Privacy e-commerce: cos’è e come gestirla rispettando il GDPR

Leggi e Fisco, Vendere online

Di Floriana Capone /

illustrazione di Francesco Zorzi

Privacy e-commerce: cos’è e come gestirla rispettando il GDPR

Come si gestisce la privacy di un e-commerce?

Quali sono gli aspetti fondamentali per essere in regola con la privacy policy di un sito e-commerce?

Quando si apre uno shop online si pensa alla struttura del sito, al marketing, ai prodotti/servizi da vendere, alla logistica e alla burocrazia.

A volte, però, si sottovaluta l’importanza degli aspetti legali. 

Le norme sulla privacy sono uno degli elementi più importanti per un sito internet e vanno assolutamente inserite nella check list delle pratiche da portare avanti.

La privacy nell’e-commerce viene regolamentata dal GDPR (Reg. UE 679/2016 General Data Protection Regulation), dal Codice della Privacy e dalla direttiva e-privacy.

Lo scopo di queste norme è di garantire che il trattamento dei dati personali avvenga in sicurezza e nel rispetto dei diritti degli ‘interessati’, cioè degli utenti, tra cui quello di ricevere le informative privacy.

I controlli sul trattamento dei dati personali vengono condotti dal Garante della Privacy tramite il Nucleo Privacy della Guardia di Finanza.

Per la violazione della privacy, la normativa GDPR prevede sanzioni fino a 20 milioni di euro o al 4% del fatturato mondiale totale annuo se l’azienda ha un fatturato maggiore.

Dal lato economico, quindi, non rispettare le norme sulla privacy comporta un rischio altissimo.

Inoltre, adeguarsi alla normativa, rende il sito e-commerce più competitivo e affidabile dal punto di vista del cliente.

Privacy policy per e-commerce: cos’è e quando è obbligatoria

Nell’e-commerce, quando si attua una transazione, si inviano email o si profila l’utente, si raccolgono dati personali.

Ma cosa si intende esattamente per dati personali?

Il GDPR definisce i dati personali come le informazioni che identificano o permettono di identificare una persona fisica. 

I dati personali, quindi, possono essere anagrafici o riguardare altri aspetti tra cui: abitudini, relazioni personali, stato di salute, situazione economica, orientamento sessuale.

L’informativa sulla Privacy nell’e-commerce serve proprio per informare gli utenti sui dati raccolti e sulle modalità e finalità di trattamento dei dati personali che li riguardano.

Secondo il GDPR, per Trattamento dei dati si intende qualsiasi operazione che viene effettuata sui dati personali o insiemi di dati.

Per cui comprende le operazioni che si effettuano normalmente in un sito di vendita online: 

  • raccolta, 
  • registrazione, 
  • conservazione,
  • consultazione,
  • uso,
  • trasmissione,
  • cancellazione.

L’utente deve essere informato della raccolta dei dati personali prima o durante, a meno che i dati non vengano raccolti presso terzi. In questo caso è necessario fornire l’informativa sulla privacy prima dell’utilizzo dei dati.

L’informativa sulla privacy nell’e-commerce è obbligatoria ogni qualvolta si trattano i dati di persone fisiche:

  • quando l’e-commerce ha sede in Europa,
  • se vende beni e servizi a chi si trova in Europa (anche temporaneamente) nonostante sia extra europeo, 
  • per gli e-commerce che non hanno sede in un paese europeo ma monitorano i comportamenti di chi si trova nell’UE (europeo e non)

Informativa sulla Privacy per e-commerce: le informazioni che deve contenere

Secondo la normativa, la Privacy Policy di un e-commerce deve rispettare il principio di trasparenza. 

Per cui il linguaggio deve essere comprensibile per i destinatari e ben visibile.

Vediamo ora quali sono le informazioni da inserire nella Privacy Policy di un e-commerce, in base all’articolo 13 del GDPR. 

Titolare del trattamento

La prima informazione da inserire nella privacy policy per e-commerce riguarda il titolare del trattamento, cioè la persona che si occupa del trattamento dei dati degli utenti. 

Il titolare, in genere, è il proprietario dell’e-commerce.

Nell’informativa sulla privacy non è necessario inserire le generalità del legale rappresentante, ma deve contenere questi dati:

  • denominazione della società/ditta
  • sede legale
  • partita iva
  • capitale sociale
  • camera di commercio di iscrizione

Responsabile della protezione dei dati personali o ‘DPO’

Il Data Protection Officer (DPO) è il responsabile della protezione dei dati.

È una figura che va nominata obbligatoriamente quando si monitorano i dati di un gran numero di utenti in maniera regolare e sistematica con strumenti di tracciamento e profilazione.

Secondo I’articolo 37 del GDPR, il DPO deve essere nominato anche nel caso si trattino dati particolari o relativi alle condanne penali. 

