L'Rgpd entra in vigore. Chi vende moda ne deve tenere conto

Fra qualche giorno, con l’entrata in vigore del nuovo regolamento generale europeo sulla protezione dei dati personali (Rgpd), in Europa cambierà profondamente la situazione legislativa sulla privacy. Il regolamento dovrà essere osservato da tutte le persone che elaborano dati personali di cittadini dell’Ue, vale a dire produttori, rivenditori, fornitori di servizi nell’Ue, ma anche le aziende al di fuori dei confini europei che offrono servizi e merci in Europa.

Quali saranno gli effetti della nuova legge sul settore della moda, cosa occorre osservare in particolare e cosa succederà dopo il 25 maggio? Lo abbiamo chiesto Georg Grünhoff, avvocato, consulente legale e responsabile del reparto legale per la sicurezza del prodotto, la protezione dei dati e il diritto dei consumatori presso l’associazione commercianti tedeschi - Handelsverband Deutschland Hde e.V.

A grandi linee l'Rgpd promuove il commercio oppure lo ostacola?

Nella sua applicazione pratica, l'Rgpd apre numerose questioni per le quali neanche le autorità di sorveglianza hanno una risposta definitiva. Porta quindi con sé molte incertezze e tanta necessità di consulenza. Per il commercio, ciò è paradossalmente sia ostacolante che utile.

Quali sono i settori del commercio al dettaglio maggiormente toccati da questo regolamento?

Sono coinvolti tutti i settori e le forme di distribuzione del commercio al dettaglio. Naturalmente, le questioni di tutela dei dati hanno particolare importanza nel commercio online. Occorre aggiornare l’informativa sulla privacy e verificare il sistema di invio delle newsletter. Il nuovo regolamento generale sulla protezione dei dati ha effetti anche sul sistema di tracciatura che utilizza i cookie. Queste modifiche legislative coinvolgono però anche i negozianti, per esempio per quanto riguarda la sorveglianza video, la tutela dei dati dei dipendenti e i nuovi obblighi di informazione.

Secondo il suo parere, quali sono i punti particolarmente importanti per il rivenditore al dettaglio di moda?

Particolarmente urgente è l’aggiornamento dell’informativa sulla privacy sulla homepage e la dichiarazione di consenso nell’invio delle newsletter. Data la visibilità di questi punti, è qui che sussiste il maggior rischio di violazione. Parlando genericamente, in futuro l’azienda avrà l’obbligo di dimostrare di avere osservato le norme sulla privacy. A tal fine, tutte le procedure e le misure di protezione dovranno essere documentate nel dettaglio. Per determinati sistemi di elaborazione dei dati, per esempio per la sorveglianza video, viene introdotta una stima delle conseguenze dell’elaborazione dei dati prevista ai fini della protezione dei dati personali. Gli elenchi delle attività di elaborazione dati dovranno essere modificati o creati da zero.

Se aziende terze elaborano dati per conto del rivenditore, i contratti dovranno essere adattati alla nuova legge. Il regolamento generale sulla protezione dei dati prevede sanzioni per molte violazioni, che arrivano a 20 milioni di euro o al quattro percento del fatturato annuale. Le sanzioni proporzionali al fatturato sono particolarmente pesanti per i piccoli rivenditori. Oltre a ciò, la gestione dei dati dei clienti e dei dipendenti assumerà un ruolo sempre più significativo per il pubblico. Diventa quindi imprescindibile verificare che le proprie procedure di elaborazione dei dati siano conformi al nuovo regolamento generale europeo e alla nuova legge federale.

L'Rgpd entra in vigore. Chi vende moda ne deve tenere conto

I rivenditori di moda usano molto le Loyalty Card. A cosa deve stare attento il rivenditore?

