Come essere conforme al GDPR per i negozi di e-commerce: un riassunto conciso di ciò che devi fare

C'è stato un sacco di confusione in giro per quanto riguarda la conformità al GDPR per i negozi di e-commerce, quindi ho deciso di dedicare del tempo per riassumere in modo conciso le azioni che ho intrapreso per diventare conforme a me stesso.

Ora ci sono letteralmente centinaia di post GDPR là fuori che possono essere trovati su Google, ma nessuno di loro ti dice chiaramente cosa deve essere fatto .

Invece, o rigurgitano il documento GDPR che è al limite illeggibile o ti spaventano il cr@% così pagherai per i loro servizi di consulenza :)

Bene, questo post ti dirà cosa devi fare senza che l'avvocato parli...

Dichiarazione di non responsabilità: non sono un avvocato né un esperto di GDPR. Tutte le informazioni qui sono tratte da discussioni con colleghi e avvocati. Di conseguenza, per favore prendi tutto in questo post con le pinze. In altre parole, questo articolo è solo a scopo informativo.

Ti consiglio di rivolgerti a un legale e ad altri consulenti professionali per determinare le tue esigenze GDPR.

Ottieni il mio mini corso gratuito su come avviare un negozio di e-commerce di successo

Se sei interessato ad avviare un'attività di e-commerce, ho messo insieme un pacchetto completo di risorse che ti aiuteranno a lanciare il tuo negozio online da zero. Assicurati di prenderlo prima di partire!

Clicca qui per scaricare

Passaggio 1: è necessario aggiornare la politica sulla privacy

Non entrerò troppo in profondità su come scrivere una politica sulla privacy. Ma ci sono molte società di e-commerce conformi là fuori e molti esempi da emulare .

Vai semplicemente al tuo negozio di e-commerce preferito e dai un'occhiata. Ci sono anche molti generatori di norme sulla privacy GDPR là fuori dove puoi prendere un questionario, pagare qualche centinaio di dollari e ottenere una politica sulla privacy generata automaticamente per te.

In poche parole, è necessario includere quanto segue...

• Le sue informazioni di contatto
• Quali informazioni raccogli e come e perché le raccogli
• Cosa fai con i dati e chi altro può vederli
• Quali sono i diritti dei tuoi visitatori ai sensi del GDPR

La creazione di una politica sulla privacy non è la parte difficile.

Decidere come raccogliere i dati e cosa fare con i dati esistenti è dove si trova la principale confusione. Di conseguenza, è qui che concentrerò i miei sforzi per il resto di questo post.

Passaggio 2: correggi le opzioni di posta elettronica post acquisto per i visitatori dell'UE

Oltre il 95% dei nostri clienti proviene dagli Stati Uniti, ma riceviamo la nostra giusta quota di acquirenti dal Regno Unito. In generale, quando qualcuno acquista dal nostro negozio, gli inviamo automaticamente una sequenza di risposta automatica post acquisto in più passaggi .

Correlati: 5 autorisponditori e-mail di cui il tuo negozio online ha bisogno per automatizzare le vendite

Non c'è nessuna casella di controllo. Non c'è opt. Se hai effettuato un acquisto, otterrai la sequenza.

Con il GDPR, tuttavia, ora dovrai ottenere il consenso esplicito per inviare ai tuoi clienti dell'UE una sequenza post acquisto.

Il modo più semplice per farlo è avere una casella di controllo durante il checkout che chieda se desiderano essere aggiunti alla newsletter del tuo negozio.

Questa casella di controllo deve essere deselezionata per impostazione predefinita.

Se un cliente effettua un acquisto e ha selezionato la casella, allora hai il consenso a inviargli la corrispondenza futura via e-mail.

Ci sono tuttavia alcuni avvertimenti qui.

Supponiamo che incentivi il cliente a selezionare la casella di controllo offrendogli un ebook gratuito, uno sconto o un omaggio SENZA dire che sarà iscritto alla tua newsletter generale.

Allora indovina cosa? Puoi solo consegnare loro il loro omaggio senza ulteriore corrispondenza!

Di conseguenza, con la tua casella di controllo, devi chiarire che sono sulla tua newsletter in corso e che possono annullare l'iscrizione in qualsiasi momento.

