Siti e-commerce: regole e adempimenti per essere conformi al GDPR

L’e-commerce sta diventando sempre di più un punto di riferimento per i consumatori: si compra online sempre più spesso e si compra qualsiasi genere di prodotto o servizio. Soprattutto nell’ultimo anno, sempre più esercenti hanno deciso di aprire uno store online, anche a causa dei vari lockdown che hanno fermato le attività, e sempre più consumatori hanno deciso di comprare online, sia per necessità che per comodità.

Secondo i dati rilasciati dalla Mobile Bank N26, nel secondo lockdown del 2020 l’e-commerce è cresciuto del 32% e conta un terzo degli acquisti degli italiani. Inoltre, è cresciuto del 21% il numero totale delle transazioni effettuate online.

 

Quali dati vengono raccolti tramite un sito e-commerce? E per quali finalità?

È innegabile che un sito internet raccolga i dati dell’utente che lo visita.  Nello specifico un sito internet può trattare i seguenti dati:

  • Dati di navigazione, ad esempio raccolti attraverso i cookie tecnici presenti sul sito internet, che ne permettono il corretto funzionamento
  • Dati dell’utente raccolti attraverso la compilazione volontaria di form di contatto
  • Dati dell’utente per poter procedere all’acquisto

Con particolare riferimento all’e-commerce i dati trattati sono quelli relativi all’utente, necessari all’erogazione del servizio richiesto.

Solitamente vengono chiesti dati di contatto, quali ad esempio nome e cognome dell’acquirente, indirizzo mail per poter mandare la conferma d’ordine, nonché l’indirizzo di fatturazione e spedizione per poter procedere con l’erogazione del servizio.

 

Quali adempimenti il titolare dovrà rispettare?

Innanzitutto, il titolare dovrà garantire che i dati vengano trattati, sin dal momento della loro raccolta, nel pieno rispetto dei principi del Regolamento UE 679/2016, in particolare nel rispetto dei principi elencati agli artt. 5 e 25. Dovranno, infatti, essere rispettati il principio di minimizzazione dei dati, di limitazione della conservazione, di accountability, nonché i principi di privacy by design e privacy by default.

È indispensabile che questi principi siano tenuti in considerazione, fin dalla progettazione del sito e per tutta la durata del trattamento stesso.

L’attività preliminare relativa alla valutazione di impatto (DPIA) e relativa al risk assessment sarà fondamentale per valutare correttamente i rischi derivanti da ciascun trattamento, nonché le misure tecniche e organizzative adeguate volte a prevenire e/o ridurre il verificarsi dei rischi analizzati.

Sarà, inoltre, necessario che vengano messe in atto misure tecniche e organizzative adeguate, così come richiesto dall’art.32 del GDPR, atte a garantire un livello di sicurezza adeguato al rischio.

Un altro degli adempimenti che il titolare dovrà rispettare riguarda l’informativa ex art.13 del GDPR; l’utente dovrà ricevere tutte le informazioni necessarie relative al trattamento dei dati.

L’informativa dovrà essere completa e specifica, redatta con un linguaggio semplice e comprensibile da parte di tutti gli utenti e agilmente accessibile prima del conferimento dei dati nelle fasi successive della navigazione del sito.

Affinché vi sia una maggiore chiarezza e trasparenza nei confronti dell’utente è necessario che vengano predisposte informative ad hoc, contestualizzate per i trattamenti posti in essere, con specifici consensi qualora dovesse sussisterne il presupposto.

Il titolare del trattamento dovrà, inoltre, disciplinare i rapporti con coloro che, internamente o esternamente all’Organizzazione, tratteranno i dati dell’utente che interagisce con l’e-commerce. Sarà, quindi, necessario che il titolare predisponga:

  • Lettere di nomina per gli incaricati al trattamento dei dati, volte a dare precise e dettagliate istruzioni a coloro che internamente all’organizzazione compiono operazioni di trattamento;
  • Contratti di nomina a responsabile del trattamento art. 28 del GDPR con tutti coloro che esternamente all’organizzazione tratteranno i dati, tra i quali web hosting, web agency e società che progettano ed implementano il CRM

Ultimo, ma non per importanza, è l’aspetto relativo alla gestione dei cookie presenti sul sito internet. Anche attraverso i cookie è possibile trattare dati relativi all’utente che visita l’e-commerce. Il titolare, in questo caso, dovrà fornire all’utente informazioni chiare, precise e complete riguardanti i cookie presenti sul sito. Come? Attraverso un’informativa breve (c.d. Cookie banner) e un’informativa estesa (Cookie Policy).

Sarà, inoltre, necessario predisporre adeguati sistemi per la registrazione del consenso espresso dall’utente per l’installazione di quei cookie (di profilazione e di terze parti) la cui condizione di liceità è rinvenibile, appunto, nel consenso.

 

Conclusioni

L’e-commerce è un ottimo strumento che funge da punto di contatto tra domanda e offerta, un mezzo che nell’ultimo anno ha aiutato molto esercenti e consumatori; ai primi ha consentito di portare avanti l’operatività aziendale e vendere i propri prodotti online, ai secondi ha permesso di acquistare beni di prima necessità e non solo comodamente da casa.

Prima di aprire uno store online, è necessario però considerare diversi e molteplici aspetti, volti a tutelare non solo il business aziendale, ma anche il consumatore e soprattutto i suoi dati!

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!