine e la consegna. Possono essere raccolti solo i dati necessari per la consegna e il pagamento della merce ordinata.

Allo stesso modo, le informazioni di marketing, come gli indirizzi e-mail per le newsletter, possono essere raccolte e utilizzate solo dietro consenso esplicito del cliente. Inoltre, i dati della carta di credito devono essere conservati solo per il tempo necessario a completare il processo di pagamento. Informazioni quali la data di nascita possono essere raccolte solo se necessarie per la verifica dell'età, ad esempio quando si vendono merci soggette a limiti di età. Scopri di più sui pagamenti e-commerce.

Quali requisiti devono soddisfare le attività di e-commerce per conformarsi alle normative GDPR?

Per rispettare le normative GDPR, le attività di e-commerce devono soddisfare una serie di requisiti. Tali requisiti derivano in gran parte dai summenzionati diritti dell'interessato (capo 3 del GDPR) e dagli obblighi del titolare del trattamento (capo 4 del GDPR).

Informativa sulla privacy

Le attività di e-commerce devono fornire un'informativa sulla privacy completa. Deve spiegare in modo trasparente ed esaustivo quali dati personali vengono raccolti, per quale scopo, come vengono trattati i dati e quali sono i diritti dell'interessato. L'informativa sulla privacy deve essere facilmente reperibile (ad esempio, nel piè di pagina del sito web o come link diretto quando si accede alla pagina). L'articolo 13 del GDPR elenca tutte le informazioni da fornire in una dichiarazione sulla protezione dei dati conforme al GDPR. Le informazioni da fornire includono:

  • il nome e i dati di contatto del titolare del trattamento;
  • il nome e i dati di contatto del responsabile della protezione dei dati, ove applicabile;
  • le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
  • un'indicazione degli interessi legittimi del titolare del trattamento, se il trattamento dei dati si basa su di essi (cfr. articolo 1, paragrafo 1, lettera f) del GDPR);
  • i destinatari dei dati personali in caso di comunicazione;
  • la durata della conservazione dei dati personali;
  • i diritti dell'interessato, compresi i diritti di accesso, rettifica, cancellazione, opposizione, revoca e limitazione del trattamento;
  • le conseguenze della mancata comunicazione dei dati personali.

Il trattamento dei dati personali non necessari per l'esecuzione del contratto richiede il consenso informato dell'utente. Ciò vale in particolare per l'uso dei cookie, che sono file di testo che vengono memorizzati temporaneamente nel browser dell'utente. I cookie tecnicamente necessari vengono utilizzati, ad esempio, per visualizzare la lingua appropriata del sito Web per l'utente o per memorizzare il contenuto del carrello.

I cookie sono essenziali per il corretto funzionamento dei siti web e vengono utilizzati per creare profili utente per la pubblicità personalizzata. In alcuni casi ciò può essere cruciale perché vengono memorizzati dati statistici e personali. Per questo motivo, agli utenti deve essere data la possibilità di acconsentire alla conservazione e al trattamento dei cookie. Un semplice "cookie banner" è sufficiente solo se offre la possibilità di rifiutare o modificare le impostazioni dei cookie.

Misure tecniche e organizzative

Per proteggere i dati personali dall'accesso di terzi, tra le altre cose, i negozi online devono adottare precauzioni tecniche di sicurezza tra cui la cifratura della trasmissione dei dati, ad esempio mediante il protocollo di trasferimento ipertestuale sicuro (HTTPS) (articolo 32 del GDPR). Ciò richiede un certificato SSL (Secure Sockets Layer) o TLS (Transport Layer Security). I negozi online devono inoltre garantire che i dati personali siano conservati in modo sicuro (ad es. in database crittografati). Anche i backup dei dati sono obbligatori.

Consenso per offerte pubblicitarie e informative

Gli indirizzi e-mail dei clienti non possono essere utilizzati automaticamente per inviare newsletter, pubblicità oppure offerte informative. A tal fine è richiesto il consenso attivo da parte dei clienti. Con l'entrata in vigore del GDPR, sulla base dell'articolo 7 e dell'articolo 8 del regolamento è necessaria la procedura di double opt-in. "Opt-in" può essere liberamente tradotto come "decidere su qualcosa" o "scegliere". La procedura di double opt-in richiede ai clienti di confermare due volte. Prima si deve chiedere loro se desiderano ricevere una newsletter, ad esempio. Se questo viene confermato dalla registrazione e dalla relativa trasmissione dell'indirizzo e-mail, segue un secondo passaggio: le attività devono inviare un link di conferma su cui è opportuno cliccare per attivare l'offerta.

Accordi per il trattamento dei dati

Se fornitori di servizi esterni trattano dati personali da un negozio online, è necessario stipulare accordi per il trattamento dei dati. Questo è il requisito obbligatorio per il trasferimento dei dati a terzi. Gli accordi sulla protezione dei dati garantiscono che anche i terzi rispettino il GDPR. I tipici fornitori di servizi per i negozi online sono i fornitori di servizi di pagamento o i fornitori di servizi cloud e di soluzioni Software-as-a-Service (SaaS).

In questi caso Stripe Checkout può aiutarti mediante un modulo di pagamento pronto all'uso che semplifica la procedura di pagamento. Puoi integrare Checkout nel tuo sito web o reindirizzare i clienti a una pagina in hosting su Stripe. Qui è possibile accettare i pagamenti o gli abbonamenti in modo semplice, sicuro e in conformità con il GDPR.

Nomina del responsabile della protezione dei dati

Ai sensi dell'articolo 37 del GDPR, la nomina del responsabile della protezione dei dati per un negozio online è obbligatoria a determinate condizioni. Sorvegliano l'osservanza del GDPR e fungono da contatto per le autorità di controllo e l'interessato.

Quali sanzioni sono previste se le attività non rispettano il GDPR?

Ai sensi dell'articolo 83 del GDPR, in caso di violazione delle norme sulla protezione dei dati le attività possono essere soggette a severe sanzioni fino a 20 milioni di euro, pari al 4% del fatturato mondiale annuo dell'attività. Ad esempio, è un reato amministrativo nascondere intenzionalmente, consapevolmente o per negligenza il mittente o la natura commerciale di un messaggio. Lo stesso vale per la raccolta, il trattamento o la conservazione di dati personali in violazione della legge. Inoltre, l'interessato deve essere sempre informato sulla raccolta dei dati.

I contenuti di questo articolo hanno uno scopo puramente informativo e formativo e non devono essere intesi come consulenza legale o fiscale. Stripe non garantisce l'accuratezza, la completezza, l'adeguatezza o l'attualità delle informazioni contenute nell'articolo. Per assistenza sulla tua situazione specifica, rivolgiti a un avvocato o a un commercialista competente e abilitato all'esercizio della professione nella tua giurisdizione.

Tutto pronto per iniziare?

Crea un account e inizia ad accettare pagamenti senza la necessità di stipulare contratti o di comunicare le tue coordinate bancarie. In alternativa, contattaci per progettare un pacchetto personalizzato per la tua attività.
Checkout

Checkout

Incorpora Checkout nel tuo sito web o reindirizza i clienti a una pagina in hosting su Stripe per accettare in modo facile e sicuro pagamenti una tantum o abbonamenti.

Documentazione di Checkout

Crea un modulo di pagamento con poco codice e incorporalo nel tuo sito o reindirizza a una pagina in hosting su Stripe.