Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
10/03/2022
Gestisci un sito web? In questa guida parliamo del Regolamento Privacy (noto come GDPR), in vigore dal 25 maggio 2018. E' il testo legale di riferimento per generare una informativa privacy a norma. Questa guida spiega il contenuto del GDPR, con un taglio pratico e dal punto di vista di web agency e siti web e siti e-commerce.
Ovviamente, se vuoi ricevere assistenza legale in ambito GDPR e privacy, puoi sempre contattarci! I nostri avvocati esperti in privacy sono a tua disposizione per indirizzare al meglio il tuo business online.
Ti ricordiamo che per essere sempre aggiornato sulle ultime novità legali del mondo ecommerce puoi seguire i nostri canali Youtube, Facebook e LinkedIn!
Scopri anche i nostri articoli più letti:
a. perchè Legalblink è una alternativa a Iubenda e una alternativa a Cookiebot
b. come generare termini di vendita a norma
c. come generare una privacy policy a norma per siti web e App.
SOMMARIO
Cos'è il Regolamento Privacy (GDPR)
Quando non si applica il GDPR ai siti web
I soggetti del GDPR nel contesto dei siti web
Le clausole contrattuali standard
Come ottenere il consenso valido per il GDPR
Profilazione e GDPR
Le sanzioni ai siti web per il GDPR
Con LegalBlink rispetti il GDPR
Il c.d. "GDPR" (noto anche come Regolamento Privacy) è il Reg. (UE) 679/2016 in materia di protezione dei dati personali, entrato in vigore in tutta Europa il 25 maggio 2018.
E' un testo normativo molto importante per qualsiasi sito web o ecommerce in quanto regola la privacy in tutto il territorio europeo.
Prima del Regolamento Privacy, infatti, ogni Paese appartenente all'Unione europea aveva la propria normativa nazionale in materia di dati personali.
Il GDPR, invece, in quanto "Regolamento" Europeo è applicabile fin da subito (vale a dire dal 25 maggio 2018) in tutti in Paesi dell'Unione, senza attendere alcuna normativa di recepimento.
Pertanto, a partire dal 25 maggio 2018 il GDPR si applica in tutta Europa.
Purtroppo, il GDPR non è una legge specifica per l'ambito digitale.
Infatti, si ritiene che l'ecommerce e il mondo digital verranno disciplinati in modo più preciso da un altro importante Regolamento Europeo (già battezzato Regolamento ePrivacy), che si auspica verrà pubblicato nel 2021.
Prima della eventuale entrata in vigore del Regolamento ePrivacy, dunque, il GDPR rappresenta il testo privacy da seguire per pubblicare una informativa privacy a norma.
Scopri perchè LegalBlink è una valida alternativa a Iubenda.
In questo blog abbiamo già parlato del Regolamento ePrivacy, altra legge molto importante per qualsiasi sito web o ecommerce.
Questo Regolamento regolerà in modo particolare la privacy nel mondo digitale.
Il GDPR è l'attuale normativa in materia privacy.
Per avere un regolamento sulla privacy per il mondo digitale, dovremo aspettare però l'entrata in vigore del Regolamento ePrivacy.
Ambito di applicazione territoriale del Regolamento Privacy
Per rispettare il GDPR , è molto importante sapere che esistono 3 criteri di applicazione territoriale del Regolamento Privacy.
I criteri di applicazione territoriale sono i seguenti:
Se l'azienda è collocata in Europa, il GDPR si applica sempre.
Ad esempio, l'azienda del tuo sito ecommerce ha sede in Europa ma tratta dati personali di utenti statunitensi oppure australiani?
In questo caso il Regolamento Privacy si applica in quanto l'azienda è stabilita in Europa.
Facciamo un altro esempio.
La tua azienda ha sede in Italia ed ha i server in USA. Alloca i dati personali di cittadini statunitensi.
Anche in questo caso, il GDPR si applica per il solo fatto che l'azienda ha sede in Italia.
Anche una società che non ha sede in Europa può trovarsi nella condizione di dover rispettare il GDPR.
Infatti, il Regolamento Privacy si applica anche a tutte quelle aziende che offrono i loro beni e servizi in Europa(anche se non hanno sede in Europa).
Questo significa che se la tua azienda non ha sede in Europa ma offre beni e servizi a cittadini europei, il GDPR trova applicazione.
Nel nostro contesto, quando un sito web offre beni e servizi in Europa?
Ad esempio:
Ebbene, il Regolamento Privacy indica alcuni criteri per capire se un sito web offre beni e servizi in Europa.
Ecco quelli più comuni:
Se sono presenti uno o più degli elementi sopra indicati, il sito ecommerce/sito web sta offrendo i prodotto/servizi a cittadini europei.
