DATA PROTECTION

Contatti online nelle attività di e-commerce: regole e adempimenti per la conformità al GDPR

Anche chi gestisce un sito di e-commerce deve adempiere al GDPR, in particolar modo per quel che riguarda la gestione dei contatti online dei propri clienti. Ecco le regole da seguire per un corretto adeguamento alla normativa sulla protezione dei dati personali

31 Mar 2020
Z
Paola Zanellati

Consulente Privacy


Il GDPR interessa tutti coloro che raccolgono e utilizzano liste di contatti online, in modo manuale o automatico, a scopo professionale, quindi anche chi gestisce un’attività di e-commerce e possiede un sito web che contiene:

  • moduli di registrazione utenti;
  • sezione Commenti;
  • moduli di contatto;
  • strumenti di analisi del traffico;
  • strumenti pubblicitari (es. Google, Facebook Pixel);
  • strumenti di e-mail marketing o di funnel marketing.

Qualsiasi dato personale può essere utilizzato dal professionista o dall’azienda soltanto se acquisito e gestito secondo i principi del GDPR.

Quali sono i dati personali? Sono tutte le informazioni che consentono di identificare una persona (nome, e-mail, indirizzo IP, coordinate bancarie, carte di credito ecc.) oltre alla combinazione dei dati che permette di identificare i singoli utenti durante la navigazione. Per questo motivo anche i cookie impiegati per trattare dati personali rientrano nel GDPR e il trattamento deve rispettare i principi ispiratori del Regolamento UE:

  1. principio di liceità e correttezza: è lecito trattare dati personali soltanto in alcuni casi ben specificati dal Regolamento. Tra questi, i due casi più ricorrenti sono l’adempimento contrattuale e il consenso informato;
  2. principio di trasparenza: bisogna comunicare chiaramente e in modo comprensibile lo scopo e le modalità con cui i dati sono utilizzati. I dati devono anche essere facilmente accessibili dallo stesso interessato;
  3. principio di limitazione delle finalità: bisogna raccogliere i dati soltanto per finalità determinate, esplicite e legittime, e il loro trattamento deve essere svolto in maniera compatibile con quelle finalità;
  4. principio di minimizzazione: bisogna limitare i dati richiesti allo stretto necessario richiesto per lo scopo del loro trattamento;
  5. principio di esattezza dei dati: i dati raccolti dovranno essere esatti e, se necessario, aggiornati;
  6. principio di limitazione della conservazione: i dati potranno essere conservati solo per il tempo necessario a raggiungere lo scopo del loro trattamento;
  7. principio di integrità e riservatezza: i dati dovranno essere sempre trattati in modo da garantire una sicurezza adeguata a proteggerli dall’utilizzo illecito o non autorizzato.

A questi 7 principi ne aggiungiamo un ottavo, molto importante perché sostiene tutta la normativa: il principio di responsabilizzazione o della “consapevolezza. Se nella propria professione si trattano dati personali, si è responsabili di dimostrare concretamente il rispetto di tutti i principi.

Contatti online: come adeguare il sito al GDPR

Per prima cosa è necessaria un’analisi dettagliata di come il sito e le applicazioni collegate raccolgono e gestiscono i dati personali, sia mediante input diretto dell’utente, sia indirettamente tramite cookie.

Infatti, anche se il sito contiene solo un form di contatto, bisogna considerare anche dove vengono conservati quei dati e come vengono utilizzati.

L’analisi minima da cui poter partire comprende questi aspetti:

  • quali aree del sito raccolgono i dati;
  • dove vengono memorizzati (nel tuo sito? In un sistema esterno? Quale? In quale Paese?);
  • l’uso che se ne fa (newsletter? Adempimenti contrattuali? Profilazione pubblicitaria?);
  • per quanto tempo vengono conservati;
  • quale consenso è stato ottenuto;
  • chi può accedere ai dati (ad esempio quali dipendenti o quali entità terze);
  • sicurezza dei dati e rischi in caso di furto.

Se la struttura del sito è semplice, l’analisi sarà rapidissima; lo sarà un po’ meno per un sito più strutturato.

