Quale impatto ha il GDPR su di te?

Il Regolamento Europeo per la protezione dei dati (GDPR) riguarda tutti i commercianti Shopify che hanno sede in Europa o che hanno clienti europei. Shopify sta svolgendo un intenso lavoro di adeguamento e permette ai suoi commercianti di conformarsi al GDPR dal 25 maggio 2018. Ma è importante notare che il GDPR richiede anche a te di attivarti, indipendentemente dalla piattaforma Shopify.

Shopify vuole agevolare quanto più possibile i commercianti nell'osservare le previsioni di legge. Questo articolo include alcune domande che dovresti porti per identificare i tuoi obblighi e assicurarti di aver configurato il tuo negozio in modo conforme alla legge.

Tutto questo però non costituisce un parere legale. Il GDPR è una regolamentazione complicata e si applicherà in modo diverso ai diversi merchant. Dovresti consultare un avvocato per capire esattamente cosa fare.

Per informazioni riguardo l'elaborazione delle richieste sui dati, consulta Elaborazione richieste sui dati GDPR.

Perché non può occuparsi Shopify della conformità dei merchant al GDPR?

Il GDPR impone diversi obblighi ai responsabili e agli incaricati del trattamento dei dati. Come responsabile del trattamento dei dati, Shopify adempie ai propri obblighi di legge ai sensi del GDPR. Tuttavia, i commercianti (in quanto responsabili del trattamento) hanno degli obblighi autonomi da considerare.

Shopify offre ai commercianti una piattaforma configurabile in modo da essere conforme al GDPR, ma sei tu a dover valutare come gestire la tua attività.

Come ulteriore aiuto all'orientamento, le seguenti autorità all'interno dell'Unione Europea hanno fornito indicazioni specifiche sul GDPR:

Raccolta dei dati personali

Il GDPR tutela i diritti fondamentali dei privati all'interno dell'Unione europea in relazione al trattamento dei dati personali.

Ecco alcuni esempi di dati personali:

  • Nome
  • Indirizzo
  • Indirizzo email
  • Account social media
  • Identificativo digitale come un indirizzo IP o un ID cookie univoco.

Poniti le seguenti domande:

  • Raccogli dati personali di clienti europei? La maggior parte dei siti web è disponibile ai residenti in Europa ed è soggetta al GDPR.
  • Se il tuo negozio utilizza app o temi di terze parti, queste raccolgono ed elaborano i dati in conformità al GDPR? Per semplificare l'iter, Shopify richiede a tutte le app la pubblicazione di un'informativa sulla privacy indicante in dettaglio le pratiche di gestione dati adottate, in modo che tu possa valutare se le pratiche di un'app vanno bene per te. Le app sviluppate da Shopify sono indicate nell'Appendice sull'elaborazione dei dati e Shopify è responsabile della loro conformità.
  • I canali e gateway di pagamento che utilizzi raccolgono ed elaborano i dati in conformità al GDPR? Dovresti fare delle verifiche per accertartene.
  • Hai un elenco di tutti i tipi di dati personali che raccogli dai tuoi clienti e di tutti i modi in cui utilizzi questi dati? L'articolo 30 del GDPR richiede che tu tenga un registro delle attività di trattamento dati aggiornato.

Informativa sulla Privacy

Il GDPR (in particolare negli articoli da 12 a 14) prevede l'obbligo di fornire informazioni specifiche agli interessati in relazione al trattamento dei loro dati, in genere attraverso un avviso o un'informativa sulla privacy.

Come base di partenza, puoi utilizzare il generatore di informativa sulla privacy di Shopify. Puoi trovarlo nelle impostazioni, sotto Check-out o online.