Ad esempio, un sito internet che permetta di pagare in euro, con pagine tradotte in inglese, implica l'intenzione di dirigere l'attività in Europa.
In questo caso è corretto che l'impresa rispetti il GDPR.
Pertanto, l'informativa privacy per ecommerce o sito web dovrà tenere conto di tutti gli impegni previsti dal Regolamento Privacy.
Al contrario, se il sito web non offre di acquistare in valuta europea e non presenta pagine in inglese (o in un'altra lingua ufficiale dell'Unione europea), non sta dirigendo l'attività in Europa.
Pertanto, l'azienda non deve rispettare il Regolamento Privacy.
In questo caso è lo stesso utente che accetta di effettuare acquisti a suo "rischio e pericolo".
Si pensi a un cliente europeo che acceda a un ecommerce con pagine scritte solo in cinese e che offra solo la valuta cinese come moneta d'acquisto. In questo scenario, è lo stesso utente ad aver "trovato" il sito web. Pertanto, se l'utente decide di acquistare su questo sito web, non può poi reclamare l'applicazione del GDPR. Il sito, infatti, non sta fornendo prodotti/servizi in Europa.
Un sito web del genere, non sarà quindi obbligato a pubblicare una privacy policy ai sensi del Regolamento Privacy.
Un terzo principio per valutare l'applicazione del GDPR riguarda il monitoraggio del comportamento degli utenti.
Questo requisiti è stato introdotto per essere certi che le grandi piattaforme online che monitorano il comportamento degli utenti rispettino il Regolamento Privacy. Stiamo parlando ad esempio di realtà quali Google, Facebook, Amazon etc: insomma, le grandi piattaforme online.
Ciò posto, il principio può ovviamente applicarsi a qualsiasi sito ecommerce, sito web o App.
Il GDPR si applica a qualsiasi azienda che monitori il comportamento degli utenti online.
Ovviamente, a prescindere dalla collocazione dell'azienda.
Quindi, il GDPR trova applicazione se la tua azienda è collocata fuori dalla UE ma monitora il comportamento di utenti europei.
a. controllo del comportamento degli utenti per finalità pubblicitarie o statistiche
b. monitoraggio del comportamento degli utenti e vendita di queste informazioni a terzi
c. controllo del comportamento degli utenti per migliorare il servizio offerto agli utenti stessi
In questi casi, gli utenti vengono "monitorati" online. Ebbene, se la vostra azienda ha sede fuori dall'Unione europea ma effettua una attività di monitoraggio su utenti che si trovano in Europa, l'azienda stessa è soggetta al Regolamento Privacy.
Il GDPR ovviamente non trova sempre applicazione con riferimento ai siti web o ecommerce.
Infatti, se nessuno dei principi appena descritti non è soddisfatto dalla tua azienda, il Regolamento Privacy non troverà applicazione.
Il GDPR non si applica quindi se la tua azienda:
Un esempio può essere offerto da un ecommerce con sede negli U.S.A. che non monitori il comportamento di cittadini europei e che permetta di acquistare solo in dollari.
In questo caso, nessuno dei criteri sopra descritti porta alla applicazione del GDPR. Pertanto, l'informativa privacy potrà essere redatta in base alla normativa dello Stato americano ove ha sede l'ecommerce.
Il GDPR qualifica particolari "figure privacy".
Per qualsiasi web agency, sito ecommerce o sito web, è molto importante conoscere il proprio ruolo privacy.
E' importante perchè solo se si inquadra il proprio ruolo, è possibile conoscere i propri obblighi privacy.
Di seguito, quindi, analizziamo le figure previste dal GDPR. La descrizione comprende esempi concreti per capire quali ruoli possono assumere le web agency, i siti ecommerce/vetrina e le App.
E' definito dall'articolo 4, comma I, n. 7 del GDPR come colui che decide i mezzi e le finalità del trattamento.
Nel nostro contesto, il titolare del trattamento è l'ecommerce.
E' lui, infatti, che decide:
Su internet avrai sentito parlare di "co-titolare". Con questo termini ci si riferisce al caso in cui vi siano 2 o più "titolari del trattamento".
In ambito ecommerce è abbastanza raro e quindi non dedicheremo molto spazio e questa figura.
Ad ogni modo, è sufficiente sapere che nel caso di "contitolarità", le aziende devono firmare un accordo dove specificano i rispettivi ruoli e responsabilità. Un estratto di questo accordo deve essere poi reso disponibile all'utente (interessato) che ne faccia eventualmente richiesta.
E' definito dall'articolo 4, comma I, n. 8 del GDPR come colui che tratta i dati personali per conto del titolare del trattamento.
Nel nostro contesto, il responsabile del trattamento è la web agency oppure la software house.
La web agency può sempre definirsi Responsabile del trattamento?
