Protezzjoni tad-dejta tal-klijenti tal-kummerċ elettroniku: konformità mal-GDPR

Introduzzjoni

Il-protezzjoni tad-dejta tal-klijenti tikkostitwixxi kwistjoni strateġika ewlenija għal kwalunkwe attur tal-kummerċ elettroniku. Sa mid-dħul fis-seħħ tar-Regolament Ġenerali dwar il-Protezzjoni tad-Dejta (GDPR) fil-25 ta’ Mejju 2018, is-siti tan-negozjanti, l-applikazzjonijiet tal-bejgħ mobbli u s-swieq għandhom jirrispettaw qafas legali strett taħt piena ta’ sanzjonijiet sa 20 miljun euro jew 4% tal-fatturat globali annwali. Lil hinn mir-restrizzjoni regolatorja, il-konformità mal-GDPR tirrappreżenta lieva reali tal-fiduċja tal-klijenti: 87% tal-konsumaturi Ewropej jgħidu li mhux se jixtru minn sit fejn jiddubitaw is-sigurtà tad-dejta. Dan l-artikolu pilastru jagħti dettalji dwar l-obbligi konkreti tal-bejjiegħa bl-imnut elettroniċi f'termini ta' kunsens, cookies, newsletters u sigurtà tad-dejta tal-ħlas.

Kunsens: pedament tal-konformità mal-GDPR

Il-kunsens jikkostitwixxi waħda mis-sitt bażijiet legali għall-ipproċessar previsti fl-Artikolu 6 tal-GDPR. Biex tkun valida, trid tissodisfa erba' kriterji kumulattivi definiti fl-Artikolu 7: tkun ħielsa, speċifika, infurmata u mhux ambigwa. Fil-kuntest tal-kummerċ elettroniku, dan ifisser li utent tal-Internet ma jistax ikollu l-kunsens tiegħu kkundizzjonat mix-xiri ta’ prodott (prinċipju ta’ libertà), u li jrid ikun jista’ jagħti l-kunsens tiegħu separatament għal kull skop (profiling ta’ kummerċjalizzazzjoni, qsim mal-imsieħba, newsletter, eċċ.).

Is-CNIL saħħet b'mod konsiderevoli r-rekwiżiti tagħha mill-2020 bil-linji gwida tagħha dwar il-cookies u t-trackers. Il-buttuna "Aċċetta kollha" issa trid tkun akkumpanjata minn buttuna "Irrifjuta kollha" ta 'aċċessibbiltà u viżibilità ekwivalenti. Kaxxi verifikati minn qabel huma strettament ipprojbiti (sentenza tal-QtĠ-UE Planet49, 1 ta’ Ottubru, 2019). In-negozjanti elettroniċi għandhom ukoll iżommu prova tal-kunsens b'timbra taż-żmien għat-tul tal-ipproċessar, u jippermettu l-irtirar sempliċi daqs l-għotja inizjali.

Ġestjoni ta' cookies u trackers fuq siti tan-negozjanti

Is-siti tal-kummerċ elettroniku jużaw medja ta' 40 sa 60 cookie ta' partijiet terzi: analitika, retargeting tar-reklamar, netwerks soċjali, chatbots, ittestjar A/B. L-Artikolu 82 tal-Att emendat dwar il-Protezzjoni tad-Dejta jeħtieġ kunsens minn qabel għal kwalunkwe tracker mhux strettament meħtieġ għat-tħaddim tas-servizz. Il-cart tax-xiri, is-sessjoni ta' awtentikazzjoni u l-cookies tal-ibbilanċjar tat-tagħbija biss huma eżenti.

It-twaqqif ta' Pjattaforma ta' Ġestjoni tal-Kunsens (CMP) konformi sar essenzjali. Għandu jippermetti lill-viżitatur ikun granulari fl-għażliet tiegħu: aċċettazzjoni skont l-iskop (kejl tal-udjenza, personalizzazzjoni, reklamar immirat) u mir-riċevitur. Is-sanzjonijiet qed jinżlu: Google (€150M), Amazon (€35M), Facebook (€60M) fl-2022 għan-nuqqas ta’ buttuna ta’ rifjut daqshekk aċċessibbli daqs il-buttuna taċċetta.

Newsletter u prospett kummerċjali: opt-in rigoruż

Il-bgħit ta' newsletters u emails promozzjonali jaqa' taħt l-artikolu L.34-5 tal-Kodiċi tal-Komunikazzjonijiet Postali u Elettroniċi, li jittrasponi d-direttiva dwar il-Privatezza elettronika. Il-prinċipju huwa dak ta' opt-in espliċitu minn qabel għal prospetti individwali (B2C). Teżisti eċċezzjoni notevoli għall-klijenti li diġà għamlu xirja: it-tiftix huwa awtorizzat għal prodotti jew servizzi simili, sakemm ikunu ġew infurmati waqt il-ġbir u jistgħu joġġezzjonaw għal kull ġarr.

B'mod konkret, il-kaxxa "Nixtieq nirċievi offerti kummerċjali minn [marka]" għandha tkun mhux ikkontrollata awtomatikament u distinta mill-aċċettazzjoni tat-T&Cs. Kull email trid tinkludi link ta' unsubscribe ta' klikk waħda li taħdem, l-identità ta' min jibgħat u indirizz ta' kuntatt validu.

L-iżgurar tad-dejta tal-ħlas

L-ipproċessar tad-dejta bankarja jaqa’ kemm taħt il-GDPR (l-artikolu 32 dwar is-sigurtà) kif ukoll l-istandard PCI-DSS (Payment Card Industry Data Security Standard). In-negozjanti elettroniċi għandhom jiffavorixxu t-tokenizzazzjoni permezz ta' fornitur ta' servizzi ta' ħlas iċċertifikat PCI-DSS livell 1 (PSP), u b'hekk jevitaw il-ħażna diretta tan-numri tal-kards. Awtentikazzjoni qawwija (3D Secure v2) ilha obbligatorja mill-15 ta' Mejju 2021 fl-applikazzjoni tad-direttiva DSP2.

Iż-żamma tal-kriptogramma viżwali (CVV) hija strettament ipprojbita wara t-tranżazzjoni. In-numri tal-kards jistgħu jinżammu biss b'kunsens espress biex jiġi ffaċilitat ix-xiri sussegwenti (deliberazzjoni tas-CNIL nru 2018-303).

Konklużjoni

Il-konformità tal-GDPR fil-kummerċ elettroniku mhijiex biss lista ta 'kontroll legali: hija tistruttura r-relazzjoni diġitali kollha tal-klijent. Bejn il-kunsens granulari, il-ġestjoni tal-cookies, ir-rigorożità fil-prospett u l-pagamenti siguri, il-bejjiegħa bl-imnut elettroniċi għandhom jadottaw approċċ ta’ “privatezza skont id-disinn” meta jfasslu l-vjaġġi tagħhom. Dan l-approċċ, 'il bogħod milli jkun ostaklu kummerċjali, isir argument li jiddifferenzja f'suq fejn il-fiduċja diġitali tikkundizzjona r-rata ta' konverżjoni u l-lealtà.