Normalmente, i dati del cliente vengono elaborati dietro consenso. E qui si apre la questione se i consensi forniti potranno essere utilizzati anche per il futuro. Saranno validi se soddisferanno gli standard del regolamento generale sulla protezione dei dati. Ma ciò dovrà essere verificato caso per caso. Nuove sono invece le disposizioni sulla possibilità di trasferimento dei dati. I clienti hanno il diritto di ottenere i propri dati dai rivenditori, al fine di trasmetterli a un altro offerente. Tuttavia, il rivenditore può consegnare solo i dati che la persona in questione ha messo a disposizione consapevolmente e attivamente oppure utilizzando un servizio. Le valutazioni e le deduzioni arbitrarie sui dati messi a disposizione non rientrano nel diritto di trasferibilità. Anche se, di fatto, presumiamo che non siano molti i clienti che utilizzano il proprio diritto di trasferibilità dei dati in collegamento alle proprie carte fedeltà, i rivenditori dovranno essere tecnicamente in grado di eseguire un trasferimento delle carte fedeltà del cliente dietro richiesta di quest’ultimo.

Le newsletter sono un comune strumento di marketing. Cosa occorre osservare in proposito?

Fondamentalmente, dopo il 25 maggio sarà necessario un consenso, che però verrà fornito attraverso una “azione univocamente confermata”. Ciò significa che (come fino ad adesso), non sarà sufficiente una “Opt-Out” (disdetta). Tuttavia, sarà sufficiente spuntare una casella al momento dell’ordine. Occorre verificare se il testo della dichiarazione di consenso sia conforme ai nuovi requisiti. Anche per quanto riguarda l’invio di newsletter, occorre verificare se saranno sufficienti i consensi forniti finora. Se non vi è conformità ai requisiti, i rivenditori possono chiedere in tempo utile ai clienti un nuovo consenso ai sensi del regolamento sulla tutela dei dati.

Com’è la situazione per la tracciatura degli smartphone nel negozio o nelle vicinanze del negozio?

È palese che la valutazione giuridica della tracciatura sia online, sia offline, sia fonte di discussione. Le autorità di vigilanza per la tutela dei dati hanno pubblicato un parere secondo il quale, dopo il 25 maggio, la tracciatura online richiederà un consenso. Al momento non è chiaro se ciò si applichi anche alla tracciatura offline. Dal punto di vista della Hde (associazione dei commercianti tedeschi), nella pratica sarà molto difficile ottenere un consenso per la tracciatura offline (tracking in store).

Secondo la Sua impressione, questo tema provoca agitazione nel commercio al dettaglio?

Questo tema coinvolge i dettaglianti, perché questi desiderano comportarsi in conformità alle leggi ed essere preparati per la nuova condizione legislativa. Purtroppo, questo obiettivo, vista la portata a l’insicurezza regnante sull’interpretazione del regolamento, di fatto è raggiungibile solo parzialmente. Per questo regna un certo comprensibile nervosismo che si affievolirà non appena verrà fatta chiarezza nella pratica amministrativa.

Cosa consiglia a coloro che non si sono ancora occupati della questione?

Dovrebbero iniziare tempestivamente e non esitare a chiedere consulenza a professionisti del settore. L’applicazione del regolamento sulla protezione dei dati nelle aziende è un compito ampio e complesso difficile da comprendere in breve tempo da un profano. Esiste però molto materiale pubblicato dalle autorità di vigilanza che permette di prendere confidenza con questo argomento, la HDE stessa fornisce informazioni ai propri membri.

Come può un cliente riconoscere se un rivenditore tratta correttamente i suoi dati?

Le violazioni contro le norme sulla protezione dei dati sono punite con sanzioni molto elevate. Il cliente può quindi fondamentalmente presupporre che il rivenditore si comporti in conformità alle leggi.

Cosa pensa che succederà dal 25 maggio?

Dal 25 maggio, inizierà un lungo e faticoso processo nel corso del quale dovranno essere chiariti gli aspetti pratici sull’applicazione delle nuove disposizioni. Il commercio, ma anche le autorità di sorveglianza e anche la giurisprudenza dovranno affrontare grossi problemi.

Foto: Georg Grünhoff, Hde / FashionUnited