Non sempre. Ad esempio, si consideri il caso della web agency che si è limitata a prepare il sito offline e del cliente che ha poi continuato a gestire da solo il sito.
In questo caso, la web agency non tratta dati personali degli utenti (proprio perchè si è limitata a creare il sito). In questo scenario la web agency non sarà considerata Responsabile del trattamento (con le conseguenze che verranno descritte in seguito quando parleremo della nomina a responsabile).
Ai sensi del GDPR, l'interessato è la persona fisica a cui i dati personali si riferiscono.
Pertanto, per "interessato" si intende l'utente del sito ecommerce e vetrina.
Ad esempio:
RICORDA: ai sensi del Regolamento Privacy, l'interessato può essere solo una persona fisica. Le società e le ditte non possono mai essere "interessati" ai sensi del GDPR.
Questa precisazione è importante. Infatti, l'informativa privacy deve essere presentata solo agli utenti-persone fisiche. Non è richiesta per aziende o società.
Può accadere che il titolare del sito web trasferisca i dati personali dei suoi utenti a un responsabile avente il server fuori dalla Unione Europea.
Se il trasferimento avviene in un Paese per il quale la Commissione europa ha espresso un giudizio di adeguatezza, può essere utile applicare le clausole contrattuali standard.
Il GDPR definisce il concetto di "dato personale".
E' molto importante sapere cosa si intenda per "dato personale" perchè solo per questi dati si applica il GDPR.
Se scopri che la tua azienda non tratta "dati personali", il GDPR non si applicherà.
Oppure si applicherà, ma solo con riferimento a quelli che avrai definito come "dati personali".
Per dato personale si intende:
qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Dalla definizione di "dato personale" offerta dal Regolamento Privacy si capisce che:
Ecco alcuni esempi di "dato personale" ai sensi del GDPR:
Sono tutte quelle informazioni che si riferiscono a persone giuridiche.
Ad esempio:
Il GDPR non si applica con riferimento ai dati delle persone giuridiche.
Questo ovviamente non significa che i dati delle persone giuridiche non siano oggetto di protezione.
Questi dati sono protetti da uno specifico accordo: l'accordo di riservatezza. Questo tipo di contratto vincola una parte a non rivelare a terzi i dati di una azienda. In questo modo, importanti dati aziendali trovano protezione e non vengono condivisi.
Tutto ciò, però, non riguarda gli obblighi previsti dal Regolamento Privacy. Questo testo normativo infatti si applica solo con riferimento ai "dati personali" di persone fisiche.
Un dato molto importante per pubblicare una privacy policy che voglia rispettare il GDPR è questo: il Regolamento Privacy non richiede di inserire nella privacy policy le categorie di dati personali trattati dal sito.
Questa è una informazione utile perchè molti siti ecommerce o siti vetrina investono molto tempo nell'indicare i dati personali degli utenti. Il rischio è quello di dover poi modificare la descrizione dei dati personali ogni volta che il sito tratta nuovi dati. Con notevole investimento di tempo e costi (sopratutto legali).
Il Regolamento Privacy descrive le caratteristiche che deve possedere il consenso affinché possa ritenersi "valido".
Solo in presenza di un valido consenso privacy, infatti, la tua azienda potrà effettuare marketing ai propri utenti.
Quindi, è molto importante conoscere le caratteristiche del consenso per evitare sanzioni del Garante Privacy oppure reclami degli utenti.
Secondo il GDPR il consenso deve essere:
Il consenso è informato quando è stato ottenuto in base ad una valida informativa privacy.
Una valida privacy policy, quindi, è il primo requisito per poter dire di aver ottenuto un valido consenso.
Ovviamente, la privacy policy sarà valida solo se redatta ai sensi del GDPR.
Ai sensi del GDPR il consenso è libero quando non è sottoposto a "condizione".
Ipotizziamo un sito che permetta di scaricare un e-book solo se l'utente presta il consenso a ricevere comunicazioni di marketing.
Oppure pensiamo a un sito che permette l'iscrizione solo a chi presti il consenso al marketing.
In questi casi, il consenso non è libero. Infatti, l'utente è stato "costretto" a prestare il consenso SOLO per poi effettuare ciò che voleva (es.: scaricare l'e-book).
Pertanto, ai sensi del GDPR, non bisogna mai subordinare il consenso al marketing per permettere all'utente di svolgere determinate attività.
L'utente deve essere sempre libero di prestare o meno il consenso, senza rischiare "ritorsioni" da parte del titolare del sito internet.
Per esprimere il consenso l'utente deve poter svolgere un'azione positiva.
Questo significa che il sito internet non deve presentare caselle "pre-flaggate".
Ad esempio, il sito rispettare il GDPR se pubblica una formula del consenso che l'utente deve cliccare per esprime il consenso all'invio di comunicazioni pubblicitarie.