Interrogati su quanto segue:

  • Il tuo sito è provvisto di un'informativa sulla privacy completa di tutte le informazioni che sei tenuto a fornire ai sensi del regolamento? Indica almeno i recapiti dove i clienti possono contattarti in merito alla privacy e le modalità con cui possono esercitare i loro diritti — ad esempio il diritto di cancellazione o modifica dei dati o il diritto di accesso ai dati?
  • La tua informativa sulla privacy contiene indicazioni su come Shopify può utilizzare i dati personali dei clienti per la valutazione automatizzata di rischi e frodi? Il GDPR richiede che specifichi quando tu (o i tuoi fornitori di servizi) utilizzate i dati che riguardano i clienti in connessione con processi decisionali automatizzati. Shopify utilizza le informazioni personali dei tuoi clienti per bloccare determinate transazioni che appaiono fraudolente attraverso un processo decisionale automatizzato. Il Generatore di informativa sulla privacy di Shopify include queste informazioni. Per maggiori informazioni su questo sistema, verifica Processo decisionale automatizzato.

Nomina di un Responsabile della protezione dei dati

Il Responsabile della protezione dei dati (Data Protection Officer, in breve DPO) controlla le modalità di raccolta ed elaborazione dei dati personali adottate dall'azienda. Se tra le attività principali della tua azienda rientra il monitoraggio online su larga scala, il GDPR richiede che tu nomini un responsabile della protezione dei dati, specificando i suoi dati di contatto nell'informativa sulla privacy.

Il GDPR prevede specifiche attività che il DPO deve eseguire, come condurre valutazioni d'impatto sulla protezione dei dati quando l'azienda cambia le modalità di raccolta ed elaborazione dei dati personali. Il responsabile della protezione dei dati può essere una persona interna all'azienda che abbia esperienza su GDPR e normative sulla protezione dei dati. Ma puoi anche valutare di incaricare un'azienda o un consulente esterno come responsabile della protezione dei dati.

Poniti le seguenti domande:

  • Qual è il numero di soggetti interessati dalle tecnologie di tracking sul tuo negozio? Sono da considerarsi tali le app di pubblicità comportamentale e anche le applicazioni di retargeting. Stabilire in base al numero di interessati coinvolti se si configuri o meno un "monitoraggio su larga scala" richiede competenze giuridiche. Consulta un legale, se necessario.
  • Dovresti scegliere di nominare un Responsabile della protezione dei dati? Anche qualora tu non sia legalmente obbligato a nominare un responsabile della protezione dei dati, se la tua presenza in Europa è piuttosto ampia, potresti volerlo fare comunque, per assicurarti di proteggere adeguatamente i dati dei tuoi clienti.

Accordi sul trattamento dei dati

L'Articolo 28 del GDPR richiede al titolare del trattamento, quando elabora i dati dei clienti tramite un responsabile del trattamento (come Shopify), di regolamentare l'utilizzo e l'elaborazione di tali dati con precise previsioni contrattuali. Ciò è normalmente attuato tramite un'Appendice sul trattamento dei dati.

Shopify ha incorporato automaticamente nei propri termini e condizioni del servizio un Accordo sul trattamento dei dati (https://www.shopify.com/legal/dpa), concepito per soddisfare i requisiti dell'articolo 28.

Per i commercianti Shopify Plus, il rapporto con Shopify sarà regolato da contratti negoziati individualmente. I commercianti Plus possono sottoscrivere un'Appendice sul trattamento dei dati che soddisfi le loro esigenze. I commercianti Shopify Plus che non sottoscrivono un'Appendice sul trattamento dei dati saranno soggetti alle previsioni online dell'Appendice sul trattamento dei dati di Shopify.

Poniti le seguenti domande:

  • Gli ulteriori responsabili del trattamento dati con cui collabori oltre a Shopify hanno assunto contrattualmente l'impegno di proteggere i dati dei tuoi clienti? Molte app di terze parti, canali, canali di pagamento o altri responsabili del trattamento dati inseriranno automaticamente nei loro termini di utilizzo un Accordo sul trattamento dei dati. Ti sei consultato con ciascuna di queste terze parti?

  • Sei un commerciante Plus con un contratto negoziato individualmente? Se desideri sottoscrivere un'Appendice sul trattamento dei dati, contatta il tuo Merchant Success Manager. Può fornirti il modello dell'Appendice sul trattamento dei dati Shopify da sottoscrivere.

Consenso del cliente

In base al GDPR, potresti dover acquisire il consenso per elaborare i dati personali dei clienti o modificare il modo in cui acquisisci tale consenso.

