E-commerce, ecco come trattare i dati nel rispetto del GDPR | Agenda Digitale

La guida

E-commerce, ecco come trattare i dati nel rispetto del GDPR

Un vademecum con tutte le regole per gestire in modo appropriato gli aspetti privacy dell’e-commerce: un ambito da non trascurare che mette al riparo dal rischio di sanzioni per mancanza di compliance

01 Set 2020
Simona Custer

avvocato


La corsa alle promesse economiche dell’e-commerce rischia di distogliere molti dai corretti adempimenti di legge, in particolare quelli relativi al trattamento dati e la privacy.

Sì, negli ultimi mesi il fenomeno dell’e-commerce è esploso, facendo registrare un aumento del 300% rispetto ai precedenti periodi. Questo perché tale strumento è stato di fatto l’unico che ha consentito a molte realtà di continuare a fare business e di raggiungere i propri utenti.

Tuttavia per realizzare un e-commerce rispettoso delle normative vigenti è opportuno disciplinare non solo gli aspetti prettamente contrattuali, ma anche gli aspetti privacy, posto che attraverso l’e-commerce vengono raccolti e trattati tutta una serie di dati personali che necessitano certamente di una tutela. Approfondiamo qual è esattamente il quadro normativo di riferimento e quali sono gli adempimenti privacy da non trascurare.

Normativa di riferimento

Non solo il GDPR, ma anche il D. Lgs. n. 196/2003, così come modificato dal D. Lgs. n. 101/2018 (Codice Privacy) e i numerosi Provvedimenti emanati dal Garante per la protezione dei dati personali: questo è il quadro normativo a cui il titolare del trattamento dei dati deve guardare per realizzare un e-commerce rispettoso della normativa sul trattamento dei dati personali.

Quadro normativo che, però, in futuro è destinato a cambiare. È, infatti, ancora in fase di discussione al Parlamento Europeo la bozza del Regolamento e-Privacy, ove sono state previste specifiche linee guida in materia di tutela dei dati trattati nell’ambito della fruizione dei servizi di comunicazione elettronica, tra cui evidentemente rientra anche l’e-commerce. Oltre a ciò, tale Regolamento – che prenderà il posto dell’attuale Direttiva e-Privacy 2002/58/CE – andrà a rafforzare la protezione dei dati nel mercato digitale, introducendo importanti cambiamenti sotto l’aspetto dell’utilizzo dei cookie e del marketing diretto. Individuata la normativa di riferimento andiamo, quindi, a vedere quali sono i principali adempimenti che il titolare deve porre in essere nella realizzazione e nell’implementazione dell’e-commerce.

Principi in materia di tutela dei dati personali

Primo tra tutti, il titolare dovrà garantire che i dati vengano trattanti, sin dal momento della loro raccolta, nel rispetto dei principi elencati agli articoli 5 (quali, ad esempio, minimizzazione dei dati, limitazione della conservazione, accountability, ecc.) e 25 (privacy by design e by default) del GDPR. È, quindi, importante che tali principi siano ben tenuti in considerazione dal titolare del trattamento non solo nella fase di progettazione dell’e-commerce, ma anche per tutta la durata del trattamento. Fondamentale sarà l’attività preliminare di valutazione di impatto (DPIA) e risk assessment, che il titolare dovrà effettuare rispetto ai trattamenti che avrà intenzione di realizzare con l’e-commerce. Dovranno, quindi, essere valutati i rischi derivanti da ciascun trattamento con individuazione delle misure tecniche e organizzative adeguate a prevenire e/o ridurre al minimo il verificarsi dei predetti rischi.

Ma non solo. Nell’ambito della predetta attività, il titolare dovrà tenere in considerazione che solamente i dati strettamente necessari al raggiungimento delle finalità per cui saranno raccolti potranno essere lecitamente trattatati. È, quindi, importante che nella fase di progettazione dell’e-commerce vengano predisposti tanti box di raccolta dei dati, quanti quelli effettivamente necessari per le finalità previste. Altro aspetto da non trascurare sarà quello relativo alla trasparenza. L’utente, infatti, dovrà essere espressamente informato di quali dei suoi dati verranno trattati dal titolare, per che finalità e con che modalità. Come?

