power2Cloud

Sanzioni GDPR: quanto ti costano?

Anche se la presenza online di molte organizzazioni è diventata obbligatoria per il business, non solo attraverso siti, ma anche con la vendita, grazie a eCommerce, App e MarketPlace, è anche vero che sono ancora in tante a non essere compliant con le richieste del GDPR (Regolamento Generale sulla Protezione dei Dati).

Questa normativa dell’Unione Europea è nata per proteggere la privacy e i dati personali dei cittadini europei e prevede multe secondo la gravità della violazione, con sanzioni che vanno dal 2 al 4% del fatturato annuo totale. 

Non si scherza! Il Garante della Privacy ha sanzionato per 120.000 euro due siti di comparazione di polizze perché avevano registrato migliaia di consensi per finalità marketing, ma a causa di un bug non sono riusciti a dimostrare la reale volontà degli utenti e che il consenso fosse stato davvero espresso.

Le richieste del GDPR sono importanti tanto quanto il registro di cassa o i contributi versati ai dipendenti, ma sono ancora sottovalutate. Sappiamo che gli adempimenti legali trascinano con sé non pochi tecnicismi che rischiano di rallentare il processo, soprattutto se non è presente in Azienda un consulente dedicato. 

In questo articolo parleremo delle sanzioni a cui vai incontro se violi il GDPR e ti aiuteremo a rispondere alle richieste del Garante della Privacy per adeguare il tuo sito, App o eCommerce quanto prima, in modo rapido ed economico.

A chi si applica il GDPR? 

Si parla tanto di GDPR, ma a chi si applica? 

Ti riguarda se rientri in organizzazioni, imprese, persone fisiche, società, enti pubblici e di altro genere – incluse piccole imprese, associazioni di volontariato e organizzazioni senza scopo di lucro – che hanno sede nell’Unione Europea e offrono beni o servizi (anche a titolo gratuito) ai cittadini dell’UE, o che monitorano il comportamento delle persone che risiedono nell’UE, direttamente o per conto terzi.

Il GDPR potrebbe non essere l’unico riferimento normativo cui adeguare il tuo sito, App o eCommerce. Diversi paesi hanno regole diverse, anche se molto vicini fra loro geograficamente::

  • Unione Europea/ Regno Unito (GDPR)
  • Brasile (LGDP)
  • Virginia (VCDPA)
  • California (CPRA)
  • Ecc…

Se operi all’interno dell’Unione Europea, è quasi certo che il tuo business debba adeguarsi al GDPR. Continua a leggere per saperne di più.

Sanzioni GDPR: ecco quando non sei compliant 

In che modo può essere violato il GDPR e quando puoi incorrere nelle sanzioni che, secondo la gravità della violazione, vanno dal 2 al 4% del fatturato annuo totale? 

Iniziamo col dire che le violazioni possono riguardare diversi ambiti, fra cui:

  • la mancanza delle azioni adeguate successive alle violazioni dei dati di cui sei responsabile, a qualsiasi titolo;
  • l’inadeguatezza delle misure di sicurezza da te messe in campo;
  • l’impossibilità di provare il consenso dell’interessato affinchè tu possa conservare e trattare legittimamente i dati nonchè inviare allo stesso comunicazioni di qualsiasi natura;
  • la violazione dei diritti degli interessati in generale;
  • il trattamento non corretto dei cookie installati dal tuo sito/app:
  • Policy assenti o carenti sul trattamento dei dati o sui Cookie.