Passaggio 3: modifica le normali opzioni di posta elettronica

Una pratica popolare con i negozi di e-commerce è quella di distribuire coupon o omaggi gratuiti in cambio di un indirizzo e-mail. Quindi, una volta ottenuta l'e-mail, il cliente viene inserito in una sequenza di pre-acquisto automatizzata .

Tuttavia, con il GDPR, puoi solo inviare un'e-mail al cliente riguardo al coupon o all'omaggio gratuito e questo è tutto.

È necessario ottenere il consenso per qualsiasi futura corrispondenza.

Il modo più semplice per aggirare questo problema è affermare chiaramente che il cliente dell'UE verrà inserito nella newsletter della tua azienda una volta che avrà optato per il coupon o l'omaggio.

In poche parole, devi informare il cliente UE che verrà inserito in una newsletter ricorrente una volta che avrà aderito.

Una domanda comune è se è necessario inserire una casella di controllo esplicita sul modulo di posta elettronica per il consenso. E per quanto ne so, NON è necessaria una casella di controllo.

Ho chiesto a diverse persone che sanno di questo punto esatto. Inoltre, ho letto faticosamente il documento GDPR e da nessuna parte si afferma esplicitamente che è NECESSARIO avere una casella di controllo.

Invece, la lingua esatta nel documento è che devi comunicare chiaramente come tratterai i dati personali degli iscritti .

Il consenso deve essere fornito da un abbonato e non può essere associato ad azioni non correlate . Pertanto, fintanto che dichiari esplicitamente che li invierai via email su base ricorrente in futuro, dovresti essere bravo.

Un'altra domanda comune è se è richiesto il double optin per le iscrizioni alla newsletter via e-mail. Ancora una volta, non c'è nulla nel GDPR che affermi che è necessario utilizzare il double optin.

Come da GDPR, devi semplicemente essere in grado di dimostrare il consenso conforme . E l'inserimento di informazioni personali in un modulo di registrazione e-mail e il clic su "invia" può essere considerato un consenso, a condizione che tu sia esplicito nell'informare il cliente per cosa si sta registrando.

Detto questo, il double optin è probabilmente una buona pratica da seguire.

Passaggio 4: ripulisci l'elenco esistente. Invia email di reimpegno solo se necessario

Non so voi, ma ho ricevuto centinaia di e-mail da negozi che mi chiedevano di riattivare la loro lista e vengo dagli Stati Uniti!

Non è assolutamente necessario farlo per gli abbonati non UE e queste società stanno eliminando gran parte della loro lista senza alcun motivo.

La necessità o meno di inviare un'email di reimpegno dipende da diversi fattori . E devi porti le seguenti domande...

• Puoi dimostrare che i tuoi abbonati UE hanno aderito alla tua lista? – Se hai trasferito e-mail da un provider all'altro o hai acquistato un elenco di e-mail, è probabile che tu non disponga di queste informazioni.

  Tuttavia, se qualcuno dell'UE ha aderito alla tua lista, dovrebbe essere tracciato nel database del tuo provider di email marketing. Devi controllare.

• Hai spiegato chiaramente come utilizzeresti i dati degli iscritti e quali contenuti puoi inviare loro? – Utilizzando l'esempio nel passaggio 2, posizionavo automaticamente i clienti dell'UE in una sequenza post acquisto quando effettuavano un acquisto.

  NON ho spiegato loro chiaramente che l'avrei fatto. Di conseguenza, devo inviare esplicitamente un'e-mail di riattivazione a queste persone.

• I tuoi iscritti possono disiscriversi in qualsiasi momento? – Per quanto mi riguarda, questo è normale. Se stai utilizzando un provider di posta elettronica legittimo, per legge è richiesto un link per annullare l'iscrizione.

Se hai risposto sì a tutte e 3 le domande precedenti, non devi fare nulla finché c'è una registrazione di ciò nel tuo database di email marketing. Ma per la maggior parte di voi, molto probabilmente dovrete riattivare tutti i vostri clienti UE che sono iscritti alla vostra sequenza post acquisto .

