Molte aziende negli ultimi mesi, per sopravvivere al lockdown o per recuperare parte delle perdite ad esso dovute, hanno scelto di presentare un negozio online o rafforzare la propria presenza nel settore dell’e-commerce. Ci sono, tuttavia, alcuni aspetti fondamentali da tenere presente per la corretta impostazione di una tale attività dal punto di vista della privacy.
Il rispetto della normativa privacy richiede, infatti, di prestare particolare attenzione com’è ovvio agli aspetti giuridici, ma non si può prescindere da una seria analisi di quelli tecnici, poiché gli uni influenzano necessariamente gli altri.
Non può essere sufficiente, infatti, la pubblicazione di un’informativa, magari “standard” o, peggio “copiata” da un concorrente: non è detto, infatti, che due aziende, pur offrendo lo stesso bene o servizio, trattino allo stesso modo i dati personali.
L’analisi dei trattamenti effettuati per l’adeguamento al GDPR
Per prima cosa è, dunque, fondamentale svolgere un’approfondita analisi dei trattamenti in concreto effettuati e chi sta iniziando a progettare il proprio sito e-commerce sarà da questo punto di vista avvantaggiato: l’approccio più corretto e senz’altro più efficace prevede, infatti, un’impostazione degli aspetti privacy “by design” e, dunque, con sviluppo tecnico e adeguamento normativo portati avanti contestualmente.
Nel caso di negozi già online, invece, il lavoro potrà essere più complesso, dovendo andare a ricercare ed analizzare la struttura tecnica già in uso.
Adeguare il sito e-commerce al GDPR
Vediamo di seguito quali sono gli aspetti che devono senz’altro essere valutati e affrontati per impostare correttamente un sito di e-commerce da un punto di vista privacy.
- Informativa privacy
Il sito dovrà per prima cosa fornire agli utenti l’informativa sul trattamento dei dati personali, contenente le informazioni previste dall’art. 13 del GDPR. L’informativa è obbligatoria e la sua assenza o scarsa trasparenza può determinare sanzioni anche rilevanti.
Bisognerà, perciò, indicare in modo chiaro, trasparente e facilmente comprensibile, innanzitutto chi sia il titolare del trattamento e in che modo lo si possa contattare, quali dati vengano trattati (ad esempio, dati di navigazione, dati forniti volontariamente dell’utente, dati necessari all’acquisto), con quale finalità, quale sia il tempo di conservazione di tali dati, dove vengano conservati e se siano comunicati ad altri soggetti.
L’informativa deve essere resa anche con riguardo ai cookie, con la previsione ulteriore di un banner che permetta all’utente appena approdato sul sito di comprendere immediatamente quali cookie siano utilizzati e con quale finalità. In questo modo, l’interessato sarà in grado di prestare il proprio consenso, spuntando attivamente le caselle di quelli che intenda accettare.
- Newsletter e comunicazioni commerciali
È fondamentale ricordare che per talune attività di trattamento, finalizzate ad esempio all’invio di una newsletter o di comunicazioni commerciali, è necessario il consenso dell’interessato.
Il consenso deve essere attivo, specifico, inequivocabile, libero e informato. Deve, inoltre, essere spiegato all’utente che il consenso può essere revocato in qualsiasi momento e, ovviamente, devono adottarsi misure adeguate a garantire che la eventuale revoca del consenso sia effettiva.
In assenza del consenso, potranno essere inviate comunicazioni commerciali solo a quegli utenti che già abbiano acquistato presso il negozio online, al fine di informarli ed aggiornarli su prodotti o servizi analoghi/simili a quelli già acquistati (si parla in proposito di soft spam), sempre, ovviamente, che l’interessato sia stato informato e non si sia opposto.
In caso di soft spam, stando alle linee guida delle Autorità di controllo, è inoltre opportuno limitare il tempo di conservazione del dato ad un massimo di 24 mesi in assenza di ulteriori interazioni da parte dell’utente con l’e-commerce.
- Data Protection Officer (DPO) o Responsabile della Protezione dei Dati
Vi sono, inoltre, taluni casi in cui il titolare di un sito di e-commerce è tenuto a designare un Responsabile della Protezione dei dati o Data Protection Officer (DPO), figura con funzioni di supporto e controllo, consultive, formative e informative circa l’applicazione del GDPR.
Ai sensi dell’art. 37 del Regolamento, sono tenuti alla designazione di un DPO, oltre alle autorità pubbliche, i soggetti le cui principali attività consistano in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati.
Ricorrendo tali presupposti, dunque, la designazione del DPO è obbligatoria se attraverso il sito di e-commerce gli interessati sono monitorati regolarmente e sistematicamente su larga scala oppure se sono trattati dati relativi a condanne penali e reati o dati cosiddetti particolari, relativi ad esempio alla salute dell’interessato, alle sue convinzioni politiche o religiose o, ancora, al suo orientamento sessuale.
Nel valutare, dunque, l’obbligatorietà, sarà necessario fare riferimento non solo alla quantità di dati trattati, ma anche al tipo di bene che attraverso il sito viene venduto, tenendo sempre presente che, in ogni caso, anche laddove la designazione non sia obbligatoria, essa è certamente utile, se non raccomandata.
- Registro del trattamento
Il Registro del trattamento è un documento contenente le principali informazioni sulle operazioni di trattamento svolte dal titolare.
Sono tenuti a redigerlo imprese o organizzazioni con almeno 250 dipendenti oppure, indipendentemente dal numero di dipendenti, soggetti che effettuano trattamenti dai quali possa derivare un rischio per i diritti e le libertà dell’interessato o trattamenti non occasionali o, ancora, trattamenti di dati particolari e di dati personali relativi a condanne penali e reati.
È ovvio che un’azienda titolare di un e-commerce, anche nel caso in cui impieghi meno di 250 dipendenti, effettui trattamenti non occasionali e sarà, perciò, tenuta alla redazione e all’aggiornamento del registro, almeno nella versione semplificata messa a disposizione dal Garante.
- DPIA (Data Protection Impact Assessment)
Il GDPR stabilisce all’art. 35 che il titolare debba effettuare una DPIA quando uno specifico trattamento, allorché preveda in particolare l’uso di nuove tecnologie, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Dato, dunque, per scontato che un e-commerce faccia uso – per definizione – di nuove tecnologie, appare necessario valutare attentamente e caso per caso la natura, l’oggetto, il contesto e le finalità del trattamento, al fine di decidere se lo svolgimento di una DPIA risulti obbligatorio, ancorché essa sia ovviamente sempre consigliabile.
Come si evince facilmente da quanto sopra sintetizzato, dunque, l’adeguamento di un sito – soprattutto e-commerce – alla normativa privacy deve essere considerato non come un’attività una tantum, ma come un processo da tenere costantemente aggiornato e monitorato.