Il commercio elettronico è in costante crescita sia in Italia che nel mondo. Nell’ultimo periodo, esso si è ulteriormente diffuso a causa dell’emergenza sanitaria, che ha comportato il blocco delle vendite al dettaglio delle merci ritenute non essenziali. Alla crescente importanza del settore non sempre si accompagna, però, la consapevolezza da parte degli operatori circa le normative vigenti e i rischi legali a cui possono andare incontro, in caso di violazione delle normative applicabili.
Dal punto di vista privacy, come tutti i siti web, anche quello e-commerce soggiace alle regole dettate in materia di data protection, sia per quanto riguarda le finalità di trattamento dei dati che il titolare è tenuto a fornire agli utenti, sia relativamente alle misure di sicurezza tecniche poste alla base del sistema informatico.
Nello specifico, le principali regole in tema di privacy da tenere in considerazione ai fini della costruzione di un e-commerce conforme alla legge sono individuate dal Reg. Ue 679/216 (GDPR) e dai provvedimenti emessi dal Garante
Le regole basilari
In particolare, in base ai principi dettati dall’art. 25 del GDPR, la creazione dell’e-commerce deve essere effettuata contestualmente alla progettazione del trattamento dei dati (privacy by desing) e il Titolare del Trattamento deve trattare i dati dell’interessato nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario (privacy by default). Invero, il trattamento dei dati degli utenti deve avvenire tenendo conto del principio di minimizzazione dei dati, di cui all’art. 5 GDPR, secondo il quale possono essere trattati solo quei dati necessari e indispensabili in relazione alle finalità per le quali sono raccolti, nonché secondo le logiche di accountability, consistenti nelle responsabilità di definire (a monte di un’attenta analisi dei dati trattati e dei possibili rischi connessi) l’insieme di quelle misure adeguate, che limitano il più possibile il verificarsi di eventuali rischi e garantiscono il rispetto delle disposizioni GDPR.
Ma come deve essere nella pratica un e-commerce per essere GDPR compliance?
Anzitutto l’e-commerce deve contenere una privacy policy (informativa), redatta ai sensi dell’art. 13 GDPR, che fornisce tutte le informazioni necessarie affinché i visitatori del sito possano decidere in modo consapevole se prestare o meno il loro consenso al trattamento dei dati personali. In particolare, nell’informativa devono essere inserite specifiche informazioni in relazione ai trattamenti dei dati degli utenti per determinate richieste o servizi (ad esempio alla gestione di un’area riservata per monitorare gli ordini effettuati). Altresì dovrà essere prevista una cookies policy e inserito, ad esempio, un banner con opt-in che contenga i vari cookies utilizzati, in modo da permettere all’Utente di poter fornire un consenso espresso.
Newsletter e messaggi sponsorizzati
Proprio per il fatto che il consenso deve essere prestato dall’utente in modo inequivocabile ed espresso, i moduli per le newsletters inseriti nel sito non possono contenere il consenso di default. L’impresa deve pertanto inserire una casella di spunta per il consenso al trattamento dei dati personali, senza che la stessa possa essere precompilata. Inoltre, sia i messaggi sponsorizzati che i moduli funzionanti con modalità opt- out (cioè i moduli che appaiono quando il cursore del mouse si muove verso la parte superiore della pagina per chiuderla) devono essere riadattati in modalità opt-in opzionale.
Attenzione al database e misure di sicurezza!
L’e-commerce deve poi essere dotato di un proprio database separato che faciliti la richiesta di cancellazione dei dati personali, e di un sistema di verifica dei dati degli utenti/visitatori, che renda possibile la verifica immediata nel caso in cui vengano violati i dati personali. Infine, deve essere garantita la sicurezza dei dati attraverso l’adozione di specifiche misure di sicurezza come, a titolo esemplificativo non esaustivo: utilizzare sistemi che permettono la riservatezza, l’integrità, la disponibilità dei dati personali; dotarsi di metodi che permettono di ripristinare la disponibilità dei dati personali e l’accesso ad essi in tempi appropriati in caso di incidenti fisici o tecnici; adottare procedure volte a verificare, analizzare e valutare regolarmente l’efficacia delle misure tecniche operative per assicurare la sicurezza.
Si ricorda che il mancato adeguamento agli obblighi imposti dal GDPR può comportare sanzioni molto pesanti per le imprese, in quanto sono previste multe sino a 20 milioni di Euro o fino al 4% del fatturato.
Proprio per questa ragione, se state pensando di dotarvi di un e-commerce, fatevi affiancare da un avvocato esperto in materia, per evitare di incorrere in guai con il Garante per la protezione dei dati personali.
