Anche se la presenza online di molte organizzazioni è diventata obbligatoria per il business, non solo attraverso siti, ma anche con la vendita, grazie a eCommerce, App e MarketPlace, è anche vero che sono ancora in tante a non essere compliant con le richieste del GDPR (Regolamento Generale sulla Protezione dei Dati).
Questa normativa dell'Unione Europea è nata per proteggere la privacy e i dati personali dei cittadini europei e prevede multe secondo la gravità della violazione, con sanzioni che vanno dal 2 al 4% del fatturato annuo totale.
Non si scherza! Il Garante della Privacy ha sanzionato per 120.000 euro due siti di comparazione di polizze perché avevano registrato migliaia di consensi per finalità marketing, ma a causa di un bug non sono riusciti a dimostrare la reale volontà degli utenti e che il consenso fosse stato davvero espresso.
Le richieste del GDPR sono importanti tanto quanto il registro di cassa o i contributi versati ai dipendenti, ma sono ancora sottovalutate. Sappiamo che gli adempimenti legali trascinano con sé non pochi tecnicismi che rischiano di rallentare il processo, soprattutto se non è presente in Azienda un consulente dedicato.
In questo articolo parleremo delle sanzioni a cui vai incontro se violi il GDPR e ti aiuteremo a rispondere alle richieste del Garante della Privacy per adeguare il tuo sito, App o eCommerce quanto prima, in modo rapido ed economico.
Si parla tanto di GDPR, ma a chi si applica?
Ti riguarda se rientri in organizzazioni, imprese, persone fisiche, società, enti pubblici e di altro genere - incluse piccole imprese, associazioni di volontariato e organizzazioni senza scopo di lucro - che hanno sede nell'Unione Europea e offrono beni o servizi (anche a titolo gratuito) ai cittadini dell'UE, o che monitorano il comportamento delle persone che risiedono nell'UE, direttamente o per conto terzi.
Il GDPR potrebbe non essere l’unico riferimento normativo cui adeguare il tuo sito, App o eCommerce. Diversi paesi hanno regole diverse, anche se molto vicini fra loro geograficamente::
Se operi all’interno dell’Unione Europea, è quasi certo che il tuo business debba adeguarsi al GDPR. Continua a leggere per saperne di più.
In che modo può essere violato il GDPR e quando puoi incorrere nelle sanzioni che, secondo la gravità della violazione, vanno dal 2 al 4% del fatturato annuo totale?
Iniziamo col dire che le violazioni possono riguardare diversi ambiti, fra cui:
In dettaglio ecco alcuni esempi pratici di violazioni del GDPR:
La lista chiaramente continua, ma ci sono diverse soluzioni!
Veniamo quindi alle principali contromisure che puoi adottare per migliorare la tua compliance online:
È importante avere Privacy Policy e Cookie Policy sempre aggiornate. Per essere valida, la tua privacy policy deve descrivere i dati personali raccolti, le finalità del trattamento ed elencare tutti i servizi di terza parte con cui tali dati vengono condivisi.
Cos’è un cookie banner? È un avviso che viene mostrato su molti siti e App alla prima visita dell’utente per informarli della presenza di eventuali Cookie, dei loro diritti, chiedendo il consenso all’installazione soprattutto per quelli di terze parti dedicate alle attività marketing e pubblicitarie.
Disporre un cookie banner (insieme a una Cookie Policy) e bloccare i Cookie prima di aver ottenuto il consenso dell’utente sono tutti requisiti previsti dalla Direttiva ePrivacy (Cookie Law) e dal GDPR.
Quando navighi online e clicchi con noncuranza su “Accetta” in ogni Banner Cookie, lì dove è presente, sappi che le aziende conservano i tuoi dati e li utilizzano anche per finalità commerciali. In alcuni casi possono anche cederli a terzi, ecco perché quando si parla di trattamento dei dati, è necessario ricordare che l’organizzazione deve ottenere un consenso inequivocabile da parte degli utenti, sin dall’inizio della vostra relazione.
