17 Dic Privacy e-commerce: come gestire la privacy degli utenti secondo il GDPR
Uno dei punti dolenti per ogni marketer è la gestione della privacy per il proprio e-commerce.
Dal 2018, infatti, è entrato in vigore il GDPR, il Regolamento europeo sulla protezione dei dati personali che tutela il diritto alla privacy.
Qual è il legame tra il GDPR e l’e-commerce?
Quali sono le norme da rispettare per essere in regola con la privacy nell’e-commerce?
Il GDPR nasce per armonizzare la normativa sul trattamento dei dati personali e si riferisce alle aziende che trattano i dati personali degli utenti all’interno dell’Unione Europea.
Per quanto riguarda gli e-commerce, il GDPR definisce il proprio ambito di applicazione al trattamento dei dati personali effettuato dalle aziende che offrono beni e servizi agli utenti europei o che monitorano il comportamento degli utenti europei.
E questo è proprio il caso dei siti e-commerce!
Ma a cosa serve adeguarsi alla normativa?
Quali rischi si corrono ignorando le norme sulla Privacy?
Proporre un sito in regola con la normativa e-commerce migliora l’esperienza di navigazione e di acquisto degli utenti, portando enormi vantaggi a livello di business.
Inoltre, il mancato rispetto delle norme sulla privacy espone il negozio e-commerce a controlli e sanzioni da parte del Garante della Privacy: le multe possono raggiungere i 20 milioni di euro o il 4% del fatturato mondiale annuale.
Vediamo cosa prevede il GDPR e come adeguare l’e-commerce alla normativa sulla Privacy.
Privacy e-commerce: cosa prevede il GDPR
Il GDPR (Reg. UE 679/2016 General Data Protection Regulation) è la normativa principale per quanto riguarda la protezione dei dati personali nell’Unione Europea. È stato emanato nel 2016 ed è entrato in vigore nel 2018.
Lo scopo per cui è stato emanato il Regolamento era quello di avere una normativa europea per la protezione dei dati armonizzata tra tutti i Paesi dell’Unione, per tutelare in maniera omogenea la privacy dei cittadini europei alle prese con le tecnologie digitali.
E questo non poteva che passare attraverso una norma direttamente applicabile a tutti i Paesi dell’Unione, quale il Regolamento.
Il GDPR favorisce la libera circolazione dei dati, ma nel rispetto dei diritti e delle libertà fondamentali delle persone fisiche, e richiede un atto di responsabilizzazione e trasparenza per quanto riguarda il trattamento dei dati personali.
Quelli che vedremo sono solo alcuni degli adempimenti richiesti ad un ecommerce, per cui è sempre consigliato rivolgersi ad un avvocato specializzato in privacy per ecommerce, per verificare gli altri adempimenti necessari per essere a norma.
Ma vediamo quali aspetti interessano maggiormente un e-commerce.
GDPR e-commerce: quali sono i dati personali
L’articolo 4 del Regolamento descrive il dato personale come:
“qualsiasi informazione riguardante una persona fisica identificata o identificabile”.
Per cui rientrano nella definizione:
- nome,
- cognome,
- residenza;
- abitudini;
- condizioni di salute;
- condizione sociale;
- orientamento sessuale.
Nell’e-commerce, questi dati vengono raccolti ogni qualvolta l’utente effettua una transazione, si iscrive a una newsletter, compila un form o viene monitorato con strumenti di profilazione.
Privacy e-commerce: cosa si intende per trattamento dei dati
Prima di andare avanti è necessario chiarire due concetti: cosa si intende per trattamento dei dati e per profilazione.
Il GDPR specifica che il termine trattamento indica qualsiasi operazione che viene effettuata sui dati personali o su insiemi di dati, in modo automatizzato e non. La raccolta, la registrazione e l’uso rientrano nel trattamento, ma la definizione comprende anche:
- organizzazione,
- strutturazione,
- conservazione,
- adattamento o modifica,
- estrazione,
- consultazione,
- uso,
- comunicazione mediante trasmissione,
- diffusione,
- interconnessione,
- limitazione,
- cancellazione o distruzione.