In base ai risultati ottenuti, occorrerà poi passare all’azione per mettersi in regola.

Contatti online: rivedere e aggiornare le policy

Innanzitutto, è necessario controllare e aggiornare la privacy policy e la cookie policy in modo che siano chiare e trasparenti circa lo scopo e il modo in cui vengono usati i dati.

Privacy policy

Alla stregua dell’art. 13 GDPR, l’informativa della privacy e-commerce deve rendere noto all’interessato quanto segue:

  • le finalità e le modalità del trattamento cui sono destinati i dati;
  • la natura obbligatoria o facoltativa del conferimento dei dati;
  • le conseguenze di un eventuale rifiuto di rispondere;
  • i soggetti o categorie di soggetti ai quali possono essere comunicati i dati personali, o di coloro che possono venirne a conoscenza in qualità di responsabili o incaricati;
  • i diritti dell’interessato, ex art. 7 Regolamento UE;
  • gli estremi identificati del titolare e, eventualmente, del rappresentante e del responsabile.

A seguito della presa visione dell’informativa da parte dell’interessato, si passa all’acquisizione del consenso, mediante la firma di un modulo.

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

È bene avvalersi di sistemi che diano prova che il consenso sia stato reso esplicitamente, ad esempio di un form in una casella opzione da spuntare o del sistema double opt-in, che si caratterizza per la verifica a due passaggi, ovvero comporta l’inoltro di un link di conferma per e-mail, accedendo a quest’ultimo si attiva il servizio richiesto.

Cookie policy

La sanzione amministrativa in caso di mancata informativa sui cookie può arrivare fino a 120mila euro. È bene, pertanto, fare in modo che la politica dei cookie sia conforme a quanto prescritto, ovvero che abbia i seguenti requisiti:

  • trasparente, o meglio offrire una panoramica chiara sulle modalità in cui i cookie saranno utilizzati;
  • panoramica e responsabilità per i cookie sul sito;
  • consenso richiesto con un’azione affermativa;
  • possibilità di ritirare il proprio consenso in qualsiasi momento, ovvero consentendo l’accesso all’utente al proprio stato di consenso, al fine di modificarlo o ritirarlo;
  • rinnovare il consenso ogni 12 mesi;
  • accessibilità, da intendersi come linguaggio chiaro e facilmente comprensibile per gli utenti, per consentirgli di comprendere e scegliere;
  • consenso preventivo, prima dell’impostazione dei cookie, per far sì che vengano memorizzati solo quelli necessari;
  • archiviazione dei consensi, al fine di provarli in sede di controllo.

Contatti online: adeguamenti tecnici del sito

Sul fronte tecnico, occorre assicurarsi che tutti i componenti del sito di e-commerce siano a loro volta conformi al GDPR.

Per un sito semplice o un blog, il problema più grande può essere quello dei plugin che installano cookie di profilazione.

A questo proposito ricordiamo che il legislatore ha identificato 3 macro-categorie di cookie: i cookie tecnici, quelli di statistica e quelli di profilazione.

In generale, se il sito di e-commerce installa solo cookie tecnici non occorre chiedere il consenso preventivo. Se invece si usa Google Analytics o altro software di analisi del traffico, è possibile evitare di chiedere il consenso preventivo a patto che:

  • l’indirizzo IP venga reso anonimo;
  • le funzionalità di profilazione come fascia di età, interessi e via dicendo vengano disattivate;
  • l’identificazione dello user ID venga disattivato;
  • la condivisione dei dati con altri prodotti Google venga disattivata.

I cookie di profilazione sono utilizzati per creare il profilo degli utenti al fine di utilizzare queste informazioni per proporre messaggi pubblicitari ad hoc in base alle preferenze di ricerca effettuate dallo stesso utente durante la navigazione su Internet.

Ed è proprio questa caratteristica così invasiva nella sfera privata degli utenti, che la normativa prevede che l’utente debba essere informato preventivamente sull’uso di cookie e dare il suo consenso prima di accedere al sito web.