Ad esempio, potresti dover acquisire un consenso specifico per l'invio ai clienti di messaggi di marketing o per l'utilizzo di applicazioni per la pubblicità online o per il retargeting.

Laddove sia prevista l'acquisizione del consenso, il GDPR afferma che questo dev'essere:

  • Liberamente prestato: dev'essere fornito spontaneamente e non in relazione a un insieme di beni o servizi.
  • Specifico: dev'essere legato a casi d'uso chiaramente spiegati.
  • Informato: è tale solo se all'interessato sono fornite sufficienti informazioni sui dati personali che saranno raccolti e utilizzati.
  • Inequivocabile: dev'essere documentato da un'azione positiva del merchant (cioè, non può semplicemente desumersi dal protrarsi dell'utilizzo dei servizi).

Ciò significa che al cliente devono essere fornite informazioni dettagliate sui casi di utilizzo dei dati; inoltre, la manifestazione del consenso non può desumersi, ma deve risultare da azioni positive.

Infine, laddove sia offerta ai clienti la possibilità di prestare il consenso, il GDPR richiede che essi abbiano anche modo di revocarlo. Ciò è spesso realizzabile attraverso una funzionalità di annullamento dell'iscrizione. Se ti chiedi quando e come ottenere il consenso per la raccolta dei dati personali, o entro quali limiti concedere ai clienti la possibilità di revocare il consenso prestato, consulta un avvocato esperto nella normativa sulla privacy.

Peraltro, il consenso è solo una delle varie basi giuridiche idonee secondo il GDPR a giustificare il trattamento dei dati personali. Altri fondamenti di liceità del trattamento dei dati personali sono l'adempimento di obblighi contrattuali e l'osservanza di obblighi di legge.

Secondo alcune autorità di controllo europee, qualora inizialmente si richieda il consenso e il cliente rifiuti o accetti, ma infine revochi il consenso, successivamente non sarebbe più possibile fondare il trattamento dei dati personali su una base giuridica diversa. Di conseguenza, dovresti subordinare il trattamento al consenso solo se non intendi (o non devi) trattare i dati in virtù di una base giuridica diversa.

Poniti le seguenti domande:

  • In relazione a ogni diversa modalità di utilizzo o trattamento dei dati dei tuoi clienti, qual è il fondamento giuridico? Stai procedendo al trattamento sulla base del consenso? Stai procedendo al trattamento per adempiere a un obbligo contrattuale nei confronti del cliente? Stai procedendo al trattamento per far valere un tuo interesse commerciale legittimo? Dovresti documentare tale base giuridica nel tuo registro delle attività di trattamento dati, descritta in Raccolta dei dati personali.
  • Se fai affidamento sul consenso, si tratta di un consenso ottenuto in relazione a un insieme di beni o servizi che offri? Ad esempio, clausole quali by purchasing these goods, you agree to our use of your personal information potrebbero non essere più permesse ai sensi del GDPR.
  • I dettagli sulle modalità di utilizzo dei dati personali in questione sono sufficienti per garantire che il consenso del cliente sia informato?
  • Il consenso del cliente è registrato e archiviato da qualche parte?
  • Richiedi il consenso per l'invio di comunicazioni di marketing ai tuoi clienti? Anche laddove non sia necessario il consenso ai sensi del GDPR, le leggi locali potrebbero richiederti di ottenere il consenso per l'invio di comunicazioni di marketing ai clienti. Consulta un avvocato in merito ai requisiti specifici che potrebbero applicarsi al tuo negozio.
  • Se ritieni di aver bisogno del consenso per inviare comunicazioni di marketing, la casella per il consenso al marketing sul tuo negozio è deselezionata per impostazione predefinita? Valuta di impostare il tuo negozio in modo che la casella per il consenso al marketing presentata ai clienti non sia preselezionata di default; questo, per garantire che i clienti forniscano il consenso mediante un'azione positiva.

Consenso parentale

Il GDPR include specifici requisiti di consenso parentale per il trattamento dei dati personali degli utenti di età inferiore ai 16 anni (sebbene questa età possa essere inferiore in alcuni paesi).