In dettaglio ecco alcuni esempi pratici di violazioni del GDPR: 

  • Quando un utente compila un form con i propri dati personali (per ricevere un preventivo o delle informazioni..) e alcuni consensi sono indicati come obbligatori e altri (come il consenso alle attività di marketing) sono pre-selezionati.
  • Molte aziende registrano migliaia di consensi per finalità di marketing, ma non sono in grado di dimostrare la reale volontà degli utenti e che il consenso è stato davvero espresso.
  • Il Banner Cookie è in una lingua diversa da quella presente sul sito, quindi non è comprensibile all’utente.
  • Il Banner Cookie non presenta la possibilità di scegliere se “Accettare”, “Rifiutare” o “Configurare i Cookie di terze parti”. 
  • Non sono presenti Privacy Policy e Cookie Policy, oppure i link alle Policy complete non sono di facile accesso. In alcuni casi sono presenti in una lingua diversa da quella in cui è disponibile il sito, quindi non sono comprensibili agli utenti.
  • Il sito si occupa di vendita di beni o servizi, ma mancano Termini e Condizioni.
  • Le Policy non descrivono i dati personali raccolti e le finalità del trattamento, non elencano tutti i servizi di terze parti con cui tali dati vengono condivisi e non informano gli utenti sui diritti relativi ai propri dati.
  • Quando non puoi continuare la navigazione di un sito se prima non accetti forzatamente quanto scritto nel Banner Cookie

La lista chiaramente continua, ma ci sono diverse soluzioni!

Adempimenti GDPR: quanto costano, attività da programmare 

Veniamo quindi alle principali contromisure che puoi adottare per migliorare la tua compliance online:

  • Dotarti di Privacy Policy, Cookie Policy e policy di Termini e Condizioni da aggiornare frequentemente
  • Installare sul tuo sito/app un Cookie Banner capace di bloccare preventivamente i cookie rispetto al consenso dell’utente
  • Usare una soluzione dedicata alla gestione dei consensi raccolti tramite form o altri canali

Privacy Policy e Cookie Policy

È importante avere Privacy Policy e Cookie Policy sempre aggiornate. Per essere valida, la tua privacy policy deve descrivere i dati personali raccolti, le finalità del trattamento ed elencare tutti i servizi di terza parte con cui tali dati vengono condivisi.

Cookie Banner

Cos’è un cookie banner? È un avviso che viene mostrato su molti siti e App alla prima visita dell’utente per informarli della presenza di eventuali Cookie, dei loro diritti, chiedendo il consenso all’installazione soprattutto per quelli di terze parti dedicate alle attività marketing e pubblicitarie. 

Disporre un cookie banner (insieme a una Cookie Policy) e bloccare i Cookie prima di aver ottenuto il consenso dell’utente sono tutti requisiti previsti dalla Direttiva ePrivacy (Cookie Law) e dal GDPR.

Il Registro Preferenze Cookie

Quando navighi online e clicchi con noncuranza su “Accetta” in ogni Banner Cookie, lì dove è presente, sappi che le aziende conservano i tuoi dati e li  utilizzano anche per finalità commerciali. In alcuni casi possono anche cederli a terzi, ecco perché quando si parla di trattamento dei dati, è necessario ricordare  che l’organizzazione deve ottenere un consenso inequivocabile da parte degli utenti, sin dall’inizio della vostra relazione. 

Il consenso può essere prestato limitatamente ai Cookie tecnici, necessari per far funzionare il sito, così come a quelli facoltativi relativi ad altre finalità, di prima o terze parti. 

Per ottenere il consenso al trattamento dei dati da parte dei propri utenti, l’organizzazione non può utilizzare termini eccessivamente complicati o indecifrabili. Gli utenti devono essere consapevoli di ciò a cui acconsentono e delle conseguenze delle loro scelte.

Per il Garante della Privacy è responsabilità del titolare del sito, App o eCommerce predisporre una prova del consenso inequivocabile che contenga:

  • da chi e quando è stato prestato il consenso;
  • quali preferenze sono state espresse;
  • tramite quale modulo/applicazione è stato acquisito il consenso;

Nel caso di utenti minori, l’organizzazione è tenuta ad ottenere un consenso verificabile da parte di un genitore o tutore del minore, a meno che il servizio offerto non sia di prevenzione o consulenza. 

L’organizzazione deve altresì compiere sforzi ragionevoli (utilizzando ogni tecnologia disponibile) per verificare che la persona che presta il consenso detenga effettivamente la responsabilità genitoriale del minore.

Anche per queste ragioni, tutte le Policy devono essere redatte in modo leggibile, utilizzando un linguaggio e delle clausole comprensibili senza utilizzare un gergo superfluo o eccessivamente tecnico.

