Il GDPR: requisiti della politica sulla privacy

Pubblicato: 2018-05-15

Preparare la tua azienda per il GDPR non è un compito da poco e non finisce quando la legge entrerà in vigore il 25 maggio.

Fase uno: per prepararti al GDPR, dal 25 maggio in poi, ti consigliamo di designare un dipendente per supervisionare gli sforzi di conformità e aggiornare la tua politica sulla privacy. Questi non sono solo requisiti legali, ma gettano anche una buona base per la conformità continua e possono avere un impatto sulle vendite.

Affida qualcuno al responsabile dei dati

Un Data Protection Officer è un ruolo formale richiesto dal GDPR. Se sei un negozio per una sola persona, dipende da te, quindi dovrai dedicare del tempo per rimanere al passo con la conformità. Che sia tu o uno dei tuoi dipendenti, devi designare qualcuno che si occupi della strategia di protezione dei dati e della conformità della tua azienda e:

  • Decidi in che modo i clienti devono presentare richieste specifiche sulla privacy. Questo può avvenire tramite un modulo di contatto sul tuo sito o tramite un indirizzo e-mail speciale (ad es. [email protected] ).
  • Aggiorna la tua politica sulla privacy con il modo in cui utilizzi e memorizzi i dati e perché . Il GDPR richiede la divulgazione delle informazioni sui dati. Puoi raccogliere meno dati personali? Per quanto tempo la tua azienda ha bisogno di conservare i registri per le tasse statali/provinciali/federali? Quando e come esegui il backup e, infine, distruggi i record dei clienti e degli ordini? Per WordPress e WooCommerce, ciò include la revisione delle pratiche relative ai dati dei plug-in e dei servizi su cui si basa il tuo negozio. Tutte queste informazioni dovrebbero essere pubblicate come Informativa sulla privacy.
  • Prepararsi e rispondere alle richieste di cancellazione/di accesso . I clienti possono richiedere che tu elimini i loro dati e tu sei tenuto a conformarti.
  • Prepararsi e rispondere alle violazioni della sicurezza . Il GDPR richiede che tu riveli tempestivamente le violazioni ai tuoi clienti.
  • Tieniti aggiornato sulle future modifiche alle leggi sulla privacy che potrebbero influire sulla tua attività.

Come aggiornare la tua Informativa sulla privacy

Oltre a essere un requisito del GDPR, una politica sulla privacy ben scritta e di facile comprensione può aiutare a chiudere le vendite con consumatori sempre più attenti alla privacy. Mettere insieme una politica sulla privacy per il tuo negozio WooCommerce richiede un po' di ricerca, un po' di scrittura e l'impegno a rivedere la politica di tanto in tanto.

A partire da WordPress 4.9.6, sarai in grado di creare o designare una pagina del tuo sito come politica sulla privacy del tuo negozio. Troverai questa nuova funzionalità in WP Admin > Impostazioni > Privacy:

Impostazioni sulla privacy in wp-admin

Se stai creando una pagina di politica sulla privacy per la prima volta, WordPress fornirà un modello per iniziare. In generale, una buona politica sulla privacy risponde alle seguenti domande:

1. Quali dati raccoglie questo negozio su di me?

Inizia "autotestando" il tuo negozio e annotando tutti i campi (obbligatori o facoltativi) in cui ai clienti viene richiesto di inserire informazioni o effettuare selezioni. Nota gli ovvi dati personali come nome e indirizzo, insieme a qualsiasi altra cosa che raccogli da loro quando effettuano il check-out o diventano utenti registrati sul tuo sito.

Quindi, guarda gli strumenti meno espliciti, come i cookie o le analisi, utilizzati dal tuo sito. Esamina quali plug-in hai installato e rivedi le loro informazioni sulla privacy. Un plug-in invia dati al di fuori del paese o forse dell'Unione Europea? Questa è un'altra cosa che dovrai rivelare ai clienti.

Approfitta dei nuovi strumenti di WordPress per vedere gli aggiornamenti sulla privacy dai plug-in attivi: a partire da WordPress 4.9.6, i plug-in possono registrare le informazioni sulla privacy con WordPress stesso e vedrai tali informazioni in una casella speciale vicino all'editor durante la modifica la pagina della tua politica sulla privacy in wp-admin. WordPress stesso fornirà anche informazioni sulle informazioni che raccoglie dai visitatori del tuo sito, come commenti e cookie.

La nuova casella delle informazioni sulla privacy consente di copiare e incollare le informazioni sulla privacy da WordPress e dai plug-in direttamente nella tua politica sulla privacy, dove puoi modificarle in base ai dettagli del tuo negozio. Tuttavia, poiché molto dipende dalle impostazioni specifiche che utilizzi e dal modo in cui i plug-in interagiscono tra loro, ti consigliamo di rivedere e modificare quel testo per assicurarti che sia adatto al tuo negozio.