Interrogati su quanto segue:

  • Occorre che tu introduca modifiche volte a evitare il trattamento dei dati degli utenti di età inferiore ai 16 anni o ad acquisire il consenso parentale? Per farlo, puoi vietare agli utenti di età inferiore ai 16 anni di accedere al tuo sito tramite un'app per l'age-gating dell'App Store di Shopify; oppure, puoi chiedere ai visitatori di confermare che hanno raggiunto la maggiore età.

Processo decisionale automatizzato

Il GDPR richiede che tu provveda a informare i clienti nel caso utilizzi i loro dati personali per un qualsiasi processo decisionale automatizzato.

Un processo decisionale automatizzato implica l'utilizzo di algoritmi per decidere se un utente sia idoneo per determinati servizi o offerte, se debba essere soggetto a un particolare prezzo o se probabilmente sia interessato a determinate tipologie di beni o servizi.

Se utilizzi soluzioni che includono processi decisionali completamente automatizzati (ovvero, senza l'intervento umano) che abbiano un significativo effetto giuridico sul cliente, allora devi ottenere il consenso del cliente.

Processo Requisito
Processo decisionale automatizzato Notifica
Processo decisionale completamente automatizzato con significativi effetti giuridici Consenso

Di norma, Shopify non impiega i dati personali dei tuoi clienti per processi decisionali completamente automatizzati.

L'unica eccezione è il controllo di Shopify sul rischio di frode, in base al quale Shopify potrebbe bloccare automaticamente il numero della carta o l'indirizzo IP dopo un certo numero di tentativi di pagamento non riusciti. In questo caso, Shopify non ritiene sussista un effetto giuridico significativo sui clienti, perché il blocco automatizzato dura solo per un breve periodo di tempo.

Poniti le seguenti domande:

  • Hai inserito nella tua Informativa sulla privacy che il controllo di Shopify sul rischio di frode può comportare l'utilizzo delle informazioni personali dei clienti per prendere decisioni automatizzate? Puoi trovare maggiori informazioni sui processi decisionali automatizzati di Shopify nella Sezione 13 dell'Informativa sulla privacy. Dovresti anche verificare con un legale che, nel tuo caso specifico, questo servizio non comporti un effetto giuridico significativo sui tuoi clienti.
  • Stai utilizzando app di terze parti che potrebbero essere impiegate per processi decisionali automatizzati? Presta particolare attenzione alla verifica degli eventuali servizi antifrode di terze parti utilizzati in relazione al tuo negozio, o a qualsiasi tipo di app di marketing o advertising che potrebbe creare profili o segmenti target dei clienti.
  • Se utilizzi app di terze parti impiegate per processi decisionali automatizzati, per poter utilizzare queste app devi informare i tuoi clienti o raccogliere il loro consenso?

Notifica della violazione dei dati

Se il GDPR è applicabile alla tua azienda e si verifica una violazione dei dati, è possibile tu abbia l'obbligo di informare gli interessati e le autorità di controllo competenti.

In particolare, il GDPR prevede l'obbligo di comunicazione quando una violazione dei dati può comportare un elevato rischio di pregiudizio per i diritti e le libertà degli individui.

È probabile che ciò si verifichi se le informazioni violate:

  • Includono dati di pagamento.
  • Potrebbero essere utilizzate per rivelare informazioni imbarazzanti o personali.
  • Potrebbero essere utilizzate per accedere ad account o servizi dell'interessato.

In tal caso, sei tenuto a provvedere alla notifica entro sole 72 ore dal momento in cui sei venuto a conoscenza della violazione.

Poniti le seguenti domande:

  • Hai parlato con un avvocato per determinare quali dei dati da te raccolti e trattati possono comportare l'obbligo di comunicazione in caso di violazione dei dati?
  • Hai stabilito quale comunicazione inviare in caso di violazione dei dati a danno della tua azienda, in modo da essere preparato a una simile evenienza?
  • Includono dati di pagamento.
  • Potrebbero essere utilizzate per rivelare informazioni imbarazzanti o personali.
  • Potrebbero essere utilizzate per accedere ad account o servizi dell'interessato.