Il consenso può essere prestato limitatamente ai Cookie tecnici, necessari per far funzionare il sito, così come a quelli facoltativi relativi ad altre finalità, di prima o terze parti.
Per ottenere il consenso al trattamento dei dati da parte dei propri utenti, l’organizzazione non può utilizzare termini eccessivamente complicati o indecifrabili. Gli utenti devono essere consapevoli di ciò a cui acconsentono e delle conseguenze delle loro scelte.
Per il Garante della Privacy è responsabilità del titolare del sito, App o eCommerce predisporre una prova del consenso inequivocabile che contenga:
Nel caso di utenti minori, l’organizzazione è tenuta ad ottenere un consenso verificabile da parte di un genitore o tutore del minore, a meno che il servizio offerto non sia di prevenzione o consulenza.
L’organizzazione deve altresì compiere sforzi ragionevoli (utilizzando ogni tecnologia disponibile) per verificare che la persona che presta il consenso detenga effettivamente la responsabilità genitoriale del minore.
Anche per queste ragioni, tutte le Policy devono essere redatte in modo leggibile, utilizzando un linguaggio e delle clausole comprensibili senza utilizzare un gergo superfluo o eccessivamente tecnico.
Le prove del consensi (ad esempio per il ricontatto con finalità di marketing) devono contenere diversi elementi chiave, i consensi vanno non solo raccolti ma anche ben documentati. É importante sapere in quale giorno e a quale ora l’utente ha prestato il consenso ad una specifica policy e tramite quale form/applicazione. Il Registro non deve essere manipolabile da chi raccoglie il dato e deve essere disponibile ad ogni consultazione in caso di richiesta da parte del Garante della Privacy o delle Forze dell’Ordine.
Le verifiche degli interi registi da parte degli enti preposti possono avvenire anche grazie alla segnalazione di qualche utente. Se l’organizzazione non risponde alle ottemperanze del GDPR viene messo in discussione tutto il Registro e quindi i consensi che avrai raccolto fino a quel momento!
Capirai bene che gestire questi aspetti manualmente, senza l’utilizzo di un software dedicato, è incredibilmente dispendioso di tempo e risorse, oltre che rischioso.
La Consent Solution di iubenda ti permette di adeguare i tuoi form e archiviare una prova del consenso come richiesto dal GDPR:
Con i Termini e Condizioni, conosciuti anche come Termini di servizio o Termini d’uso, puoi definire le condizioni di utilizzo di un sito, App o servizio in maniera giuridicamente vincolante.
Questo documento disciplina il rapporto contrattuale fra il fornitore del servizio e l’utente e di fatto costituiscono un contratto in cui vengono chiarite nero su bianco le condizioni d’uso dei prodotti e servizi forniti.
Copiare o manipolare documenti di attività simili alla tua non ti tutela da sanzioni e non ti permette di difenderti in caso di abusi da parte degli utenti, soprattutto in relazione alla normativa applicabile.
I Termini e Condizioni occorrono a blogger, ad eCommerce, SaaS e grandi aziende.
Se ti occupi di vendita online oltre a spiegare come tratti i dati personali degli utenti, devi specificare agli utenti:
Non devi dimenticare che il supporto di un DPO o un legale specializzato è davvero importante per la compliance al GDPR della tua Azienda.
Ogni impresa infatti tratta dati diversi, in modi variabili, attraverso molte tecnologie, per finalità più differenti. Soltanto una consulenza ad-hoc, in coppia con gli indispensabili strumenti tecnologici giusti (come iubenda), potrà farti dormire sonni tranquilli.
Quanto costa iubenda? Quanto devo pagare per rendere compliant il mio sito, App o eCommerce? iubenda propone piani in abbonamento, con un costo annuale/mensile delle licenze, questo permette di usufruire di costi bassi, dotando però i clienti di un servizio di altissima qualità.