Finalità e Base Giuridica del trattamento

La privacy policy di un e-commerce deve spiegare agli utenti per quali fini e come vengono trattati i loro dati personali.

I dati personali devono essere trattati solo per le finalità dichiarate.

Il trattamento dei dati personali nell’e-commerce può avvenire solo se si verifica una condizione di liceità (o base giuridica), ciò significa che il trattamento è lecito solo se:

  • si è ottenuto il consenso, quando necessario;
  • è necessario per l’esecuzione del contratto;
  • è necessario per adempiere agli obblighi di legge;
  • è necessario per perseguire un legittimo interesse del titolare.

Categorie dei dati raccolti dall’e-commerce

In questa sezione bisogna indicare la tipologia dei dati personali raccolti: dati anagrafici, etc.

Destinatari

Vanno indicati gli eventuali terzi a cui saranno comunicati i dati personali.

Trasferimenti di dati all’estero

In questa sezione va indicato l’eventuale trasferimento di dati in un Paese fuori dall’Unione Europea oppure ad un’organizzazione internazionale. 

Periodo di conservazione dei dati

Secondo il Regolamento europeo sulla protezione dei dati personali (GDPR) un sito e-commerce può conservare i dati personali per un periodo predefinito.

Allo scadere del data retention (periodo di conservazione dei dati), i dati devono essere cancellati o trattati in maniera anonima.

Diritti degli interessati

La privacy policy di un e-commerce deve contenere anche l’indicazione dei diritti degli interessati, cioè di coloro a cui appartengono i dati.

In particolare, gli utenti hanno diritto di accesso, rettifica, cancellazione o limitazione del trattamento, portabilità dei dati.

Inoltre, gli utenti possono revocare il consenso al trattamento dei dati personali e hanno il diritto di proporre reclamo al Garante. 

Trattamenti automatizzati

L’utente ha il diritto di sapere se i suoi dati verranno trattati in maniera automatizzata o tramite strumenti di profilazione.

Questo tipo di trattamenti, quindi, vanno indicati chiaramente, specificando che l’analisi del comportamento dell’utente serve per migliorare la sua esperienza di navigazione e per offrire prodotti/servizi in linea con le preferenze.

Per non incorrere in sanzioni è necessario che l’informativa sulla Privacy dell’e-commerce contenga anche una sezione sui Cookie.

La Cookie Policy può essere anche pubblicata separatamente dalla Privacy Policy.

Quando si utilizzano cookie di profilazione o di di terza parte, è necessario anche il cookie banner, con l’informativa breve e il link all’informativa estesa.

Nella Cookie Policy bisogna specificare i cookie utilizzati dal sito web, indicando se sono cookie tecnici o analitici, cookie di prima parte o cookie di terze parte.

L’utente deve essere poter messo nella condizione di disattivare i cookie non necessari, in base alle finalità descritte.

Nel caso vengano utilizzati Cookie di terze parti, è necessario che siano inseriti i link alle cookie Policy dei servizi delle terze parti. 

Responsabile del trattamento dei dati personali 

Figura spesso sottovalutata nella gestione privacy dell’e-commerce.

Il responsabile del trattamento è colui che tratta i dati personali per conto del titolare. 

Spesso è un soggetto esterno che tratta i dati per una finalità determinata, per esempio per prestare servizi in favore del titolare del trattamento. 

Esempio:

Se una web agency accede al back office e può consultare gli indirizzi email, anche solo per la manutenzione del sito, la web agency è una responsabile del trattamento.

In quanto tale, il GDPR impone che abbia un atto di nomina a responsabile del trattamento, in cui vanno inserite alcune clausole specifiche come quelle relative a: tipologia di dati trattati, categorie di interessati e misure di sicurezza adottate

Inoltre, anche il responsabile del trattamento, come il titolare del trattamento, deve tenere il registro del trattamento, che è un documento in cui vanno registrate alcune informazioni in merito al trattamento dei dati personali. 

Conclusioni

Gestire la Privacy di un e-commerce è un’attività estremamente delicata poiché riguarda il trattamento dei dati personali degli utenti. 

Il GDPR prevede una serie di adempimenti agli e-commerce, a pena di sanzioni molto severe nei casi di violazione della Privacy.

Il mio consiglio è di rivolgerti ad un avvocato specializzato nell’e-commerce che possa aiutarti a redigere tutta la documentazione necessaria, così da non incorrere in errori o sanzioni.

Condividi l'articolo
Floriana Capone

Floriana Capone

Avvocato dell’E-commerce - EcommerceLegale.it

Esperta in diritto digitale, mi occupo di contratti per e-commerce e altre attività digitali, compliance legale dei siti web, adeguamento alla normativa e-commerce e GDPR, registrazione marchi.

Let’s keep in touch!

Ogni giorno siamo dalla parte
delle aziende che vendono online.
Non perderti le nostre risorse
pensate per crescere insieme.