Se un plug-in non fornisce informazioni sulla privacy, puoi visitare il sito Web dello sviluppatore o contattarlo direttamente e chiedere loro quali dati il ​​plug-in raccoglie dai visitatori del tuo sito, se presenti, e cosa ne fanno.

2. Cosa fa questo negozio con i miei dati e perché?

Dopo aver saputo cosa stai raccogliendo, dovrai annotare il motivo per cui lo stai raccogliendo.

Le spiegazioni per gran parte dei dati che raccogli sono semplici: hai bisogno del loro indirizzo per spedire loro un prodotto o hai bisogno del loro indirizzo email per aggiornarli sullo stato dell'ordine.

Se stai raccogliendo dati personali di cui non hai effettivamente bisogno per evadere un ordine, vorrai spiegare perché al tuo cliente e dare loro un mezzo per rinunciare a quel tipo di "elaborazione" (vedi "Le caselle di controllo sono 'non l'unico modo” di seguito).

3. Con chi condivide i miei dati questo negozio?

Qui è coinvolto un po 'di investigazione: ti consigliamo di rivedere come vengono utilizzati i dati che raccogli. È più probabile che alcuni tipi di plugin condividano i dati:

  • I gateway di pagamento spesso condividono i dati con il fornitore di servizi di pagamento per elaborare il pagamento.
  • Le estensioni di spedizione spesso condividono i dati con i fornitori di servizi di spedizione per calcolare le tariffe di spedizione o stampare etichette di spedizione.
  • Le estensioni di marketing e analisi spesso condividono i dati per aggiungere clienti agli elenchi o analizzare il loro comportamento.

In sostanza, se un plug-in si connette a un servizio esterno, è probabile che condividano alcuni tipi di dati con quel servizio. Ti consigliamo di rivedere le politiche sulla privacy di questi servizi per assicurarti che siano in linea con le tue priorità sulla privacy.

Utilizzi un'estensione dal mercato WooCommerce.com? Scopri esattamente come le nostre estensioni, inclusi i gateway di pagamento e spedizione, utilizzano e archiviano i dati.

4. Per quanto tempo questo negozio conserva i miei dati?

Ci sono molte ragioni per conservare i record, anche se un addebito è contestato da un cliente, per un'audizione fiscale o per altri problemi legali. Sebbene leggi come il GDPR abbiano il "diritto alla cancellazione", non è necessario cancellare i record necessari per questi altri aspetti della tua attività .

Detto questo, la tua politica sulla privacy, insieme alla pagina dei termini e condizioni, dovrebbe chiarire ai clienti per quanto tempo conservi i loro dati personali e perché.

5. Come posso accedere, aggiornare o eliminare i dati raccolti?

Oltre a sapere cosa stai facendo con i dati personali, i clienti devono sapere come possono aggiornare i propri dati, tra cui:

  • Ottenere una copia dei loro dati
  • Aggiornamento dei loro dati
  • Cancellare i loro dati

La tua politica sulla privacy dovrebbe fornire ai clienti istruzioni chiare su come raggiungere te o la tua persona designata per la privacy con queste richieste. Se consenti ai tuoi clienti di modificare alcune delle loro informazioni, ad esempio in Il mio account, puoi menzionarlo anche qui.

Le caselle di controllo non sono l'unico modo

Ai sensi del GDPR, esistono molteplici approcci legali alla gestione dei dati personali. La tua politica sulla privacy dovrebbe indicare su quale base stai effettuando ogni tipo di trattamento dei dati personali. Quelli più applicabili ai siti di eCommerce includono:

  • Consenso : L'utente presta esplicitamente il proprio consenso a un tipo specifico di trattamento dei propri dati personali (es. consenso a partecipare a ricerche di mercato effettuate da terzi).
  • Necessità contrattuale : Il trattamento dei dati personali è necessario per adempiere a un contratto (es. spedire il proprio ordine).
  • Adempimento degli obblighi di legge : Il trattamento dei dati personali è obbligatorio per motivi legali (es. Partita IVA).
  • Interessi legittimi : il trattamento dei dati personali è un comportamento legittimo e prevedibile di un'azienda (ad esempio, e-mail di follow-up dopo che hanno effettuato l'ordine con altri prodotti a cui potrebbero essere interessati).

Costruisci la tua politica sulla privacy un passo alla volta

È una lunga lista, lo sappiamo! Affrontalo passo dopo passo e non preoccuparti di creare una politica sulla privacy perfetta fin dal primo giorno. Mantenere la tua politica sulla privacy fresca e aggiornata, soprattutto quando aggiungi plug-in - o plug-in aggiungono funzionalità - sarà un'attività continua proprio come qualsiasi altra manutenzione aziendale che fai.

Prossimo? Il lungo e il corto delle richieste di diritto di accesso.