Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
13/07/2023
La privacy dei dati è uno degli argomenti più importanti per qualsiasi ecommerce e sito web e il Regolamento Generale sulla Protezione dei Dati (GDPR) è un pilastro fondamentale per garantire la protezione dei dati personali degli utenti europei.
Di seguito, il nostro Team di avvocati risponde alle 10 domande più comuni sul GDPR, di interesse per i siti web, gli ecommerce e le web agency che i nostri utenti hanno posto in questa prima parte del 2023.
L'obiettivo è quello di condivere la nostra esperienza in modo da evitare reclami degli utenti e sanzioni del Garante Privacy.
SOMMARIO
Consenso alla newsletter
Registro dei trattamenti
Sito fuori dalla UE
Obbligo del DPO
Tempo di conservazione delle email
Fornitori terzi
Sanzioni
Differenza tra privacy & cookie policy
Formula del consenso al marketing
Email trovate online
Ulteriori domande?
Non è strettamente necessario installare un plugin specifico per dimostrare il consenso all'iscrizione alla newsletter ai fini del GDPR. Molto dipende dalla piattaforma che utilizzi per inviare le tue newsletter.
Gli strumenti di invio newsletter più comuni, come Mailchimp, Sendinblue o ActiveCampaign, di solito registrano e conservano un log del consenso dell'utente quando si iscrivono alla tua newsletter. Questo log può fungere da prova del consenso.
Quando un utente si iscrive alla tua newsletter, solitamente compila un modulo di iscrizione e clicca su un pulsante per inviare i suoi dati. In questo processo, l'utente dà il suo consenso all'iscrizione e il momento dell'invio del modulo può essere registrato come prova di tale consenso.
Inoltre, per garantire la conformità al GDPR, è buona pratica utilizzare un processo di doppia conferma (o double opt-in), in cui gli utenti, dopo aver compilato il modulo di iscrizione, ricevono un'email in cui vengono invitati a confermare la loro intenzione di iscriversi alla newsletter cliccando su un link. Anche questa conferma viene solitamente registrata dal sistema di invio delle newsletter.
Ricorda, tuttavia, che è importante rendere chiaro nel modulo di iscrizione quali dati stai raccogliendo e come verranno utilizzati. Questo può essere fatto fornendo un link alla tua politica sulla privacy nel modulo stesso.
Il registro dei trattamenti dei dati personali è un elemento chiave del GDPR, che cataloga in modo ordinato tutte le operazioni effettuate sulle informazioni personali da un'organizzazione, come un sito web o una web agency.
Il registro offre una panoramica completa delle attività di trattamento dei dati all'interno dell'organizzazione, rendendo così trasparenti tali operazioni.
Per rispettare la privacy e il GDPR il registro deve contenere le seguenti informazioni:
Il nome e i contatti del titolare del trattamento, del responsabile del trattamento, del rappresentante del titolare se applicabile, e del responsabile della protezione dei dati;
Le finalità del trattamento;
Una descrizione delle categorie di interessati e delle categorie di dati personali;
Le categorie di destinatari a cui i dati personali sono stati o saranno divulgati, compresi i destinatari in paesi terzi o organizzazioni internazionali;
Se possibile, i tempi previsti per la cancellazione delle diverse categorie di dati;
Una descrizione generale delle misure di sicurezza tecniche e organizzative.
Nonostante il GDPR preveda alcune eccezioni per le organizzazioni con meno di 250 dipendenti, è molto probabile che un sito web o una web agency conduca attività di trattamento dei dati che non siano occasionali.
In pratica, la natura stessa del loro lavoro implica il trattamento regolare dei dati personali degli utenti, ad esempio per l'invio di newsletter, l'analisi del comportamento degli utenti o l'elaborazione di acquisti online.
Pertanto, indipendentemente dalle dimensioni dell'organizzazione, è altamente raccomandato mantenere un registro dei trattamenti. Questo non solo aiuta a garantire e dimostrare la conformità al GDPR, ma promuove anche una gestione più consapevole e responsabile dei dati personali.
Se vuoi maggiori informazioni su come generare un registro dei trattamenti leggi la nostra guida.
Sì. Il GDPR si applica a tutte le organizzazioni, indipendentemente dalla loro posizione, che trattano i dati personali degli utenti dell'UE.
Il Data Protection Officer (DPO), o Responsabile della Protezione dei Dati, è una figura chiave introdotta dal GDPR. Questo ruolo è particolarmente importante per la conformità al GDPR e ha un impatto significativo su molte organizzazioni, tra cui siti web, ecommerce e web agency.
Il DPO è responsabile della supervisione della strategia di protezione dei dati e della conformità al GDPR all'interno di un'organizzazione. Questa persona ha il compito di informare e consigliare l'organizzazione e i suoi dipendenti sugli obblighi legali relativi al GDPR, oltre a monitorare la conformità al regolamento e ad altre leggi sulla protezione dei dati.
Per un sito web, un ecommerce o una web agency, la necessità di un DPO dipenderà dalla natura delle attività di trattamento dei dati svolte. Se l'organizzazione monitora gli utenti su larga scala o tratta categorie particolari di dati su larga scala, è obbligatoria la designazione di un DPO.
La questione del periodo di conservazione delle email per finalità di marketing è un aspetto chiave della conformità al GDPR di siti web ed ecommerce.
Prima dell'introduzione del GDPR, la conservazione dei dati era regolata in modo preciso: le email potevano essere conservate per un massimo di 24 mesi per finalità di marketing generico e 12 mesi per il marketing profilato.
Tuttavia, con l'adozione del GDPR (maggio 2018), il concetto di "accountability" o responsabilizzazione ha assunto un ruolo centrale.
Ciò significa che non esiste più un periodo di conservazione dei dati stabilito in modo rigido, ma è il sito web o ecommerce che deve stabilire e giustificare il periodo di conservazione in base alle proprie esigenze, al tipo di dati trattati e ai diritti e alle libertà dell'individuo.
Questo non significa che i termini precedenti siano irrilevanti.
Al contrario, possono essere considerati come indicazioni utili. Tuttavia, secondo il principio di accountability del GDPR, è importante stabilire un termine di conservazione ragionevole e proporzionato per i dati personali utilizzati a scopo di marketing. Questo termine può variare in base alla natura dei dati, alle esigenze dell'organizzazione e al contesto specifico.
Una pratica comune, in linea con il principio di accountability, è conservare i dati fino a quando l'utente non revoca il consenso. In questo caso, l'organizzazione deve garantire che l'utente possa facilmente revocare il consenso in qualsiasi momento, e che i dati personali vengano prontamente eliminati una volta che il consenso è stato ritirato.