Domande frequenti sul GDPR

Leggi le domande più frequenti relative al GDPR. Queste spiegazioni hanno unicamente scopo informativo e non hanno valore di consulenza legale o professionale. Rivolgiti a un commercialista o a un consulente legale indipendente per ottenere informazioni specificamente riferite alle tue circostanze e al tuo paese di residenza.

Perché Shopify non include una casella di spunta "Accetto i termini e le condizioni e l’informativa sulla privacy" al check-out?

Shopify ha studiato con attenzione il GDPR e le sue implicazioni. Abbiamo progettato la nostra piattaforma per fornire ai nostri merchant un’esperienza di commercio di prim’ordine, che possa assicurare conformità alle leggi sulla privacy e sulla protezione dei dati come il GDPR.

La richiesta ai clienti di un consenso esplicito per il trattamento dei loro dati, se implementata correttamente, può essere un modo utile per assicurare trasparenza e conquistare la fiducia dei clienti. Tuttavia, se non implementata correttamente, una casella di spunta può confondere il cliente, suscitare aspettative non corrette e persino creare problemi legali per i commercianti soggetti al GDPR. In considerazione di ciò, abbiamo scelto di non modificare la nostra procedura di check-out con l’aggiunta di una casella di spunta "Accetto i termini e le condizioni e l’informativa sulla privacy" durante il pagamento.

In particolare, il GDPR chiarisce che i commercianti possono raccogliere e trattare i dati personali dei clienti per molte ragioni, incluso il caso in cui il cliente fornisce un consenso informato. Il GDPR riconosce d’altra parte che, in vari casi, può esservi la necessità di trattare i dati personali indipendentemente dal consenso del cliente, ad esempio per:

Diversi di questi fondamenti legali si applicano con molta probabilità al modo in cui i commercianti trattano i dati dei propri clienti. Ad esempio, un commerciante può avere la necessità di usare l’indirizzo di spedizione di un cliente per evadere un ordine e adempiere al suo contratto con il cliente. Allo stesso modo, un commerciante può essere legalmente obbligato a trattare dati personali per rispondere a una citazione come testimone o nel contesto di una verifica fiscale. E un commerciante può trattare dati personali per tanti altri interessi legittimi.

Allo stesso tempo, le autorità europee hanno chiarito che il consenso è il più importante tra queste diverse giustificazioni. In particolare, le autorità di regolamentazione hanno suggerito che, se un commerciante chiede il consenso per trattare dati per uno scopo particolare, possono non essere più applicabili i motivi legali di cui sopra (come i contratti o gli interessi legittimi). Inoltre le autorità di regolamentazione hanno avvertito che il consenso non può essere una condizione per la ricezione di beni o servizi.

Qual è la rilevanza di tutto ciò? Consideriamo cosa accadrebbe se un commerciante aggiungesse una casella di spunta "Accetto i termini e le condizioni e l’informativa sulla privacy" al check-out. Se il cliente non fornisce il consenso (o se lo fornisce per revocarlo in seguito, un diritto conferito alle persone dal GDPR), allora un commerciante non potrebbe più basarsi sulle altre giustificazioni sopra elencate. Il commerciante potrebbe quindi trovarsi in una situazione in cui, ai sensi del GDPR, non può trattare legalmente i dati personali del cliente per gestire o evadere un ordine. D’altra parte, se il commerciante modificasse il check-out in modo da rendere la casella di spunta obbligatoria per completare la transazione, il consenso sarebbe una condizione preliminare per la ricezione di beni o servizi e quindi potrebbe non essere valido ai sensi del GDPR.

Questa complessità ha indotto diverse autorità di regolamentazione a mettere in guardia dal chiedere o fare affidamento sul consenso laddove potrebbe non essere appropriato. Ad esempio, l’Information Commissioner’s Office del Regno Unito ha osservato:

"Il consenso è indicato se si è in grado di offrire alle persone una scelta e un controllo effettivi sul trattamento dei loro dati e si desidera coinvolgerle e conquistare la loro fiducia. Ma se non si è in grado di offrire una scelta effettiva, il consenso non è indicato. Se si intende trattare i dati personali anche senza consenso, chiedere il consenso è fuorviante e intrinsecamente scorretto.

Se si rende il consenso una condizione preliminare di un servizio, è improbabile che sia la base giuridica più appropriata.

Le autorità pubbliche, i datori di lavoro e altre organizzazioni in una posizione di potere devono evitare di basarsi sul consenso, a meno di non poter dimostrare con certezza che questo è stato fornito liberamente".