È fondamentale che sia chiaro il concetto di trattamento perché si riferisce a moltissime delle attività che svolge un e-commerce: raccolta per le transazioni, uso dei dati per l’invio di promozioni personalizzate, conservazione nel database.
Cosa vuol dire, invece, profilazione?
Quando si utilizzano i dati personali di una persona fisica con lo scopo di analizzare o prevedere la situazione economica, i gusti personali, gli interessi, il comportamento, il posizionamento o la geolocalizzazione, si parla di profilazione.
La profilazione comprende tutte le attività di marketing come il retargeting, il remarketing.
Quando è obbligatoria l’informativa sulla privacy
Secondo l’articolo 13 del GDPR, il titolare del trattamento ha l’obbligo di informare l’interessato sulla tipologia del trattamento, sulle modalità e finalità del trattamento, in modo semplice e chiaro.
La Privacy Policy viene utilizzata proprio a questo scopo e deve essere fornita all’utente nel momento in cui il titolare raccoglie i dati personali, e prima del trattamento degli stessi. L’Informativa sulla Privacy è un documento obbligatorio per gli e-commerce che trattano i dati degli utenti in alcuni casi specifici:
- quando gli utenti si trovano in Europa,
- se l’e-commerce ha sede in Europa;
- quando un e-commerce non ha sede in Europa ma monitora i comportamenti di chi si trova nell’UE, a prescindere dalla sua nazionalità.
Privacy Policy e-commerce: le informazioni obbligatorie
Il GDPR definisce una serie di informazioni che devono essere fornite all’utente in forma comprensibile e nel rispetto del principio di trasparenza.
Ogni Privacy Policy è diversa e deve essere redatta in maniera personalizzata, possibilmente grazie all’aiuto di un avvocato specializzato in ecommerce.
Tuttavia, secondo l’articolo 13 del GDPR, ci sono alcune informazioni obbligatorie da inserire nella Privacy Policy di un e-commerce e sono:
- Identità e dati del titolare del trattamento o del suo rappresentante: comprendono denominazione della società/ditta, sede legale, partita iva;
- contatti del responsabile della protezione dei dati (DPO): è sufficiente l’indirizzo email;
- finalità del trattamento: è necessario indicare le finalità del trattamento e come vengono trattati i dati personali.
- base giuridica del trattamento: il trattamento dei dati può essere effettuato solo in presenza di una condizione di liceità (la ‘base giuridica’) tra quelle elencate dall’art. 6 GDPR (esempio: esecuzione del contratto, consenso, interesse legittimo);
- destinatari dei dati o categorie di destinatari dei dati personali: bisogna indicare a chi saranno comunicati i dati personali e il trasferimento a terzi;
- eventuale intenzione di trasferire i dati all’estero: l’utente va informato se i dati verranno trasferiti al di fuori dell’Unione Europea;
- periodo di conservazione dei dati o il sistema per determinare la durata di questo periodo: la data retention, ovvero il periodo di conservazione dei dati; ● trattamenti automatizzati dei dati o tramite strumenti di profilazione: le attività di profilazione vanno descritte in maniera accurata, specificando le finalità, le modalità e le conseguenze;
- categorie di dati raccolti: la tipologia di dati raccolti (anagrafici, o altri); ● diritti degli interessati: tra i diritti vanno previsti il diritto di accesso, rettifica, cancellazione o limitazione del trattamento, portabilità dei dati, revoca del consenso e diritto di proporre reclamo al Garante.
Oltre a queste informazioni, l’informativa sulla Privacy, deve contenere una sezione dedicata ai cookie.
Questi sono gli aspetti generali che vanno curati quando si gestisce la Privacy di un e-commerce. Tuttavia l’argomento è ampio e complesso e per avere un e-commerce in regola con il GDPR è sempre consigliato rivolgersi ad un legale specializzato nell’e-commerce.