EABlog

GDPR: cosa significa per gli eCommerce?
4 Mar, 2020

Come adeguare il proprio sito eCommerce alla normativa GDPR?

Gestire una piattaforma per vendere online significa avere a che fare, quotidianamente, con una grande quantità di dati.

Da quelli raccolti durante la navigazione, utili per le analisi di profilazione, passando per le informazioni raccolte attraverso i form di contatto, fino ai dati personali del check-out per concludere pagamenti e ordini.

Ogni dato oggi racchiude un grande valore, non solo perché porta con sé una parte di privacy degli utenti, non solo perché è utile per orientare le proprie strategie di business, ma anche perché c’è chi, illecitamente, se ne impossessa per estorsioni, frodi, o furti.
Parliamo degli hacker, che nel 2021 arriveranno a fare più soldi dei narcotrafficanti, con danni che supereranno i 6 trilioni, colpendo indistintamente piccole e grandi aziende.

Di fronte all’urgente problema della sicurezza informatica e alla sempre più sentita necessità di protezione della privacy da parte degli utenti, l’Unione Europea è intervenuta con una nuova normativa sulla protezione dei dati: il GDPR.
GDPR è l’acronimo di General Data Protection Regulation ed è entrato in vigore a maggio 2018.

Nonostante siano passati quasi due anni dalla sua attuazione, molte aziende non sono ancora conformi alla normativa, anche a causa della grande nebulosa di fonti e informazioni.

Cerchiamo di fare chiarezza.

Quali misure prendere per essere compliance?

La misura preliminare da adottare è quella di controllare il livello generale di sicurezza del proprio sito web e l’attuale sistema di elaborazione e archivio dei dati sui server.

Privacy Policy: Raccolta, elaborazione e archiviazione dei dati



Come proprietario di un qualsiasi sito è obbligatorio pubblicare una chiara informativa sulla privacy che informi gli utenti di quali dati personali vengono utilizzati e come questi vengono elaborati e archiviati.
Gli utenti, presa visione dell’informativa, devono poter confermare che i loro dati possono essere raccolti: il consenso per l’utilizzo dei dati deve essere espresso in maniera chiara, attraverso la firma di un contratto o compilando un form apposito.

N.B. Pre-spuntare le caselle per ottenere il consenso di un cliente è vietato.

Gli utenti, oltre ad aver diritto alla massima trasparenza hanno diritto a:

  • Ricevere, su richiesta, una copia dei propri dati
  • Ottenere la cancellazione dei dati e interromperne la raccolta e l’elaborazione

Alcuni altri importanti suggerimenti:

  • Elaborare e archiviare i soli dati assolutamente necessari, limitandone l’accesso a terzi
  • Impostare i moduli di contatto per non memorizzare i dati sul server
  • Utilizzare plugin conformi al GDPR
  • Richiedere il consenso per l’utilizzo di strumenti di marketing (gestione newsletter ecc)
Notifiche di violazione

Ai sensi della conformità al GDPR, se il sito Web sta riscontrando o ha riscontrato una violazione dei dati di qualsiasi tipo, tale violazione deve essere comunicata ai propri utenti tempestivamente, perché può comportare un rischio per i diritti e le libertà delle persone.
La notifica deve infatti essere inviata entro 72 ore dalla prima presa di coscienza.

Messa in sicurezza dei dati raccolti

I dati personali in possesso devono essere protetti da qualsiasi rischio di furto, smarrimento o divulgazione. Per questo, è necessario prendere ogni misura per la loro sicurezza.

Il GDPR infatti prevede:

  • Di utilizzare pseudonimi e nomi cifrati per i dati personali
  • Utilizzare sistemi che permettano di garantire la riservatezza, l’integrità, la disponibilità e l’annullamento dei sistemi e dei servizi di trattamento
  • Istituire metodi che permettano di ripristinare la disponibilità dei dati personali e l’accesso ad essi, in tempi appropriati in caso di incidenti fisici o tecnici
  • Istituire una procedura volta a verificare, analizzare e valutare regolarmente l’efficacia delle misure tecniche e operative per assicurare la sicurezza nel trattamento dei dati.

La cifratura: un primo necessario intervento

Il GDPR prevede l’utilizzo della cifratura per la protezione dei dati personali degli utenti. 
Questo significa fare in modo che i dati si trasformino in incomprensibili stringhe di numeri e lettere con la doppia funzione di impedire i furti e allo stesso tempo tutelare la privacy.

Inoltre, grazie alla cifratura, i dati non sono considerati «personali» dalla normativa: in caso di data breach è così possibile evitare le ingenti multe previste.



Introdurre la cifratura non è un processo necessariamente complesso.


Esistono servizi per le piattaforme di eCommerce che non richiedono difficili installazioni di codice e che non compromettano la gestione del sito o l’esperienza utente. 

Attraverso questo tipo di servizi è infatti possibile cifrare tutti i dati dei form contatti e del checkout in maniera semplice, restando al sicuro dagli hacker e potendo contare sulla fiducia degli utenti, fondamentale per ogni negozio online.

 Il 77% dei consumatori mette la sicurezza informatica e la privacy dei propri dati al terzo posto nella scelta di un eCommerce.
(Capgemini, 2018)

Cosa si rischia

La sanzione per inadempienza può arrivare fino a 20 milioni di euro o, nel caso di un’impresa, fino al 4% del fatturato annuo totale mondiale dell’esercizio precedente, a seconda di quale sia maggiore.

Sicurezza informatica: una questione di progettazione

La piena conformità è però molto più di questo. Significa implementare politiche di protezione dei dati per l’intera organizzazione che coinvolgano la sicurezza in tutta la progettazione.

I vantaggi di questo investimento in sicurezza infatti, porta con sé diversi i vantaggi, che vanno oltre le multe per inadempimento:

  • 
Garanzia di integrità dei dati e continuità del business
  • Garanzia di una buona reputazione aziendale
  • Garanzia di qualità per Clienti, Rivenditori e Fornitori
  • Sicurezza e piena consapevolezza dei flussi di AI, IoT, network e servizi in cloud
  • Protezione da cybercrime, errori umani e relativi risvolti economici

La salvaguardia della riservatezza, integrità e disponibilità dei dati, quindi, dovrebbe rappresentare una priorità che va oltre al semplice adempimento delle leggi e riguarda il rapporto di fiducia, a lungo termine, che si vuole instaurare con i propri clienti e fornitori.

 

 

Cifra tutti i moduli del tuo sito

Proteggi la privacy dei tuoi clienti e ottieni sicurezza

Dai uno sguardo agli altri articoli