Deve essere presente sul sito web l’informativa breve visibile all’utente nel momento in cui accede al sito e pertanto deve essere posta in home page. Appena si atterra sul sito web deve comparire un banner di dimensioni adeguate che comporti la discontinuità nella navigazione e che possa essere superato solo con intervento attivo dell’utente. Tale informativa breve deve contenere le seguenti indicazioni:

  1. che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;
  2. il link dell’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics, viene data la possibilità di scegliere specifici cookie da autorizzare;
  3. indicazione con le diverse caselle di scelta del consenso all’uso dei cookie.

L’informativa estesa (art. 13 par 1 art.14 par.1gdpr) deve invece contenere:

  1. dati di contatto del RPD;
  2. base giuridica del trattamento e qual è il suo legittimo interesse, se trasferisce dati all’estero;
  3. conservazione dei dati;
  4. diritto di reclamo;
  5. se il trattamento comporta processi decisionali automatizzati.

Controllare luoghi e metodi di archiviazione

Tra gli adeguamenti tecnici del sito di e-commerce è opportuno anche controllare e, se opportuno, cambiare il metodo di archiviazione dei dati in modo da garantire che i dati siano facilmente rintracciabili ed esaminabili.

Contatti online: valutare i rischi di furto dati

È importante assicurarsi che i dati siano adeguatamente protetti dal rischio di furto. È utile sapere che se in caso di furto di dati degli utenti, occorre valutare se quel furto può ledere la libertà e i diritti degli interessati e in caso positivo comunicarlo al Garante entro 72 ore dalla scoperta.

Il furto dei dati può avvenire sia mediante un’intrusione negli archivi che intercettando i dati durante la comunicazione tra il dispositivo dell’utente e il sito; questo può succedere se quest’ultimo è ancora in HTTP poiché il flusso dei dati non viene criptato.

Se ancora non è stato fatto, conviene quindi valutare di passare in HTTPS per criptare il flusso dei dati proteggendoli dall’intercettazione.

Rivedere i moduli di contatto

È opportuno modificare i moduli di contatto per introdurre caselle di consenso all’invio di offerte commerciali o newsletter.

Non sono consentite caselle di consenso pre-spuntate o il consenso cumulativo. Ciascun utilizzo dovrà essere oggetto di consenso specifico.

I provider di servizi di e-mail marketing si stanno attrezzando per attivare, nei propri moduli di iscrizione alle newsletter, i consensi dettagliati.

Contatti online: la prova del consenso

Nel percorso di adeguamento al GDPR è importante anche assicurarsi di avere la prova del consenso libero e specifico per ciascun utilizzo dei dati. In questo senso, è utile tenere un registro dei consensi a prova dell’applicazione del principio di responsabilizzazione.

Nel caso di moduli di contatto con spunta di consenso per eventuali offerte commerciali, il consiglio è quello di memorizzare il cosiddetto “time stamp” cioè la data e ora del prestato consenso, così come l’indirizzo IP del dispositivo. Inoltre, è utile anche conservare una copia del modulo in bianco a dimostrazione del consenso effettivamente prestato in modo esplicito e inequivocabile.

Se non è possibile dimostrare di avere ottenuto i consensi necessari, è meglio chiederli nuovamente. Se non si ottengono, meglio rinunciare a qualche utente piuttosto che incorrere in multe salate.

Per un e-commerce solitamente si installa un numero maggiore di plugin per ottenere funzionalità di vendita online più avanzate. In questo caso può essere utile consultare un servizio di controllo dei plugin che è in grado di controllare la conformità al GDPR.

Il pubblico è consapevole del valore dei propri dati e più propenso a opporsi al loro uso illecito.

Il GDPR è un obbligo e un’opportunità

Mettersi in regola, anche nel caso di un sito web che gestisce contatti online per finalità di e-commerce, significa potersi difendere da eventuali contestazioni sull’utilizzo illecito dei dati.

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Privacy

Ma soprattutto, la propria azienda può utilizzare il Regolamento sulla Privacy come occasione per ammodernare le procedure interne e fare della data protection una questione di brand aziendale.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5