L’informativa

L’informativa sul trattamento dei dati è il documento che consente all’utente di conoscere i trattamenti posti in essere dal titolare. Tale documento, oltre a contenere tutti gli elementi previsti dall’articolo 13 del GDPR – con cui tutti ormai abbiamo una certa familiarità – dovrà altresì essere:

  • completo e specifico;
  • redatto con un linguaggio semplice e comprensibile da parte degli utenti “target” del sito;
  • facilmente accessibile prima del conferimento dei dati e durante la successiva navigazione del sito.
WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

L’informativa relativa ai trattamenti realizzati nell’ambito dell’e-commerce dovrà, quindi, essere apposta in calce ai box di raccolta dei dati. Nel footer del sito, invece, dovrà essere previsto il link alla Privacy Policy, ove dovranno essere descritti tutti i trattamenti di dati compiuti all’interno del sito internet e delle varie sezioni (quali ad esempio contattaci, lavora con noi, newsletter, ecc.).

Attenzione, quindi, a non confondere i predetti testi, che si consiglia di tenere separati anche ai fini di una maggiore chiarezza e trasparenza nei confronti dell’utente. Se, infatti, da un lato la predisposizione del solo testo della Privacy Policy fa certamente diminuire gli adempimenti in capo al titolare, dall’altro potrebbe comportare difficoltà di comprensione per l’utente, che si vedrebbe costretto a scorrere tutto il testo – spesso lungo e articolato – prima di individuare il trattamento di cui necessita le informazioni. Altro consiglio, potrebbe essere quello di prevedere una specifica sezione “Privacy” all’interno del sito in cui raccogliere tutte le informative relative ai vari trattamenti effettuati all’interno del sito (e-commerce, iscrizione newsletter, registrazione all’account, contattaci, ecc.) e la Privacy Policy che potrà semplicemente richiamare i contenuti delle singole e specifiche informative predisposte per ciascuna sezione.

I rapporti con responsabili e autorizzati al trattamento

Oltre alla redazione dell’informativa, il titolare del trattamento dovrà, poi, preoccuparsi di disciplinare i rapporti privacy con tutti coloro che – esternamente o internamente alla sua organizzazione – avranno accesso e tratteranno i dati dell’utente raccolti nell’ambito dell’e-commerce. Il titolare dovrà, quindi, predisporre:

  • con gli esterni (quali web hosting, web agency, società che progettano e implementano CRM, ecc.), contratti per la nomina a responsabile del trattamento ai sensi dell’articolo 28 del GDPR. Attenzione, quindi, a prevedere contratti in cui non solo vengano impartiti al responsabile gli obblighi sanciti dal GDPR, ma vengano altresì disciplinati quali sono i dati oggetto del trattamento, a chi si riferiscono, la durata del trattamento e le misure tecniche e organizzative adottate a garantire la tutela dei dati;
  • con gli interni (quali dipendenti e collaboratori addetti alla gestione del marketing, del sito internet, ecc.), lettere di autorizzazione al trattamento dei dati ai sensi dell’articolo 29 del GDPR. Anche in questo caso, sarà importante che il titolare dia precise istruzioni in merito a quali dati possono essere trattati e in che modo.

Cookie: tra banner e policy

Ultimo aspetto da non trascurare sarà la gestione dei cookie, stringhe di testo di piccole dimensioni che potrebbero consentire al titolare del trattamento di identificare, riconoscere e classificare l’utente, salvare le sue informazioni e creare sistemi di riconoscimento. Evidente, quindi, come attraverso i cookie il titolare potrebbe trattare dati personali dell’utente che, in quanto tali, necessitano di un’apposita tutela.

Il titolare dovrà:

  • fornire all’utente informazioni chiare e precise circa i cookie presenti sul sito (tecnici, profilazione e di terze parti), le loro caratteristiche e le loro finalità. Come? Attraverso la predisposizione di un’informativa breve (banner) e di una estesa (Cookie Policy).

Il banner, oltre ad avere dimensioni tali da costruire una percettibile discontinuità nella fruizione dei contenuti del sito e a fornire una sommaria descrizione dei cookie e delle loro finalità, dovrà consentire all’utente, sin dal primo accesso, di: i) selezionare la tipologia di cookie che intende installare (solo la casella relativa ai cookie tecnici potrà essere preselezionata, mentre per le altre sarà necessaria l’azione positiva dell’utente), ii) installare o rifiutare tutti i cookie contemporaneamente e iii) visionare la cookie policy, che dovrà contenete tutti gli elementi previsti dall’articolo 13 del GDPR.

  • predisporre sistemi di registrazione del consenso espresso dall’utente per l’installazione di quei cookie (di profilazione e di terze parti), la cui condizione di liceità è rinvenibile proprio nel consenso, e/o del rifiuto. Ciò, soprattutto al fine di consentire al titolare del trattamento il rispetto del principio di accountability.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2