Il GDPR impone requisiti a qualsiasi azienda che usa fornitori e provider di servizi di terze parti per il trattamento de i dati personali dei propri utenti.

Shopify incarica diversi responsabili del trattamento per elaborare i dati dei tuoi clienti. Per ulteriori informazioni sui responsabili del trattamento di Shopify, consulta Responsabili del trattamento incaricati da Shopify.

Interrogati su quanto segue:

  • Hai esaminato l’informativa sulla privacy dei fornitori e provider di servizi che usi, tra cui Shopify, per assicurarti che proteggano in modo adeguato i dati personali dei tuoi clienti?

App di terze parti

Il GDPR ti richiede l'adozione di una serie di misure positive in relazione alla raccolta e utilizzo dei dati personali da parte tua e dei terzi fornitori di servizi. Tra i terzi rientra Shopify, ma anche ogni app di terze parti che utilizzi per il tuo negozio Shopify.

Shopify ha agito per renderti più semplice capire a quali dati personali abbiano accesso le app che hai installato.

Procedura:

  1. Dal pannello di controllo Shopify, clicca su App.

  2. Clicca Visualizza dettagli per l'app di cui desideri controllare le autorizzazioni.

Puoi controllare le autorizzazioni delle app anche prima della loro installazione, dalla schermata di installazione nell'app store.

Inoltre, nell'app store vi è una sezione dove ogni app rimanda alla propria privacy policy, indicando più in dettaglio quali siano raccolti dagli sviluppatori dell'app e come siano impiegati.

Mentre Shopify vuole agevolarti il più possibile nel valutare le procedure sui dati adottate dalle app che scegli di installare, sta a te assicurarti di utilizzare app di terze parti che siano conformi al GDPR.

Interrogati su quanto segue:

  • In base al tuo paese di residenza e a quello dei tuoi clienti e sviluppatori di app, nonché in base all'implementazione di ogni app, il tuo utilizzo delle app di terze parti è conforme al GDPR? Consulta un avvocato per sapere se le procedure sui dati adottate da una particolare app possano richiedere considerazione o lavoro extra da parte tua per garantire l'osservanza del GDPR.

Trasferimenti internazionali dei dati

Il GDPR vieta che i dati personali dei residenti nell'Unione Europea vengano trasportati fuori dall'Europa, salvo se tali dati non siano soggetti a un'adeguata protezione.

Shopify protegge i dati personali secondo le previsioni del GDPR, quando questi vengono trasferiti ed elaborati negli Stati Uniti e in Canada.

Shopify ha impostato i propri flussi di dati in modo tale da soddisfare questi requisiti per conto dei merchant. Come descritto nella sezione 12 dell'Informativa sulla privacy di Shopify, tutti i dati personali europei sono inizialmente ricevuti dai merchant e trattati in Irlanda da Shopify International Ltd, filiale irlandese di Shopify. Quindi, Shopify trasferisce ulteriormente tali dati in conformità con quanto previsto dal GDPR:

GDPR trasferimenti internazionali dei dati

Per maggiori informazioni sulle modalità di ricezione ed elaborazione da parte di Shopify dei dati personali provenienti dallo Spazio Economico Europeo (SEE) in base agli standard GDPR e alle best practice sulla sicurezza delle informazioni, consulta la documentazione ufficiale di Shopify sul GDPR.

Interrogati su quanto segue:

Ti sei accertato che le altre parti a cui trasferisci i dati eseguano il trasferimento dei dati oltre i confini europei in modo conforme al GDPR? Puoi farlo consultando la privacy policy di app di terze parti, canali, gateway di pagamento o altri fornitori che utilizzi e verificando la presenza di eventuali spiegazioni sul modo in cui vengono protetti i dati europei.

Scarica la documentazione ufficiale di Shopify sul GDPR

Per maggiori informazioni sulla conformità di Shopify al GDPR e per accertarti di essere in linea con la normativa utilizzando Shopify, scarica la documentazione ufficiale di Shopify sul GDPR.

Sei pronto/a per iniziare a vendere con Shopify?

Provalo, è gratis