Icona di un lucchetto su foto di un PC con persona in mano una carta di credito, a simbolo di gestione GDPR PER E-COMMERCE

GDPR PER E-COMMERCE

In questo articolo analizzeremo nello specifico la compliance di un e-commerce in ottica regolamento europeo 679/2016 (GDPR). L’obbiettivo sarà quello di aiutare il lettore a comprendere quali siano gli aspetti essenziali per essere GDPR compliant e garantire la sicurezza dei dati personali degli acquirenti e dei visitatori del proprio sito e-commerce.

 

E nello specifico:

  1. Introduzione al GDPR cosa è e finalità
  2. E-commerce, quali dati tratta e per quali finalità
  3. E-commerce e GDPR, quali elementi sono necessari

1. INTRODUZIONE AL GDPR COSA È E FINALITÀ

Il GDPR (General Data Protection Regulation) è il regolamento UE recentemente introdotto e in attuazione dal 25 maggio 2018, è composto da 99 articoli spesso accompagnati da puntuali indicazioni utili alla piena comprensione del loro significato, i cosiddetti “considerando”.

Le norme delineate dal GDPR devono essere attuate obbligatoriamente da tutti gli Stati membri dell’Unione Europea e allo stesso modo, ad accezione di alcuni casi specifici per i quali è espressamente prevista la possibilità di deroga.

Il regolamento UE 2016/679 disciplina dunque le norme relative alla data protection per gli Stati dell’Unione Europea, nonché le norme relative alla libera circolazione degli stessi, al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e la protezione dei dati personali.

2. E-COMMERCE, QUALI DATI TRATTA E PER QUALI FINALITÀ

I siti presenti sul web trattano i dati di navigazione degli utenti che vi accedono e utilizzano varie tipologie di cookie, dai tecnici e cookie di prime e di terze parti, che sono necessari per il corretto funzionamento del sito.

Nello specifico invece, per quanto riguarda un sito di e-commerce vengono solitamente trattati i dati richiesti all’utente per poter effettuare l’acquisto, quali i dati anagrafici, l’indirizzo e-mail, l’indirizzo di fatturazione e spedizione, nonché i dati che l’utente immette volontariamente per compilare eventuali form di contatto.

La finalità per cui tali dati sono raccolti o conferiti è legata alla navigazione sul sito e alla procedura di acquisto.

Il trattamento per questa finalità trova legittimazione nella necessità di dare esecuzione ad un contratto o alle misure precontrattuali richieste dall’interessato.

Tali dati, a specifiche condizioni imposte dal GDPR, potranno essere utilizzati anche per ulteriori finalità, in primis per attività di marketing e campagne di remarketing tramite l’invio di mail agli utenti e/o l’utilizzo di cookies di terze parti (che come è necessario sottolineare, non può prescindere dal consenso dell’utente)

3. E-COMMERCE E GDPR, QUALI ELEMENTI SONO NECESSARI

Per affrontare questa tematica è necessario centrare il focus su tre aspetti principali: informativa privacy, registro del trattamento dati e la valutazione dei rischi (DPIA).

Il GDPR prevede che, in determinati casi e per determinate finalità, non si possa prescindere dalla valutazione di questi elementi.

Vediamo come:

  • a. Informativa privacy: per un e-commerce è necessario che nella home page sia presente un banner, mediante il quale, oltre a fornire una sintetica informativa, si possa invitare l’utente a visionare l’informativa privacy e si chiedere a quest’ultimo il consenso all’utilizzo di cookie diversi da quelli tecnici, necessari per la funzionalità del sito. In particolare, il banner non dovrà avere flag già pre spuntati, dovendo necessariamente essere l’utente che accede al sito a decidere se e quali cookie attivare, prestando il consenso.
  • b. Registro del trattamento dati: Il GDPR prevede, al suo articolo 30, che sono obbligati a tenere il registro del trattamento dati, le imprese o organizzazioni con almeno 250 dipendenti, oppure, indipendentemente dal numero di dipendenti, chi effettua trattamenti che possano presentare un rischio per i diritti e le libertà dell’interessato, chi effettua trattamenti non occasionali e chi effettua trattamenti di dati particolari e di dati personali relativi a condanne penali e reati. Non potendo identificare i trattamenti di un e-commerce come occasionali sarà necessario predisporre un registro dei trattamenti, almeno nella versione semplificata predisposta dall’Autorità garante per la protezione dei dati personali. Inoltre, come per il DPO, l’obbligo del registro non potrà prescindere dall’analisi della tipologia di dati trattati, che sono diretta conseguenza della tipologia di beni venduti online.
  • c. Valutazione d’impatto (DPIA): L’articolo 35 del GDPR prevede che il titolare del trattamento debba procedere alla DPIA (Data protection impact assessment) quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Essendo l’attività di e-commerce svolta esclusivamente tramite l’uso di nuove tecnologie e qualora almeno per finalità di marketing, si effettui profilazione degli utenti tramite sistemi automatizzati, è opportuno che il titolare proceda alla valutazione dell’impatto dei trattamenti previsti in ottica di protezione dei dati personali.