Molti eCommerce Manager sono convinti che la GDPR sia solo d’ostacolo alla navigazione utente, e che questa contribuisca ad allontanarlo dal mondo degli acquisti online. In realtà, se gestita bene, la GDPR può essere un’opportunità per ottenere risultati restando allo stesso tempo corretti, etici e trasparenti con gli utenti.
Ecco quindi 7 principi fondamentali della GDPR che devi applicare nel tuo eCommerce.
Cos’è la GDPR
Prima di iniziare a spiegarti cos’è la GDPR, occorre fare una doverosa premessa: le informazioni di questa guida non sono assolutamente un consiglio legale.
Le informazioni che trovi in questo articolo sono frutto della mia esperienza rispetto al tema della GDPR. La raccolta dei consensi utente è un tema molto spesso sottovalutato e viene messo all’ultimo posto quando parliamo di eCommerce. Merita invece di essere messo tra le prime attività di cui occuparci perché permette di operare nel rispetto delle norme senza incorrere in sanzioni.
I consensi utente hanno una grossa importanza in una strategia per eCommerce come quelle di Marketing Automation. Tutte le azioni compiute verso il cliente sono strettamente legate ai consensi concessi, che di fatto stabiliscono la nostra libertà di manovra.
Evitare di applicare la GDPR nelle attività di Marketing porta a sanzioni che possono arrivare fino al 4% del fatturato dell’intera azienda (non solo dell’eCommerce).
L’acronimo GDPR sta per General Data Protection Regulation (Regolamento Generale sulla Protezione dei Dati).
È una legge dell’Unione Europea, entrata in vigore nel 2018, che stabilisce le regole per la gestione dei dati personali, e quindi della privacy, dei nostri utenti.
La GDPR si compone di 7 principi:
1. Legalità, correttezza e trasparenza
Stabilisce che qualsiasi dato che raccogliamo degli utenti deve avere uno scopo di utilizzo che per loro sia visibile. Ciò per cui dichiariamo di raccogliere i dati deve corrispondere alle nostre azioni in modo trasparente e coerente. Gli utenti devono avere visibilità su queste azioni.
2. Limitazione dello scopo
L’utilizzo dei dati raccolti, aldilà del loro scopo specifico, è considerato una violazione.
Se ad esempio un utente ci rilascia il proprio indirizzo email per ricevere una newsletter, le sue informazioni non possono essere utilizzate in altro modo, anche ad esempio solo per scopi statistici interni.
3. Minimizzazione dei dati
I dati raccolti devono essere mantenuti al minimo e limitarsi allo stretto indispensabile. Più specificatamente, devono essere “in relazione alle finalità per le quali sono trattati“. Se richiediamo ai nostri utenti più dati di quelli effettivamente necessari potremmo essere considerati violatori della GDPR.
4. Accuratezza
Questo punto ha esattamente il significato della parola: fornire solo informazioni aggiornate assicurandone poi anche il continuo aggiornamento.
Ciò significa che dobbiamo rivedere e aggiornare regolarmente i dati che raccogliamo. I dati ritenuti “inaccurati” devono essere rimossi immediatamente.
5. Limitazione della conservazione
Questo quinto principio cercherò di semplificarlo il più possibile.
È necessario eliminare tutti i dati di cui non abbiamo più bisogno a meno che non abbiamo ragioni autentiche e legali per la loro conservazione.
Se decidiamo di conservare tali dati è necessario determinare per quanto tempo saranno conservati e per quale scopo.
NB: al momento la GDPR non indica esplicitamente per quanto tempo i dati personali devono essere conservati e, in alcuni casi, come ad esempio la conservazione dei dati di profilazione degli utenti e i dati di acquisto, viene delegata la scelta al titolare dei dati.
6. Integrità e riservatezza (sicurezza)
Questo punto si prefigge di proteggere i dati raccolti. In base a questo principio è necessario disporre di misure di sicurezza “tecniche o organizzative” adeguate per prevenire il furto e la perdita di dati, sia internamente che esternamente.
7. Responsabilità
L’ultimo principio della GDPR è il modo in cui il governo UE si assicura che il nostro sito sia conforme alla normativa. Esso stabilisce che dobbiamo essere in grado di dimostrare le misure adottate per l’adeguamento alla GDPR. Occorre quindi avere una documentazione chiara di cosa è stato fatto e di quando è stato fatto, se abbiamo assunto uno specialista della protezione dei dati, se stiamo rivedendo i dati su base regolare e, in generale, se e come stiamo rispettando la GDPR.
Ma come trasmettiamo questi 7 principi all’interno del nostro e-commerce in modo semplice e chiaro? Ci viene in aiuto il Legal Design.
Scopri quindi come il Legal Design può snellire il processo di raccolta dati utente.