Checklist GDPR per e-commerce: 12 punti che ogni negozio online dovrebbe superare
Una checklist breve e netta per i gestori di e-commerce nell'UE. Ogni voce è collegata a un articolo specifico del GDPR o alla direttiva ePrivacy, e ciascuna è qualcosa che un'autorità potrebbe verificare oggi sul vostro sito in produzione.
Lukas Kontur · · 2 min di lettura
Questa è una checklist per i gestori di e-commerce nell'Unione Europea. Non sostituisce una valutazione d'impatto sulla protezione dei dati, né sostituisce la consulenza di un Datenschutzbeauftragter tedesco o di un Délégué à la Protection des Données francese. È l'elenco breve di voci che, secondo la nostra esperienza nello scansionare il web europeo, sono documentate abbastanza bene perché un gestore possa rispondere alle domande di un'autorità su come il sistema ha gestito una specifica richiesta, con timestamp.
Le voci sono elencate nel frontmatter e vengono renderizzate dal template della pagina checklist. Ognuna è un'asserzione discreta e verificabile, e ciascuna si collega o al GDPR o alla ePrivacy Directive. Dove il quadro giuridico è più sfumato — ad esempio sui meccanismi di trasferimento dopo l'entrata in vigore dell'EU-US Data Privacy Framework — lo abbiamo segnalato nel dettaglio.
Le due voci che falliscono più spesso, di gran lunga, sono:
- Voce 2: tracking pre-consenso. È lo stesso rilevamento che il nostro scanner etichetta come pre_consent_tracking. Si veda l'articolo della knowledge base sul tracking pre-consenso per i dettagli tecnici.
- Voce 3: rifiuta non rifiuta. La nostra ricerca ha rilevato che l'80% dei pulsanti di rifiuto su 28.891 siti misurati non interrompeva effettivamente il tracking. Il dato a livello di corpus è il titolo; il comportamento sezione-specifico sui siti e-commerce è qualcosa che misureremo separatamente, dato che le dinamiche di consenso sulle pagine transazionali differiscono da quelle dei siti di notizie o di contenuti.
Per una dimostrazione dal vivo di come appare una scansione non conforme:
Un punteggio di rischio medio su questa scala in genere indica che il banner è presente e il pulsante di rifiuto funziona, ma almeno un tracker si attiva prima del consenso. Verificate che nessun tracker non essenziale si attivi prima della decisione di consenso.
La cadenza consigliata è percorrere questa checklist ogni trimestre, conservare i risultati come prova di accountability ai sensi del GDPR Art. 5(2), e trattare qualsiasi voce che sia fallita due volte di seguito come un problema P1. La maggior parte dei gestori non vivrà un evento sanzionatorio. Quelli che lo vivranno saranno contenti di aver tenuto i registri.
Ultimo aggiornamento: