Magento GDPR compliance

Magento si dichiara pronto per il GDPR, ma è davvero così?

 

La Direttiva dell’UE sulla protezione dei dati (nota anche come Direttiva 95/46/EC) è una normativa che riguarda l’elaborazione dei dati personali e la libertà di circolazione di tali dati. In generale, questa Direttiva stabilisce una serie di requisiti per la tutela dei dati che si applicano al momento di elaborare dati personali.

La direttiva GDPR, o General Data Protection Regulation, adottata nell’aprile del 2016, sostituirà la Direttiva sulla protezione dei dati e sarà applicabile a partire dal 25 maggio 2018.

Andiamo insieme ad analizzare le diverse tematiche legate al GDBR.

Sanzioni GDBR
Si parla di sanzioni davvero importanti, in alcuni casi anche sino al 2-4% delle entrate del sito e-commerce con un tetto massimo di 10-20 milioni di euro.

Quali dati devono essere protetti?
Qualsiasi dato di identificazione personale come nome, indirizzo, email deve essere protetto, ma oltre a ciò anche cookie e indirizzi IP utilizzati per tracciare l’attività. Non solo i dati sui server del merchant, ma anche tutti i dati ospitati su piattaforme SaaS (come Salesforce, Dropbox, Google Drive, ecc.) e nel cloud (come AWS, Azure, ecc.) o condivisi con terze parti.

Cosa non può fare il merchant?
Non si possono memorizzare i dati personali dei cittadini dell’Unione Europea dove non vengano rispettate le rigide norme dell’Unione Europea in materia di protezione dei dati, a meno che non si tratti di un paese riconosciuto come conforme o che abbia molti accordi commerciali specializzati in atto su questo tema.

Cosa deve fare il merchant?
Prima di tutto rivolgersi al proprio consulente perché si attivi, se non l’ha già fatto, per gestire l’analisi degli interventi da richiedere all’agenzia opportuni per l’adeguamento. Dal punto di vista tecnico facilmente ci saranno da considerare i seguenti temi:

  • Consentire opt-out per i cookie.
  • Richiedere opt-in espliciti (niente caselle pre-selezionate) per accettazione privacy, iscrizione newsletter, ecc.
  • Assicurarsi che i dati del cliente siano precisi e sempre allineati. Quindi, se un cliente aggiorna le sue informazioni in un sistema, bisogna assicurarsi che siano aggiornate anche in tutti gli altri sistemi, non solo quelli interni a Magento ma anche le terze parti con cui abbiamo condiviso i dati.
  • Assicurarsi che i dati del cliente non accurati non vengano mai elaborati.
  • Essere in grado di esportare e condividere tutti i dati dei clienti entro un mese dalla richiesta.
  • Essere in grado di eliminare un cliente e tutti i record associati al cliente, in tutti i sistemi, entro un mese dalla richiesta.
  • Avvisare la commissione entro 72 ore dalla violazione di dati di qualsiasi tipo.

Magento ha messo a disposizione un’interessante guida sul GDBR, da cui estraiamo le parti salienti qui di seguito.

Magento è GDPR compatibile ad oggi?
Magento si dichiara pronto per il GDPR, ha implementato in Magento 2 diverse funzionalità a tutela di esso.

Sono necessarie delle modifiche di Magento per renderlo GDBR compatibile?
Non ci sono cambiamenti funzionali previsti necessari per Magento per essere conforme al GDPR.
Il GDPR offre ai privati diritti in relazione al trattamento delle loro informazioni personali, incluso l’accesso, la correzione e/o la cancellazione di informazioni personali su richiesta dell’utente. L’attivazione di questi diritti non richiede una personalizzazione di Magento, ma al massimo l’integrazione di qualche estensione per dare seguito alle richieste più specifiche del GDBR (come ad esempio la cancellazione degli ordini).

Ci sono delle nuove funzionalità programmata per Magento riguardanti la GDBR?

Magento ha eseguito una mappatura dei dati per identificare tutte le posizioni in cui le informazioni personali sono memorizzate nel sistema. Questa mappatura verrà fornita come documentazione entro il 1 maggio 2018 con tutta la community Magento, pubblicata sul sito ufficiale di documentazione per sviluppatori di Magento. Gli strumenti di amministrazione, nella Console di amministrazione di Magento, che automatizzino l’elenco, l’esportazione e la cancellazione di informazioni personali potrebbero essere considerati come sviluppi futuri, a seconda della richiesta della base di merchant Magento.

Il tempo stringe e mancano pochi mesi al fatidico 25 Maggio 2018, se non avete ancora approfondito l’argomento è ora di farlo.