Registro dei consensi 

Le prove del consensi (ad esempio per il ricontatto con finalità di marketing) devono contenere diversi elementi chiave, i consensi vanno non solo raccolti ma anche ben documentati. É importante sapere in quale giorno e a quale ora l’utente ha prestato il consenso ad una specifica policy e tramite quale form/applicazione. Il Registro non deve essere manipolabile da chi raccoglie il dato e deve essere disponibile ad ogni consultazione in caso di richiesta da parte del Garante della Privacy o delle Forze dell’Ordine.

Le verifiche degli interi registi da parte degli enti preposti possono avvenire anche grazie alla segnalazione di qualche utente.  Se l’organizzazione non risponde alle ottemperanze del GDPR viene messo in discussione tutto il Registro e quindi i consensi che avrai raccolto fino a quel momento! 

Capirai bene che gestire questi aspetti manualmente, senza l’utilizzo di un software dedicato, è incredibilmente dispendioso di tempo e risorse, oltre che rischioso. 

La Consent Solution di iubenda ti permette di adeguare i tuoi form e archiviare una prova del consenso come richiesto dal GDPR:

  • si integra perfettamente con i tuoi moduli di raccolta dati (puoi scegliere l’opzione di integrazione che preferisci: plugin WordPress, frontend/JavaScript, backend/HTTP API o strumenti di automazione come Zapier e Make)
  • si sincronizza con i tuoi documenti legali
  • include un’intuitiva dashboard che ti permette di recuperare i consensi in qualsiasi momento se ne hai la necessità

Termini e Condizioni

Con i Termini e Condizioni, conosciuti anche come Termini di servizio o Termini d’uso, puoi definire le condizioni di utilizzo di un sito, App o servizio in maniera giuridicamente vincolante. 

Questo documento disciplina il rapporto contrattuale fra il fornitore del servizio e l’utente e di fatto costituiscono un contratto in cui vengono chiarite nero su bianco le condizioni d’uso dei prodotti e servizi forniti. 

Copiare o manipolare documenti di attività simili alla tua non ti tutela da sanzioni e non ti permette di difenderti in caso di abusi da parte degli utenti, soprattutto in relazione alla normativa applicabile.

I Termini e Condizioni occorrono a blogger, ad eCommerce, SaaS e grandi aziende. 

Se ti occupi di vendita online oltre a spiegare come tratti i dati personali degli utenti, devi specificare agli utenti:

  • caratteristiche principali del servizio
  • informazioni che identificano il tuo eCommerce e relativi contatti
  • politiche di rimborso, sostituzione o sospensione del servizio
  • modalità e condizioni di pagamento, spedizione e consegna
  • indicazioni sugli strumenti di risoluzione delle controversie
  • garanzie e servizi successivi alla vendita (se applicabili)
  • informativa sui diritti del consumatore, in particolare il diritto di recesso (se applicabile) e relativa modalità di esercizio.

La consulenza di un DPO o un legale specializzato

Non devi dimenticare che il supporto di un DPO o un legale specializzato è davvero importante per la compliance al GDPR della tua Azienda. 

Ogni impresa infatti tratta dati diversi, in modi variabili, attraverso molte tecnologie, per finalità più differenti. Soltanto una consulenza ad-hoc, in coppia con gli indispensabili strumenti tecnologici giusti (come iubenda), potrà farti dormire sonni tranquilli.

Quanto costa iubenda per la compliance online?

Quanto costa iubenda? Quanto devo pagare per rendere compliant il mio sito, App o eCommerce? iubenda propone piani in abbonamento, con un costo annuale/mensile delle licenze, questo permette di usufruire di costi bassi, dotando però  i clienti di un servizio di altissima qualità.

Il costo varia sulla base dei siti e della app da rendere compliant e parte da qualche centinaio di euro l’anno. Certamente scenari più complessi richiedono l’impiego di soluzioni più sofisticate e avanzate che iubenda offre ai propri clienti anche a consumo (paghi per quanto consumi il servizio).  

iubenda non si sostituisce a una consulenza legale, ma a queste consulenze si affianca: qualsiasi consulente legale o DPO ha infatti bisogno di un’infrastruttura che dia una mano nella gestione di policy e raccolta dei consensi, in modo adeguato e puntuale.

I costi poi sono da considerarsi un investimento: sia nei confronti dei propri utenti, verso i quali la trasparenza paga sempre in termini di relazione e fiducia; sia pensando alle possibili e altissime sanzioni che si eviteranno con qualche centinaio d’euro l’anno. 

Sanzioni GDPR: come cambiano da caso a caso

Gli adempimenti di legge possono spesso passare in sordina all’interno delle organizzazioni, ma quando si parla di sanzioni l’attenzione di chi è chiamato a decidere in un’Azienda è sempre molto alta. Proteggere il fatturato è una priorità! 

Gli aspetti chiave relativi alle sanzioni vengono riassunte nell’articolo 83 del GDPR e dalle condizioni generali per l’irrogazione di sanzioni amministrative pecuniarie. Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte siano in ogni singolo caso effettive, proporzionate e dissuasive.

Le sanzioni amministrative pecuniarie sono inflitte in funzione delle circostanze di ogni singolo caso, infatti si tiene debito conto dei seguenti elementi:

a) la natura, la gravità e la durata della violazione, tenendo conto della natura, dell’ambito o della finalità del trattamento in questione, nonché del numero di interessati interessati e del livello di danno da essi subito;

(b) il carattere doloso o colposo della violazione;

(c) qualsiasi azione intrapresa dal titolare o dal responsabile del trattamento per attenuare il danno subito dagli interessati;

d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento, tenuto conto delle misure tecniche e organizzative da essi messe in atto a norma degli articoli 25 e 32;

(e) eventuali precedenti violazioni rilevanti da parte del titolare del trattamento o del responsabile del trattamento;

(f) il grado di collaborazione con l’autorità di controllo, al fine di porre rimedio alla violazione e attenuare i possibili effetti negativi della violazione;

(g) le categorie di dati personali interessati dalla violazione;

(h) il modo in cui la violazione è venuta a conoscenza dell’autorità di controllo, in particolare se, e in tal caso in che misura, il titolare del trattamento o l’incaricato del trattamento ha notificato la violazione;

i) qualora siano state precedentemente disposte misure di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o dell’incaricato del trattamento interessato relativamente allo stesso oggetto, il rispetto di tali misure;

j) adesione a codici di condotta approvati a norma dell’articolo 40 o meccanismi di certificazione approvati a norma dell’articolo 42;

(k) qualsiasi altro fattore aggravante o attenuante applicabile alle circostanze del caso, come i vantaggi finanziari ottenuti o le perdite evitate, direttamente o indirettamente, dalla violazione.

Se il titolare o il responsabile del trattamento violano, intenzionalmente o per negligenza, per trattamenti identici o collegati, più disposizioni del presente regolamento, l’importo complessivo della sanzione amministrativa pecuniaria non supera l’importo previsto per la violazione più grave.

Come avrai capito, insomma, è cruciale dotarsi dei migliori strumenti sul mercato, di tecnici certificati per l’installazione di tali strumenti e di un partner legale che possa validare l’intero cruscotto privacy: soltanto in questo modo potrai provare davanti alle autorità di controllo che hai fatto tutto il possibile per raccogliere in modo corretto e tutelare al massimo la privacy dei tuoi utenti.

Vuoi adeguare il tuo sito, eCommerce e App? Parliamone!

Sei interessato ai nostri progetti?

Sei sulla strada giusta!

logo power2Cloud - servizi Cloud

power2cloud è il tuo digital transformation partner! Accelera la crescita digitale con un team altamente certificato e qualificato, all’altezza dei nostri partner, selezionati per te: Aircall, Appspace, Atlassian, BigCommerce, cloudM, Google Cloud, Happeo, HubSpot, HYCU, Iubenda, Shopify, Trustpilot e Zendesk.

Tutto quello che ti serve

Articoli recenti