E-commerce a prova di privacy

Un nostro vademecum per l’implementazione di siti web e app per e-commerce a prova di privacy

Con l’avvento dell’emergenza epidemiologica, il ricorso al commercio online già ampiamente diffuso tra i consumatori di tutte le età, da alternativa si è trasformato in necessità.

Molteplici si rivelano i profili meritevoli di attenzione ai sensi della normativa sulla protezione dei dati personali. Basti pensare al trattamento dei dati anagrafici, di contatto e bancari dell’utente, alla possibilità di geolocalizzare le consegne, di compiere attività di profilazione e marketing mirato.

Il GDPR (Regolamento UE 2016/679) è ispirato all’idea della privacy by design e della privacy by default, che impongono al Titolare del trattamento di contemplare gli accorgimenti correlati all’applicazione della normativa sulla privacy fin dal momento della ideazione e progettazione dell’iniziativa involgente il trattamento di dati personali.

Di seguito l’elenco degli aspetti da considerare nell’ambito dei sistemi di e-commerce.

• Individuazione delle persone interne all’organizzazione del Titolare che saranno incaricate del trattamento dei dati personali ai fini della formazione in materia di protezione dei dati personali e del conferimento dell’eventuale nomina a persona autorizzata (es. addetti al servizio clienti, all’anagrafica cliente).
• Individuazione dei Fornitori coinvolti nel progetto che potrebbero trattare i dati personali degli utenti ai fini del conferimento dell’eventuale nomina a Responsabile del trattamento (es. consulente informatico per la gestione della piattaforma web e dell’applicazione).
• Se per pubblicizzare i prodotti, il Titolare intende avvalersi della collaborazione di modelli/e (es. video o foto), è necessario conferire loro un’informativa sul trattamento dei dati personali ai sensi dell’art. 13 del Regolamento UE 2016/679 e acquisire il consenso al trattamento della loro immagine.
• Individuazione dei cookies installati sull’app e/o sul sito progettato per la vendita, ai fini di una corretta implementazione della privacy & cookies policy e della cookies bar (es. cookies necessari, analitici ecc.).
• Decidere se gestire il servizio di tracking (tracciamento) delle consegne in proprio oppure affidarlo a un terzo. Nel secondo caso, occorre individuare e delineare i ruoli soggettivi.
• Se all’interno del sito/ app è possibile iscriversi ad un’area riservata, alla newsletter oppure il Titolare ha intenzione di prevedere form per l’inoltro di richieste, sarà necessario predisporre appositi informative sul trattamento dei dati personali ai sensi dell’art. 13 del Regolamento UE 2016/679.
• Decidere se utilizzare i dati raccolti anche per l’inoltro di comunicazioni pubblicitarie o per attività di profilazione, in caso affermativo è necessario acquisire i relativi consensi.
• Verificare in quale paese sono ubicati i server per l’archiviazione dei dati. In caso di Paesi Extra- UE potrebbero essere necessarie attività e/o accordi ulteriori.
• Verificare se la piattaforma prescelta per la gestione dei pagamenti consente al Titolare di raccogliere i dati bancari dei clienti, tale aspetto deve essere chiaramente portato a conoscenza dell’interessato.
• Adozione di misure di sicurezza idonee a preservare l’integrità e la disponibilità dei dati.
• Implementazione di un processo per la gestione dei diritti degli interessati (accesso ai dati, rettifica, revoca consenso ecc.), per esempio istituendo un indirizzo mail dedicato, un registro delle istanze, individuando i soggetti incaricati.

Avv. Morena Campana
Ufficio Legale Protection Trade