Inizia ora  Contattaci 
Inizia ora  Contattaci 

Protezione dei dati personali su internet in Francia

Checkout
Checkout

Stripe Checkout è un modulo di pagamento predefinito e ottimizzato per la conversione. Incorpora Checkout nel tuo sito web o reindirizza i clienti alla pagina in hosting su Stripe per accettare in modo facile e sicuro pagamenti una tantum o abbonamenti.

Ulteriori informazioni 
  1. Introduzione
  2. Ecco che cosa sono i dati personali
  3. Che cos’è il trattamento dei dati personali?
  4. Normative vigenti in materia di protezione dei dati personali
    1. Autorità responsabile della protezione dei dati personali in Francia
  5. Principi del Regolamento generale sulla protezione dei dati (GDPR)
  6. Richieste del GDPR
    1. Informazioni alle persone
    2. Raccolta del consenso
    3. Garanzia dei diritti delle persone
    4. Conservazione di registri scritti delle operazioni di trattamento
    5. Garanzia della sicurezza dei dati
    6. Altri obblighi
  7. Inizia con Stripe 

Le aziende che trattano dati personali all'interno dell'UE sono tenute a implementare una politica di protezione dei dati. Che cosa prevede la legge sulla protezione dei dati? Quali obblighi impone? Un'attività è obbligata a nominare un responsabile della protezione dei dati (DPO)? In questo articolo affrontiamo le domande più importanti sulla protezione dei dati, spiegando come rispettare le normative.

Contenuto dell'articolo

  • Che cosa sono i dati personali?
  • Che cos'è il trattamento dei dati personali?
  • Quali sono le normative vigenti in materia di protezione dei dati personali?
  • Quali sono i principi del Regolamento generale sulla protezione dei dati (GDPR)?
  • Che cosa richiede il GDPR?

Ecco che cosa sono i dati personali

I dati personali, detti anche "informazioni personali", sono informazioni che consentono di identificare direttamente o indirettamente una persona fisica. I dati personali possono includere nome e cognome, numero SSN, numeri di telefono, indirizzi email o indirizzi IP (Internet Protocol), comportamenti o fotografie online. I dati anonimizzati (ovvero i dati che eliminano la possibilità di identificare la persona) non sono considerati dati personali. Lo stesso vale per i dati relativi a una persona giuridica, come ad esempio un'azienda.

Che cos'è il trattamento dei dati personali?

Per trattamento dei dati personali si intende un insieme di operazioni applicate ai dati personali. Tali operazioni possono includere la raccolta, la registrazione, l'organizzazione, la conservazione, la modifica, la consultazione, la cancellazione, l'estrazione, la diffusione e l'eliminazione dei dati. Tali attività possono essere informatizzate o meno.

Esempi di trattamento dei dati includono la gestione della scheda di un cliente, la raccolta delle informazioni di contatto dei potenziali clienti e il salvataggio degli indirizzi IP. Nella maggior parte dei casi, i dati personali trattati dalle aziende riguardano clienti, fornitori, potenziali clienti, dipendenti e candidati a posizioni lavorative.

Normative vigenti in materia di protezione dei dati personali

Dal 25 maggio 2018, il Regolamento generale sulla protezione dei dati (GDPR) costituisce il quadro normativo per la raccolta e la gestione dei dati all'interno dell'UE. Il GDPR ha standardizzato le norme per tutti i soggetti pubblici e privati che trattano dati personali all'interno dell'UE. Di seguito sono riportati i principali soggetti coinvolti:

    • Organizzazioni costituite all'interno dell'UE, quali start-up, piccole e medie imprese, grandi aziende, associazioni, organizzazioni professionali ed enti pubblici.

  • Aziende straniere che si rivolgono a cittadini europei

  • Responsabili del trattamento dei dati che raccolgono e gestiscono dati personali per conto di altre attività

Ad esempio, un'azienda con sede in Cina che tratta i dati personali di una persona fisica in Francia deve conformarsi al GDPR.

Autorità responsabile della protezione dei dati personali in Francia

La Commissione nazionale per l'informatica e le libertà civili (Commission nationale de l'informatique et des libertés, o CNIL) supervisiona la protezione dei dati personali raccolti da enti pubblici e privati. La CNIL fornisce supporto alle aziende nell'adempimento delle normative applicabili ed è responsabile di sanzionare quelle che non le rispettano.

Principi del Regolamento generale sulla protezione dei dati (GDPR)

Il GDPR si basa su diversi principi. Il trattamento dei dati personali deve essere lecito, trasparente, temporaneo e sicuro, e deve avvenire solo quando necessario (ovvero, minimizzazione dei dati). Di seguito sono riportate ulteriori informazioni su ciascun principio:

  • Finalità lecita
    Ogni volta che i dati personali vengono trattati, deve esserci una base giuridica che lo giustifichi. Pertanto, un'attività non può raccogliere dati personali senza un obiettivo specifico e legittimo.

  • Trasparenza
    Tutti le persone devono essere informate dei propri diritti e del fatto che i loro dati vengono raccolti. È importante che le attività facilitino l'attuazione dei diritti delle persone.

  • Minimizzazione dei dati
    Un'attività dovrebbe raccogliere solo i dati strettamente necessari per raggiungere tali obiettivi.

  • Durata limitata
    La durata della conservazione dei dati deve avere una data di scadenza prestabilita. L'attività deve sviluppare una politica chiara in materia di conservazione dei dati.

