Dall’entrata in vigore del Regolamento (UE) 2016/679 anche la gestione dei dati personali trattati nei siti web è cambiata.
Quali aspetti privacy interessano maggiormente un e-commerce?
L’art.4 del Regolamento UE parte descrivendo il concetto di dato personale: “qualsiasi informazione riguardante una persona fisica identificata o identificabile”
- Nome
- Cognome
- Indirizzo
- Carrello abbandonato (o acquisti non finalizzati)
- Storico degli acquisti
Ci troviamo a prendere in considerazione questi dati ogni qualvolta l’utente compila un form o viene monitorato attraverso strumenti automatizzati e quindi potenzialmente oggetto di profilazione.
Secondo l’art 13 del GDPR il titolare del trattamento ha l’obbligo di informare l’interessato sulla tipologia del trattamento e sulle finalità in modo chiaro e semplice.
Risulta essenziale una privacy policy da fornire all’utente nel momento di raccolta dei dati personali e prima del trattamento.
Copiare una privacy policy di un altro sito “simile” non ti servirà!
L’informativa sulla privacy è necessaria per gli e-commerce che trattano dati degli utenti, quest’ultima deve contenere delle informazioni obbligatorie come:
- identità e dati di contatto del titolare
- contatti del responsabile dei dati personali (DPO)
- finalità del trattamento
- base giuridica del trattamento (quest’ultima può essere effettuata solo in presenza di una condizione di liceità)
- Eventuale trasferimento dei dati all’estero
- Periodo di conservazione dei dati
- Categoria dei dati raccolti
- Diritti degli interessati, ovvero:
- accesso
- rettifica
- cancellazione
- limitazione
- portabilità dei dati
- revoca del consenso e di proporre reclamo al Garante.
Oltre alle informazioni sopra citate, è necessario che la privacy policy contenga la sezione dedicata ai cookie. Questi ultimi sono regolati da una specifica normativa che si basa sull’individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso degli stessi, infatti il provvedimento stabilisce che ogni sito deve contenere un banner ben visibile che informi l’utente sui cookie presenti (ma non deve essere un cookiewall), siano essi di profilazione o di terze parti e che esista un link diretto che consenta di accedere all’informativa estesa sui cookie, dando l’opportunità all’utente di negare o prestare il consenso alla eventuale profilazione .
Pertanto, alla luce di quanto sopra trattato è importante, per poter essere in regola con il GDPR, tener presente i seguenti aspetti:
- Sicurezza del sito, trasmettere quindi con protocollo https (dove S sta per secure)
- Informativa cookie e banner, nella fase di valutazione di questo aspetto è importante anche l’intervento di un web master per comunicare quali cookie sono presenti
- Privacy policy come ampiamente specificato sopra
- Scelta dei fornitori, questi ultimi devono essere compliant al GDPR, quindi valutare dove si trova il server su cui poggia il sito, quale tipo di e-mail marketing automation si utilizza, quale piattaforma per la gestione dei pagamenti viene utilizzata, considerando per quest’ultimo punto la possibilità di nominare anche quelli che vengono definiti responsabili esterni del trattamento, oppure valutarli come titolari autonomi.
Risulta quindi da tenere presente, un requisito essenziale per evitare di incorrere in sanzioni quando si tratta di protezione dei dati personali, ovvero quello dell’accountabilityResponsabilità nell' adozione di approcci e politiche azien... Leggi del titolare in relazione alle stringenti novità introdotte con le Linee guida dell’Autorità Garante n 231 del 10 giugno 2021, che sottolineano ancora di più il principio doveroso di data protection by design e by default.
