La fretta di fare un sito eCommerce in questa fase, per contrastare la crisi dei ricavi tradizionali, può essere cattiva consigliera. Si rischia infatti di non considerare la questione dell’adeguamento privacy al GDPR.
E questo vale sia per quelle realtà che non hanno ancora completato la propria compliance, sia per i nuovi e-commerce che devono presentarsi sul mercato perfettamente in regola per quanto concerne il trattamento dei dati personali.
Per quanto concerne i siti di eCommerce, l’adeguamento risulta un processo piuttosto particolare poiché nella complessità di un procedimento che deve conciliare aspetti tecnici e aspetti legali, devono essere in primo luogo analizzati i trattamenti che vengono realizzati, molto spesso complessi e articolati, anche con riferimento alle particolari tipologie di prodotti offerti all’utente.
In quest’ottica è quindi necessario procedere con ordine e valutare quali siano gli aspetti da tenere in considerazione per adeguare un sito e-commerce al GDPR.
In primo luogo, è necessario fare un’importante premessa: il punto di partenza per un corretto adeguamento è dato da una attenta e specifica analisi del sito dal lato tecnico.
L’analisi tecnica come presupposto per l’adeguamento al GDPR
Il punto fondamentale dell’adeguamento è dato dalla analisi delle componenti tecniche del sito per verificare la tipologia di dati trattati le modalità e le finalità del trattamento.
Solo attraverso questa operazione sarà possibile ottenere una mappatura generale e completa dei trattamenti realizzati, presupposto indispensabile per realizzare la compliance totale del sito.
La cosa migliore sarebbe riuscire a lavorare, in fase di realizzazione dell’e-commerce, contemporaneamente sugli aspetti tecnici e su quelli legali, mentre su un sito già online sarà indispensabile la collaborazione degli sviluppatori con chi si occuperà della compliance, proprio perché questa, come detto, passa necessariamente anche dall’analisi e dalla valutazione degli aspetti tecnici.
I cookie: le tipologie utilizzate dal sito e il banner per la richiesta di consenso
Se da un lato il GDPR prevede la liceità del trattamento di dati personali solo in presenza di una valida base giuridica, dall’altro per tutte le attività svolte online la base giuridica deve essere individuata, a norma dell’art.6, nel consenso dell’utente.
Questo significa che al primo accesso all’e-commerce dovrà essere messo nelle condizioni di scegliere liberamente se e quali dati fornire durante la propria navigazione sul sito e, a tal fine, al primo accesso gli deve essere comunicato quali cookie utilizza il sito web, per quali finalità e deve essere messo nelle condizioni di rilasciare il proprio consenso per ogni tipologia.
Questo si traduce, nella pratica, nella visualizzazione di un banner che, attraverso la predisposizione di caselle per ciascuna tipologia di cookie, consente all’utente di poter rilasciare il proprio consenso per alcune categorie e, per esempio, negarlo per altre.
In sostanza, quindi:
- l’utente non deve essere obbligato ad accettare in blocco tutti i cookie. A tal riguardo è intervenuto recentemente l’EDPB che ha sottolineato due importanti aspetti che, tuttavia, risultavano già chiari dal testo del GDPR. In primo luogo è stato ribadito che non possono essere considerati leciti i cookie wall, ossia quei pop-up che impediscono la navigazione sul sito se non si accettano in blocco tutti i cookie, dall’altro ha escluso che il così detto “scroll down” possa essere equiparato ad un consenso per i cookie utilizzati dal sito.
- non devono essere presenti caselle prespuntate: il principio del consenso libero e volontario, manifestato attraverso un’azione inequivocabile si traduce, nell’ambito dei siti web, nella necessità di offrire all’utente caselle da spuntare (in maniera autonoma e volontaria) per il rilascio del consenso al trattamento dei propri dati.
- L’utente deve essere informato di tutte le tipologie di cookie utilizzati: anche in questo caso il consenso deve essere specifico per ciascuna tipologia di cookie perché l’utente deve poter decidere in maniera libera se e per quali finalità possano essere trattati i propri dati.
Come costruire un pop-up nel rispetto del GDPR
Molti siti utilizzano dei pop-up per offrire servizi specifici, quindi durante la navigazione sul sito appaiono delle finestre che possono contenere solo messaggi pubblicitari, ma possono anche offrire l’iscrizione a servizi specifici o risorse gratuite da scaricare.
In questi casi il pop-up può contenere un modulo che deve essere compilato dall’utente con i propri dati personali e che, proprio per questo motivo, deve essere strutturato secondo le disposizioni del GDPR.
Le valutazioni variano, ovviamente, in base al servizio offerto, ma si può dire che in linea generale si dovranno analizzare tre diversi aspetti, ossia quanti e quali dati richiedere, nel rispetto del principio di minimizzazione, per quali finalità verrà realizzato il trattamento e quali informazioni fornire all’utente.
