Siti e-commerce e protezione dei dati personali
Un sito di e-commerce deve trattare i dati ottenuti dai suoi clienti in modo trasparente e sicuro.
Per ottenere la fiducia dei clienti e soddisfare i requisiti legali, un'impresa che opera su un sito di e-commerce deve applicare misure rigorose di protezione della sfera privata.
Legge federale sulla protezione dei dati
Tutte le imprese svizzere che trattano i dati di persone fisiche sono sottoposte alla nuova legge sulla protezione dei dati. Questa è entrata in vigore il primo settembre 2023.
In quest’ottica, PMI devono verificare se le dichiarazioni sulla protezione dei dati che figurano sul loro sito di e-commerce corrispondono alle nuove esigenze legali. Esse devono tener conto di un certo numero di novità, quali l’introduzione dell’obbligo di informare preventivamente della raccolta di tutti i dati personali (e non più unicamente dei dati sensibili) o dei principi di "Privacy by Design" e di "Privacy by Default".
Come indicato dal nome, il principio di "Privacy by Design" (protezione dei dati sin dalla concezione) implica che gli sviluppatori integrino la protezione e il rispetto della vita privata degli utenti nella struttura stessa del sito di e-commerce chiamato a raccogliere i dati personali. Il principio di "Privacy by Default" (protezione dei dati per impostazione predefinita) assicura invece il livello di sicurezza più elevato dalla messa online del sito attivando automaticamente, ovvero senza intervento da parte degli utenti, tutte le misure necessarie alla protezione dei dati e alla limitazione del loro utilizzo. In altre parole, tutti i software, il materiale e i servizi del sito di e-commerce devono essere configurati in modo da proteggere i dati e da rispettare la vita privata degli utenti.
Per ulteriori informazioni, consultare il sito dell’Incaricato federale della protezione dei dati e della trasparenza (IFPDT).
Raccomandazioni per la protezione dei dati
Per quanto riguarda la protezione dei dati, si raccomanda fortemente di adottare le seguenti misure:
- Rendere disponibile sul sito di e-commerce una dichiarazione di protezione dei dati (vd. sopra).
- Utilizzare tecniche di autenticazione dell'utente (ad esempio SuisseID) e di crittografia dei dati (connessione sicura https).
- Domandare ai clienti solo informazioni indispensabili. Le domande fuori contesto suscitano diffidenza.
- Indicare in modo chiaro quali dati personali sono utilizzati e a quale scopo.
- Dare all'utente il diritto di limitare l'uso che viene fatto dei suoi dati e la loro trasmissione (profilo di consumo, pubblicità).
Il compito dell'incaricato federale della protezione dei dati e della trasparenza (IFPDT) è di spiegare la Legge sulla protezione dei dati e di offrire raccomandazioni in questo ambito.
Dichiarazione di protezione dei dati su un sito di e-commerce
Su un sito di e-commerce, una dichiarazione di protezione dei dati serve a comunicare i metodi definiti per proteggere la sfera privata degli utenti. Per ottenere la fiducia dei clienti, si raccomanda di dotarsi di tale documento e di metterlo ben in vista sul sito in un punto facilmente accessibile.
La dichiarazione di protezione dei dati deve contenere almeno i seguenti punti:
- A quali disposizioni legali è sottoposto il fornitore in materia di trattamento dei dati?
- Quali sono i dati personali raccolti e a quale scopo?
- Quali dati personali sono comunicati a dei terzi e a quale scopo?
- Che scelte sono proposte all'utente per il trattamento dei suoi dati?
- Quali sono i diritti (in particolare, il diritto di accesso e di rettifica) di cui dispongono gli utenti?
- Qual è il servizio incaricato di rispondere alle domande sul trattamento dei dati personali?
- Quali misure di sicurezza sono applicate per proteggere i dati personali?