In Shopify intendiamo fare del nostro meglio per supportare i nostri commercianti e aiutarli a evitare conseguenze legali problematiche. Allo stesso tempo, comprendiamo che i commercianti vogliano essere certi, in definitiva, di avere la fiducia dei loro clienti. Abbiamo quindi dato ai commercianti la possibilità di aggiungere una casella di spunta "Accetto i termini e le condizioni" alla pagina del carrello (non alla pagina di check-out). Per ulteriori informazioni su questa funzionalità, visita il nostro centro di assistenza.

Perché non posso firmare un accordo sul trattamento dei dati (DPA) con Shopify?

Il GDPR richiede che i responsabili del trattamento dei dati siano vincolati da un contratto scritto (che include i contratti in formato elettronico) a ogni titolare del trattamento dei dati al fine di trattare dati personali. Questo contratto deve specificare quali dati personali vengono trattati e gli obblighi e i diritti di responsabile e titolare del trattamento. Questo tipo di contratto è spesso detto Accordo sul trattamento dei dati. Si tratta in sostanza di un accordo con il quale Shopify si impegna a trattare i dati personali che riceve solo nel modo specificato dal merchant, in quanto il merchant è il titolare del trattamento dei dati.

Per soddisfare questo requisito, Shopify ha aggiunto un'Appendice sul trattamento dei dati ai propri Termini e condizioni del servizio (si chiama "Appendice" e non "Accordo" perché viene aggiunto ai termini e condizioni del servizio e non è un accordo a sé stante).

Come merchant, accetti i Termini e condizioni del servizio e, di conseguenza, l’Appendice sul trattamento dei dati, quando ti iscrivi per accedere ai servizi di Shopify e accetti gli eventuali aggiornamenti dei Termini e condizioni del servizio (ad esempio, il nostro aggiornamento che ha aggiunto l’Appendice sul trattamento dei dati) continuando a utilizzare i servizi.

È importante notare che i Termini e condizioni del servizio sono regolati dalle leggi dell’Ontario e non della giurisdizione in cui risiedi. Pertanto, mentre altre leggi specifiche di un’area geografica, come il GDPR, possono certamente interessare la tua attività e il modo in cui tratti i dati e possono richiedere un contratto vincolante con i tuoi fornitori di servizi (come Shopify), queste leggi non determinano necessariamente se un contratto è vincolante o meno. Nel caso del tuo contratto con noi, se l’Appendice sul trattamento dei dati sia un contratto vincolante o meno viene determinato in riferimento alle leggi dell’Ontario.

Di conseguenza, anche se la tua giurisdizione richiede che venga firmato un contratto (come l’Accordo sul trattamento dei dati), ciò può non avere importanza in relazione al tuo contratto. Ai sensi delle leggi dell’Ontario, riteniamo che continuando a utilizzare il nostro servizio dopo l’aggiornamento dei nostri termini, tu sia vincolato, così come Shopify, dai nuovi Termini e condizioni del servizio modificati. Quando continui a usare Shopify, riteniamo che tu abbia stipulato un contratto vincolante con noi che include la nostra Appendice sul trattamento dei dati, come richiesto dal GDPR.

A chi posso rivolgermi se ho altre domande riguardo il GDPR o le normative sulla privacy locali?

Contatta un avvocato locale specializzato in normativa sulla privacy o sulla protezione dei dati.

Chi posso contattare per ulteriori informazioni sul trattamento della privacy di Shopify?

Contatta privacy@shopify.com per ulteriori informazioni sul trattamento della privacy di Shopify.

Se utilizzo Shopify come piattaforma per il mio negozio, la mia attività è conforme al GDPR?

Non automaticamente. Sebbene le operazioni di Shopify siano conformi al GDPR e Shopify fornisca strumenti per aiutare i suoi commercianti ad adeguarsi, è responsabilità di ogni commerciante assicurarsi che la propria attività sia conforme alle leggi della giurisdizione in cui opera.

L’uso della piattaforma Shopify non garantisce di per sé il rispetto del GDPR da parte di un’azienda.

Shopify firmerà clausole contrattuali tipo?

No. Come descritto nella sezione sui trasferimenti di dati del nostro white paper (in inglese), Shopify ha strutturato i suoi flussi di dati in modo che i commercianti trasferiscano i dati alla filiale irlandese di Shopify in Europa. Per questo motivo, le clausole contrattuali tipo non sono appropriate, poiché sono approvate per i trasferimenti tra un soggetto europeo e uno non europeo.

Inoltre, per quanto riguarda i trasferimenti diretti a Shopify Inc., Shopify farà riferimento in questi casi alla decisione della Commissione Europea in merito all’adeguatezza della normativa canadese sulla privacy, che si estende a Shopify Inc. in quanto società canadese.

Sei pronto per iniziare a vendere con Shopify?

Provalo, è gratis