  • Sicurezza
    L'attività deve adottare misure di sicurezza per proteggere i dati personali raccolti.

Nota: anche i responsabili del trattamento dei dati che trattano dati personali per conto di un'attività devono conformarsi al GDPR.

Richieste del GDPR

Il GDPR richiede che un'azienda garantisca informazione e trasparenza nei confronti delle persone cui dati vengono raccolti. A tal fine, le aziende devono ottenere il consenso, agevolare l'esercizio dei diritti dei clienti, mantenere un registro del trattamento e garantire la sicurezza dei dati.

Informazioni alle persone

Un'azienda deve informare tutte le persone di cui raccoglie i dati personali. Le informazioni devono essere comunicate chiaramente e devono includere quanto segue:

  • Identità e informazioni di contatto del responsabile del trattamento dei dati (ad esempio, un manager)

  • Motivo del trattamento

  • Base giuridica che giustifica il trattamento (ad esempio, consenso dell'interessato, esecuzione di un contratto, obbligo legale)

  • Natura obbligatoria o facoltativa della raccolta dei dati

  • Destinatari dei dati personali

  • Durata della conservazione dei dati

  • Diritti dei clienti

  • Diritto di presentare un reclamo alla CNIL

  • Esistenza di trasferimento dati verso un Paese al di fuori dell'UE, se applicabile

La mancata comunicazione delle informazioni può comportare una sanzione fino a 1.500 euro per i titolari di imprese individuali e 7.500 euro per le attività. Le attività devono fornire le informazioni al momento della raccolta dei dati, in caso di modifiche successive o entro un termine ragionevole di un mese (ad esempio, per la raccolta indiretta dei dati).

Raccolta del consenso

Le attività devono inoltre garantire la raccolta del consenso dei clienti se effettuano una delle seguenti operazioni:

  • Utilizza i cookie

  • Invia email promozionali

  • Raccoglie dati personali sensibili

  • Riutilizza i dati per altri scopi

I clienti devono poter fornire il proprio consenso indipendente per tutte le finalità, qualora ve ne siano più di una. Le attività non possono utilizzare caselle di controllo selezionate per impostazione predefinita.

Nota: la mancanza di consenso può essere sanzionata con cinque anni di reclusione e una multa di 300.000 euro per i titolari di imprese individuali o di 1,5 milioni di euro per le aziende.

Garanzia dei diritti delle persone

Le attività sono tenute a rispettare i diritti delle persone di cui trattano i dati, tra cui il diritto di accesso, il diritto di rettifica, il diritto all'oblio, il diritto di opporsi al trattamento e il diritto alla portabilità dei dati. È importante che le attività consentano alle persone di esercitare facilmente i propri diritti.

Conservazione di registri scritti delle operazioni di trattamento

Un registro delle operazioni di trattamento consente di avere una panoramica di tutte le operazioni di trattamento effettuate. La tenuta di un registro scritto è obbligatoria per le aziende con oltre 250 dipendenti.

Garanzia della sicurezza dei dati

È importante creare meccanismi solidi per garantire la sicurezza dei dati. Le attività possono adottare le seguenti strategie:

  • Autenticazione obbligatoria dei clienti e accesso con limitazioni

  • Sistemi di registrazione giornaliera per garantire la tracciabilità delle attività

  • Blocco automatico, firewall, software antivirus e reti private virtuali (VPN)

  • Backup regolari e archiviazione dei dati che non vengono utilizzati quotidianamente

Puoi integrare Stripe Checkout direttamente sul tuo sito web per rafforzare la sicurezza dei dati dei clienti. Checkout facilita l'inserimento e il riutilizzo dei dati di pagamento dei clienti gestendo al contempo i dati sensibili delle carte in piena conformità.

Altri obblighi

Se un'attività tratta dati personali su larga scala, può essere obbligata a nominare un DPO. Inoltre, quando le operazioni di trattamento da parte de un'attività comportano un rischio elevato per i diritti e le libertà dei clienti, diventa obbligatorio effettuare una Valutazione d'impatto sulla protezione dei dati (DPIA).

Qualora i dati personali vengano trasferiti al di fuori dell'UE (ad esempio, trasferimento dati a una filiale in Cina o a un appaltatore straniero), le attività devono richiedere l'autorizzazione alla Commissione Europea. È necessario adottare una decisione di adeguatezza affinché le attività possano trasferire i propri dati.

I contenuti di questo articolo hanno uno scopo puramente informativo e formativo e non devono essere intesi come consulenza legale o fiscale. Stripe non garantisce l'accuratezza, la completezza, l'adeguatezza o l'attualità delle informazioni contenute nell'articolo. Per assistenza sulla tua situazione specifica, rivolgiti a un avvocato o a un commercialista competente e abilitato all'esercizio della professione nella tua giurisdizione.

Altri articoli

  • Sì è verificato un problema. Riprova o contatta l'assistenza di Stripe.

Tutto pronto per iniziare?

Crea un account e inizia ad accettare pagamenti senza la necessità di stipulare contratti o di comunicare le tue coordinate bancarie. In alternativa, contattaci per progettare un pacchetto personalizzato per la tua attività.
Checkout

Checkout

Accetta in modo facile e sicuro pagamenti una tantum o abbonamenti incorporando Checkout nel tuo sito web o reindirizzando i clienti a una pagina in hosting su Stripe.

Documentazione di Checkout

Crea un modulo di pagamento con poco codice e incorporalo nel tuo sito o reindirizza a una pagina in hosting su Stripe.