Se invece questa casella è già pre-flaggata l'utente non esprime un consenso "espresso", proprio perchè la casella non è stata "fleggata" dall'utente, ma dal sito stesso.
E' come se fosse stato il sito a decidere per conto dell'utente. Ciò ovviamente non rispetta il GDPR.
Al contrario, per rispettare il Regolamento Privacy, non devono essere presenti caselle pre-flaggate sul sito.
Le caselle alle quali stiamo facendo riferimento sono le formule al consenso per ricevere comunicazioni promozionali e newsletter.
Per consenso granulare si intende questo principio:
il sito deve richiedere un consenso diverso per ciascuna finalità per la quale è richiesto il consenso dalla legge.
In altri termini, se il GDPR richiede diversi consensi, il sito non può richiedere un unico consenso per diverse finalità.
Per quali e quante finalità è richiesto il consenso dell'utente? A questa domanda daremo risposta nel punto successivo.
Chiarite le caratteristiche del consenso, vediamo quando è richiesto.
In altri termini, quando un sito è obbligato a richiedere il consenso dell'utente per svolgere determinate attività?
Con specifico riferimento all'ambito digitale, ai sensi del GDPR, il consenso è necessario per:
Devi chiedere il consenso dell'utente per effettuare uno o più di questi trattamenti sul sito.
Non solo. Per ogni trattamento di questo tipo, devi ottenere uno specifico consenso. Infatti, come detto al punto precedente, il consenso è "granulare".
Quindi, se vuoi inviare comunicazioni di marketing e cedere i dati dell'utente, devi richiedere due diversi e specifici consensi.
In difetto, non rispetti il Regolamento Privacy e rischi sanzioni dal Garante Privacy oppure reclami da parte degli utenti.
Il GDPR fornisce una definizione anche di "profilazione".
E' stata una novità importante. Infatti, anche prima della entrata in vigore del GDPR i siti internet effettuavano "profilazione". In assenza però di una definizione normativa, non erano sempre chiari i limiti di questa attività.
Il rischio era quello di incappare in sanzioni anche senza una reale intenzione di violare la normativa privacy.
Invece, una delle novità del Regolamento Privacy è stata proprio quella di definire la "profilazione", agevolando quindi il comportamento dei siti che vogliono rispettare la normativa privacy.
Il GDPR definisce la profilazione come:
qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica
Con specifico riferimento all'ambito ecommerce o digitale, la profilazione si verifica quando il sito crea gruppi di utenti in base ai loro interessi o caratteristiche.
La creazione di questi gruppi di utenti può avere diverse finalità. Le finalità più comuni sono le seguenti:
Pertanto, per avere "profilazione", il titolare del sito ecommerce oppure sito web deve:
Il caso più frequente di profilazione ai sensi del GDPR riguarda l'ambito pubblicitario.
Si pensi al sito che differenzia i propri clienti in base ai loro interessi per poi inviare comunicazioni pubblicitarie coerenti con questi interessi.
Come descritto ai punti precedenti, per trattare i dati personali degli utenti per finalità di profilazione, è necessario ottenere il consenso dell'utente.
Pertanto, vìola il Regolamento Privacy il sito che invia comunicazioni promozionali personalizzate senza il consenso (espresso e granulare) dell'utente.
In questa guida per web agency e siti non poteva mancare una sezione dedicata alle sanzioni.
Il Regolamento Privacy prevede infatti pesanti sanzioni per i siti che non rispettano la normativa.
Infatti, il GDPR prevede sanzioni fino a un massimo di 20 milioni di euro, oppure fino al 4% del fatturato per le aziende.
Una sanzione "indiretta" è poi rappresentata dal "danno di immagine".
Infatti, una eventuale sanzione del Garante Privacy verrebbe pubblicata online. In questo caso, la tua azienda subiremo un evidente danno di immagine visto che sarebbe "additata" come una impresa che non rispetta i dati personali dei suoi utenti.
LegalBlink è un generatore professionale di documenti legali, creato da un Team di avvocati esperti in privacy ed ecommerce. Il suo scopo è quello di aiutarti a rispettare il GDPR e a pubblicare un sito web a norma.
E' la soluzione perfetta per pubblicare siti web a norma. Infatti, LegalBlink offre una suite con tutti i documenti legali utili per essere online a norma di legge.
Ecco alcuni documenti che puoi generare con LegalBlink:
Documenti legali sempre aggiornati quando cambia la legge.
Registrati sul sito e scegli il pacchetto Fast Legal per generare una privacy policy a norma GDPR. Con il pacchetto Easy Merchant, invece, l'informativa privacy è generata direttamente dai nostri avvocati esperti in privacy.
Per qualsiasi informazione su come rispettare il GDPR oppure su i nostri servizi, contattaci!
Team LegalBlink