GDPR ed E-commerce

Il fenomeno e-commerce è andato sviluppandosi fortemente durante il corso degli anni e, a causa degli ultimi avvenimenti, è tornato ulteriormente a espandersi. Sviluppare, quindi, siti e app GDPR compliant risulta di fondamentale importanza per lo sviluppo delle vendite: in tal senso, bisogna analizzare sia la documentazione che le implementazioni tecniche.

Partendo dal primo argomento, i documenti fondamentali, oltre ai termini e condizioni che si possono approfondire qui, risultano essere l’informativa al trattamento dati personali (anche detta informativa privacy) e informativa cookies.

L’informativa privacy è il documento fondamentale per poter informare correttamente gli utenti del vostro sito/app su come vengono trattati i dati e, soprattutto, le finalità e le tempistiche di conservazione dei loro dati personali.

In particolare, le finalità principali di trattamento per un e-commerce possono essere le seguenti:

  • Acquisto dei prodotti (insieme all’accettazione dei termini e condizioni);
  • Invio di newsletter;
  • Invio di comunicazioni commerciali con contenuto commerciale che le differenzia dalle newsletter (ad es. scontistica o prezzi di nuovi servizi);
  • Profilazione, in questo caso bisognerà previamente valutare se sia obbligatorio o meno effettuare una valutazione d’impatto ex art. 35 GDPR a seguito di una separata valutazione dei rischi;
  • Comunicazione dei dati a partner commerciali
  • Invio di newsletter da parte di partner commerciali, diverse dalle precedenti in quanto in questo caso i partner commerciali potranno contattare direttamente gli utenti

Per ogni finalità, poi, bisognerà determinare il limite della conservazione dei dati personali che può essere determinato da legge (10 anni per conservazione documenti fiscali), da provvedimenti del Garante Privacy (2 anni per la newsletter) o dal titolare del trattamento: in quest’ultimo caso, ad esempio, in caso di creazione di un account il titolare potrà trattare i dati per finalità contrattuale sino a che l’account non venga eliminato. In generale, inoltre, ogni utente può chiedere la limitazione del trattamento chiedendo che i dati non vengano trattati per una o più finalità.

Infine, per poter trattare i dati personali degli utenti, per alcune le finalità identificate andrà ottenuto il consenso prima di effettuare il trattamento tramite appositi “flag” da far flaggare all’utente: ciò potrà essere fatto, a parte per la finalità di acquisto, in qualsiasi momento.

Ulteriore fondamentale documento, in caso di sito web, è l’informativa cookie con il quale informati gli utenti sui cookies implementati sul sito stesso. In particolare, solitamente i cookie possono essere di prima o di terza parte (cookie installati da altri provider rispetto al sito) e, a titolo semplificativo, possono dividersi in:

  • Cookie necessari, fondamentali per il funzionamento del sito
  • Cookie tecnici, necessari per il monitoraggio e il debug
  • Cookie analitici, utili per vedere le statistiche relative al sito
  • Cookie marketing, altrimenti detti pixel per monitorare il comportamento degli utenti e fare re-marketing

Questi sono solo alcuni esempi, ma in ogni caso, a parte per i cookie necessari, bisogna ottenere il previo consenso dagli interessati tramite il classico “banner” che deve obbligatoriamente dare la possibilità agli utenti di selezionare le preferenze dei cookies agli utenti (ad es. tramite appositi flag).

Infine, in merito alla parte tecnica, già anticipata con i flag, è necessario che il consenso degli utenti venga registrato in apposito database di modo da monitorare i tempi di conservazione e rispettare gli adempimenti di cancellazione come prescritto dal GDPR o, eventualmente, richiesta di ulteriore consenso.