Siti e-commerce: regole e adempimenti per essere conformi al GDPR

Siti e-commerce: regole e adempimenti per essere conformi al GDPR

16 Marzo 2021

L’e-commerce sta diventando sempre di più un punto di riferimento per i consumatori: si compra online sempre più spesso e si compra qualsiasi genere di prodotto o servizio. Soprattutto nell’ultimo anno, sempre più esercenti hanno deciso di aprire uno store online, anche a causa dei vari lockdown che hanno fermato le attività, e sempre più consumatori hanno deciso di comprare online, sia per necessità che per comodità.

Secondo i dati rilasciati dalla Mobile Bank N26, nel secondo lockdown del 2020 l’e-commerce è cresciuto del 32% e conta un terzo degli acquisti degli italiani. Inoltre, è cresciuto del 21% il numero totale delle transazioni effettuate online.

 

Quali dati vengono raccolti tramite un sito e-commerce? E per quali finalità?

È innegabile che un sito internet raccolga i dati dell’utente che lo visita.  Nello specifico un sito internet può trattare i seguenti dati:

  • Dati di navigazione, ad esempio raccolti attraverso i cookie tecnici presenti sul sito internet, che ne permettono il corretto funzionamento
  • Dati dell’utente raccolti attraverso la compilazione volontaria di form di contatto
  • Dati dell’utente per poter procedere all’acquisto

Con particolare riferimento all’e-commerce i dati trattati sono quelli relativi all’utente, necessari all’erogazione del servizio richiesto.

Solitamente vengono chiesti dati di contatto, quali ad esempio nome e cognome dell’acquirente, indirizzo mail per poter mandare la conferma d’ordine, nonché l’indirizzo di fatturazione e spedizione per poter procedere con l’erogazione del servizio.

 

Quali adempimenti il titolare dovrà rispettare?

Innanzitutto, il titolare dovrà garantire che i dati vengano trattati, sin dal momento della loro raccolta, nel pieno rispetto dei principi del Regolamento UE 679/2016, in particolare nel rispetto dei principi elencati agli artt. 5 e 25. Dovranno, infatti, essere rispettati il principio di minimizzazione dei dati, di limitazione della conservazione, di accountability, nonché i principi di privacy by design e privacy by default.

È indispensabile che questi principi siano tenuti in considerazione, fin dalla progettazione del sito e per tutta la durata del trattamento stesso.

L’attività preliminare relativa alla valutazione di impatto (DPIA) e relativa al risk assessment sarà fondamentale per valutare correttamente i rischi derivanti da ciascun trattamento, nonché le misure tecniche e organizzative adeguate volte a prevenire e/o ridurre il verificarsi dei rischi analizzati.

Sarà, inoltre, necessario che vengano messe in atto misure tecniche e organizzative adeguate, così come richiesto dall’art.32 del GDPR, atte a garantire un livello di sicurezza adeguato al rischio.

Un altro degli adempimenti che il titolare dovrà rispettare riguarda l’informativa ex art.13 del GDPR; l’utente dovrà ricevere tutte le informazioni necessarie relative al trattamento dei dati.

L’informativa dovrà essere completa e specifica, redatta con un linguaggio semplice e comprensibile da parte di tutti gli utenti e agilmente accessibile prima del conferimento dei dati nelle fasi successive della navigazione del sito.

Affinché vi sia una maggiore chiarezza e trasparenza nei confronti dell’utente è necessario che vengano predisposte informative ad hoc, contestualizzate per i trattamenti posti in essere, con specifici consensi qualora dovesse sussisterne il presupposto.

Il titolare del trattamento dovrà, inoltre, disciplinare i rapporti con coloro che, internamente o esternamente all’Organizzazione, tratteranno i dati dell’utente che interagisce con l’e-commerce. Sarà, quindi, necessario che il titolare predisponga:

  • Lettere di nomina per gli incaricati al trattamento dei dati, volte a dare precise e dettagliate istruzioni a coloro che internamente all’organizzazione compiono operazioni di trattamento;
  • Contratti di nomina a responsabile del trattamento art. 28 del GDPR con tutti coloro che esternamente all’organizzazione tratteranno i dati, tra i quali web hosting, web agency e società che progettano ed implementano il CRM

Ultimo, ma non per importanza, è l’aspetto relativo alla gestione dei cookie presenti sul sito internet. Anche attraverso i cookie è possibile trattare dati relativi all’utente che visita l’e-commerce. Il titolare, in questo caso, dovrà fornire all’utente informazioni chiare, precise e complete riguardanti i cookie presenti sul sito. Come? Attraverso un’informativa breve (c.d. Cookie banner) e un’informativa estesa (Cookie Policy).

Sarà, inoltre, necessario predisporre adeguati sistemi per la registrazione del consenso espresso dall’utente per l’installazione di quei cookie (di profilazione e di terze parti) la cui condizione di liceità è rinvenibile, appunto, nel consenso.

 

Conclusioni

L’e-commerce è un ottimo strumento che funge da punto di contatto tra domanda e offerta, un mezzo che nell’ultimo anno ha aiutato molto esercenti e consumatori; ai primi ha consentito di portare avanti l’operatività aziendale e vendere i propri prodotti online, ai secondi ha permesso di acquistare beni di prima necessità e non solo comodamente da casa.

Prima di aprire uno store online, è necessario però considerare diversi e molteplici aspetti, volti a tutelare non solo il business aziendale, ma anche il consumatore e soprattutto i suoi dati!

Alessandra Rimoldi
About

Laureata in Giurisprudenza, Alessandra è una risorsa con un background culturale multidisciplinare. Al termine del corso di studi ha conseguito un percorso formativo di specializzazione nell’ambito della protezione dei dati personali, con particolare riferimento al GDPR e alla figura del D.P.O. Dotata di forte senso di responsabilità, il suo approccio consulenziale è all’avanguardia e reattivo.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!

Contattaci