Il costo varia sulla base dei siti e della app da rendere compliant e parte da qualche centinaio di euro l’anno. Certamente scenari più complessi richiedono l’impiego di soluzioni più sofisticate e avanzate che iubenda offre ai propri clienti anche a consumo (paghi per quanto consumi il servizio).
iubenda non si sostituisce a una consulenza legale, ma a queste consulenze si affianca: qualsiasi consulente legale o DPO ha infatti bisogno di un’infrastruttura che dia una mano nella gestione di policy e raccolta dei consensi, in modo adeguato e puntuale.
I costi poi sono da considerarsi un investimento: sia nei confronti dei propri utenti, verso i quali la trasparenza paga sempre in termini di relazione e fiducia; sia pensando alle possibili e altissime sanzioni che si eviteranno con qualche centinaio d’euro l’anno.
Gli adempimenti di legge possono spesso passare in sordina all’interno delle organizzazioni, ma quando si parla di sanzioni l’attenzione di chi è chiamato a decidere in un’Azienda è sempre molto alta. Proteggere il fatturato è una priorità!
Gli aspetti chiave relativi alle sanzioni vengono riassunte nell’articolo 83 del GDPR e dalle condizioni generali per l’irrogazione di sanzioni amministrative pecuniarie. Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte siano in ogni singolo caso effettive, proporzionate e dissuasive.
Le sanzioni amministrative pecuniarie sono inflitte in funzione delle circostanze di ogni singolo caso, infatti si tiene debito conto dei seguenti elementi:
a) la natura, la gravità e la durata della violazione, tenendo conto della natura, dell'ambito o della finalità del trattamento in questione, nonché del numero di interessati interessati e del livello di danno da essi subito;
(b) il carattere doloso o colposo della violazione;
(c) qualsiasi azione intrapresa dal titolare o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento, tenuto conto delle misure tecniche e organizzative da essi messe in atto a norma degli articoli 25 e 32;
(e) eventuali precedenti violazioni rilevanti da parte del titolare del trattamento o del responsabile del trattamento;
(f) il grado di collaborazione con l'autorità di controllo, al fine di porre rimedio alla violazione e attenuare i possibili effetti negativi della violazione;
(g) le categorie di dati personali interessati dalla violazione;
(h) il modo in cui la violazione è venuta a conoscenza dell'autorità di controllo, in particolare se, e in tal caso in che misura, il titolare del trattamento o l'incaricato del trattamento ha notificato la violazione;
i) qualora siano state precedentemente disposte misure di cui all'articolo 58, paragrafo 2, nei confronti del titolare del trattamento o dell'incaricato del trattamento interessato relativamente allo stesso oggetto, il rispetto di tali misure;
j) adesione a codici di condotta approvati a norma dell'articolo 40 o meccanismi di certificazione approvati a norma dell'articolo 42;
(k) qualsiasi altro fattore aggravante o attenuante applicabile alle circostanze del caso, come i vantaggi finanziari ottenuti o le perdite evitate, direttamente o indirettamente, dalla violazione.
Se il titolare o il responsabile del trattamento violano, intenzionalmente o per negligenza, per trattamenti identici o collegati, più disposizioni del presente regolamento, l'importo complessivo della sanzione amministrativa pecuniaria non supera l'importo previsto per la violazione più grave.
Come avrai capito, insomma, è cruciale dotarsi dei migliori strumenti sul mercato, di tecnici certificati per l’installazione di tali strumenti e di un partner legale che possa validare l’intero cruscotto privacy: soltanto in questo modo potrai provare davanti alle autorità di controllo che hai fatto tutto il possibile per raccogliere in modo corretto e tutelare al massimo la privacy dei tuoi utenti.
Vuoi adeguare il tuo sito, eCommerce e App? Parliamone!