L’analisi preventiva del trattamento che verrà realizzato porterà quindi a stabilire in concreto quali campi inserire nel pop-up e per quali finalità richiedere il consenso, prevedendo apposite caselle in corrispondenza del relativo link di rinvio.
In molti casi ci si chiede se all’interno del pop-up possano essere inseriti anche il consenso per le condizioni di utilizzo del sito o l’accettazione delle condizioni di vendita.
Non esiste una risposta valida in assoluto, dipende ovviamente dalla tipologia di pop-up che viene proposto e il servizio che viene offerto all’utente.
Newsletter, consenso e le esigenze di marketing
Discorso analogo può essere fatto con riferimento alla newsletter, in quanto anche la richiesta dei dati per l’invio periodico di informazioni con finalità di marketing deve rispettare i principi del GDPR.
Al fine della predisposizione del relativo modulo è necessario fare due diverse precisazioni.
Il rispetto del principio di minimizzazione prevede che per l’iscrizione al servizio di newsletter all’utente venga richiesto solamente l’indirizzo email e, al più, il nome laddove si voglia personalizzare il messaggio, ma niente più di questo.
In questo caso, infatti, l’invio di comunicazioni attraverso newsletter avviene con l’inoltro di una mail e pertanto ogni altro dato richiesto sarebbe eccedente rispetto a quelli necessari per il perseguimento della finalità specifica della newsletter.
Tutti i moduli predisposti con l’inserimento obbligatorio di altri dati devono ritenersi non in linea con i principi del GDPR.
Per quanto concerne invece le informazioni da fornire all’utente con riferimento al servizio di newsletter, è indispensabile predisporre un’apposita informativa ai sensi dell’art. 13 del GDPR.
Deve trattarsi di una informativa realizzata ad hoc, specifica per la newsletter poiché ciascun trattamento dovrà prevedere una propria informativa che, a sua volta, potrà rinviare a quella del sito, ma che non potrà essere sostituita da quest’ultima.
Ogni trattamento, infatti, ha caratteristiche diverse e questa peculiarità impone che all’utente vengano rese informazioni dettagliate con riferimento a quel singolo trattamento che viene realizzato.
Informativa
L’informativa, come anticipato, ai sensi dell’art. 13 è del GDPR è l’insieme delle informazioni che il Regolamento Europeo prevede debbano essere fornite all’interessato con riferimento al trattamento al quale verranno sottoposti i suoi dati.
In sostanza la norma prevede una serie di indicazioni che spiegano all’utente il modo e il motivo per il quale verranno trattati i dati.
Nel sito dovrà quindi essere inserita un’apposita informativa generale che riguarderà i trattamenti realizzati dal sito, ma dovranno essere pubblicate anche le informative specifiche per singoli servizi.
Come detto, per esempio, la newsletter dovrà avere un’informativa redatta ad hoc, e benchè possa comunque fare riferimento a quella generale del sito, non potrà essere sostituita da questa.
Ci si chiede, quindi, quante informative possano e debbano essere predisposte per un e-commerce.
Il numero dipende direttamente dai trattamenti che il sito effettua e pertanto solo attraverso l’analisi di questi si potrà individuare correttamente quante informative siano necessarie.
Ancora una volta si torna alla necessità di effettuare l’analisi del sito e la mappatura dei dati trattati, punti di partenza indispensabili per rendere compliant il sito stesso.
La compliance per WhatsApp
Un discorso a parte, invece, deve essere fatto con riferimento all’utilizzo di WhatsApp per l’invio di comunicazioni commerciali con finalità di marketing.
Anche in questo caso la possibilità di utilizzare uno strumento specifico è legata al previo consenso dell’interessato.
Nel sito, quindi, potrà essere richiesto il numero di telefono dell’utente al fine di inviare a quell’utenza messaggi promozionali e, per questa attività, dovrà essere rilasciata una informativa ad hoc.
Il sito potrà quindi prevedere un’apposita sezione per il servizio WhatsApp o predisporre un pop-up dedicato; non importa la modalità tecnica con la quale vengono richiesti i dati e fornita l’informativa, ciò che deve essere ricordato è che ai fini probatori il consenso espresso dall’utente deve essere conservato e, in ogni caso, ha validità temporale limitata, posto che a seconda della finalità perseguita, si varia dai 12 ai 24 mesi.
Come si è visto il procedimento di adeguamento di un e-commerce al GDPR è un processo complesso che coinvolge anche la parte tecnica del sito e che deve essere costantemente monitorato posto che, nel tempo, i trattamenti di dati personali realizzati possono cambiare in maniera radicale.