Per il mio negozio, ho semplicemente segmentato tutti i miei clienti dell'UE e ho inviato loro la seguente email.

Abbiamo aggiornato la nostra Informativa sulla privacy per adeguarci alle recenti modifiche al GDPR (che entreranno in vigore il 25 maggio 2018). Se desideri saperne di più su come gestiamo le tue informazioni, fai riferimento alla nostra Informativa sulla privacy aggiornata e ai Termini di servizio.

Se desideri continuare a ricevere le nostre e-mail, conferma la tua iscrizione facendo clic sul pulsante in basso:

SÌ! Vorrei continuare a ricevere email da Bumblebee Linens

Confermando la tua iscrizione con il link qui sopra, continuerai a ricevere:

• Aggiornamenti dell'ultima newsletter
• Buoni e promozioni
• Annunci di nuovi prodotti

Chiunque non si riattivi viene cancellato dal nostro database.

Nota: questo non è stato un grosso problema per il nostro negozio perché non riceviamo così tanti clienti dell'UE

Passaggio 5: non far fare i salti mortali alle persone extra UE

Molti negozianti che conosco stanno ora inserendo caselle di controllo ovunque per garantire il consenso, indipendentemente da chi sia il cliente. Ma il problema è che stai riducendo il tasso di conversione per ogni casella di controllo che aggiungi.

Invece di apportare una modifica generale al tuo sito, potresti considerare di trattare i clienti dell'UE in modo diverso .

Ad esempio, per la sequenza e-mail successiva all'acquisto, potresti voler visualizzare la casella di controllo solo per i clienti UE . Dopotutto, sai già che provengono dall'UE perché hanno inserito tutte le informazioni sull'indirizzo di consegna nel modulo di pagamento.

Una semplice dichiarazione "se" impedirà che questa casella di controllo venga mostrata ai clienti statunitensi.

Lo stesso vale con qualsiasi altro modulo sul tuo sito. Dopotutto, non c'è motivo per cui il tuo tasso di conversione ne risenta, soprattutto se l'UE è solo una piccola percentuale della tua attività complessiva.

Per il nostro negozio, non invio del tutto sequenze di email dopo l'acquisto ai clienti dell'UE. Inoltre, al momento non eseguo annunci di retargeting per i clienti dell'UE perché la spedizione è così alta e non riceviamo così tanti clienti dell'UE per cominciare.

Usa il tuo giudizio.

La mia opinione personale sulle sanzioni per violazione del GDPR

Tutti sono assolutamente terrorizzati dalle multe associate alla violazione del GDPR. Dopotutto, le sanzioni sono come 20 milioni di dollari o il 4% dei tuoi ricavi o qualcosa di ridicolmente pazzo del genere.

Prima di tutto, i funzionari dell'UE hanno indicato che le multe sarebbero probabilmente l' ultima risorsa per l'applicazione .

Ecco un estratto da un recente post sul blog del commissario per l'informazione del Regno Unito Elizabeth Denham .

È allarmante suggerire che faremo i primi esempi di organizzazioni per infrazioni minori o che le multe massime diventeranno la norma", ha affermato.

L'impegno dell'ICO nel guidare, consigliare ed educare le organizzazioni su come rispettare la legge non cambierà ai sensi del GDPR. Abbiamo sempre preferito la carota al bastone.

Mentre le multe possono essere la mazza nella nostra cassetta degli attrezzi, abbiamo accesso a molti altri strumenti che sono adatti al compito da svolgere e altrettanto efficaci.

Il GDPR ci offre una serie di sanzioni per aiutare le organizzazioni a conformarsi: avvertimenti, rimproveri, ordini correttivi. Anche se questi non colpiranno le organizzazioni in tasca, la loro reputazione subirà un duro colpo.

Ecco come interpreto questa affermazione.

Applicheranno le multe solo se stai violando intenzionalmente il GDPR . Ma se stai facendo del tuo meglio per conformarti, probabilmente riceverai diversi avvertimenti prima che accada qualcosa di drastico.

Ancora una volta, questa è la mia interpretazione e per favore prendila con le pinze.

Se prendi le misure necessarie per comprendere e seguire le normative GDPR, non hai nulla di cui preoccuparti.