Nonostante il Regolamento Europeo per la protezione dei dati personali n. 2016/679 (GDPR) sia entrato in vigore ormai da diversi anni, sono ancora molti i siti web che utilizzano una piattaforma e-commerce non conforme alla normativa sulla privacy.

In questo momento particolare, nel quale stanno spopolando sempre di più piattaforme web per lo shopping online, vogliamo fornire una breve guida degli step da intraprendere per rendere compliant al GDPR il tuo sito. Pertanto, vediamo le domande fondamentali da porsi quando si parla di e-commerce.

 

Il mio sito raccoglie dati personali?

Se il tuo sito contiene campi quali il form di contatto, un’area per le auto-candidature, una sezione commenti/recensioni e/o una sezione all’interno della quale effettuare acquisti online, il sito potrebbe essere una fonte di raccoglimento di dati personali, tra i quali ad esempio l’indirizzo e-mail, il nominativo dell’interessato e i recapiti telefonici.

Anche se non dovesse contenere quanto sopra citato, il tuo sito potrebbe comunque raccogliere dati personali, anche in modo automatico, ad esempio tramite banner pubblicitari e strumenti per monitorare le visite tracciando l’indirizzo IP dei visitatori, possibile attraverso l’installazione di cookie analitici. E’ fondamentale dunque riportare le caratteristiche degli strumenti utilizzati nell’informativa privacy “generale” e in quella specifica relativa l’utilizzo dei cookies, senza dimenticare di predisporre correttamente il cookie banner all’apertura del sito.

In tutti questi casi, l’adeguamento alla normativa sulla privacy è indispensabile in quando il sito, così come configurato, comporta un trattamento di dati personali, i quali – per definizione – sono le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica. Tra questi rientrano certamente i dati che permettono l’identificazione diretta – come i dati anagrafici (ad esempio nome e cognome), le immagini, ecc. – e i dati che permettono l’identificazione indiretta, come un numero di identificazione (ad esempio il codice fiscale, l’indirizzo IP, il numero di targa);

Alla luce di ciò, si dovrà fare attenzione a quanto segue, al fine di evitare l’applicazione delle ingenti sanzioni.

 

Come si scrive la privacy policy?

Il primo passo da compiere è quello di predisporre ex novo o rivedere la tua attuale informativa sulla privacy del tuo sito e-commerce, avendo cura di riportare tutti i contenuti richiesti dal Regolamento. La mancata informativa sulla privacy rientra tra le violazioni della privacy ritenute più gravi in quanto violazione dei principi generali del GDPR; pertanto, tale mancanza è sanzionata con una multa fino a 20 milioni di euro, o una sanzione amministrativa fino al 4% del fatturato mondiale dell’impresa (intesa come gruppo).

Si consiglia di evitare di copiare l’informativa da un altro sito, in quanto potrebbe non adattarsi alle caratteristiche della tua piattaforma e rivelarsi non esaustiva e farti rischiare le sanzioni predette, ma di affidarti ad un professionista che possa seguirti nella messa a punto del tuo sito.

Ai sensi dell’art. 13 GDPR, la privacy policy del sito deve rendere noto a tutti i visitatori quanto segue:

• Le finalità e le modalità del trattamento dei dati;
• La natura obbligatoria o facoltativa del conferimento dei dati;
• Le conseguenze di un eventuale rifiuto a fornire i propri dati personali;
• I soggetti ai quali possono essere comunicati i dati personali, o di coloro che possono venirne a conoscenza in qualità di responsabili o autorizzati al trattamento;
• I diritti dell’interessato ex art. 7 Regolamento UE;
• Gli estremi identificati del titolare ed, eventualmente, del rappresentante e del responsabile.

Nel caso particolare dello shopping on-line, è caldamente consigliato predisporre informative distinte per tipologia di trattamento, dedicandone una specifica riferibile ai soli trattamenti derivanti dal trattamento dei dati raccolti durante la navigazione sul sito, concentrandosi sui dati raccolti dal sistema informatico anche attraverso i cookies, e una seconda informativa relativa i dati trattati per dare luogo all’acquisto on-line.

 

Cosa scrivere nell’informativa relativa gli acquisti on-line?

I contenuti dell’informativa saranno gli stessi riportati all’elenco di cui sopra, secondo quanto stabilito dall’art. 13 del GDPR. Sarà opportuno esplicitare tra le finalità del trattamento l’acquisto di prodotti commercializzati tramite il sito e, se previsto, la registrazione alla piattaforma e-commerce con relativa assegnazione di un account personale.

Infine, è solitamente consigliato di avvalersi di sistemi che diano prova che il consenso sia stato reso esplicitamente, ad esempio mediante una casella di spunta prima della conclusione dell’ordine e del pagamento o – nel caso sia prevista la registrazione al sito – prima dell’apertura di un account personale.

 

La messa a punto del sito e-commerce in una prospettiva “privacy” è così terminata. Tuttavia, rischi comunque di incorrere in pesanti sanzioni se nell’ambito della tua attività non osservi le disposizioni del GDPR. 

Ricordiamo inoltre che in un sito di shopping on-line non può mancare il documento “Termini e Condizioni di vendita”, ossia il contratto che disciplina i diritti e gli obblighi degli utenti e del titolare di un sito e-commerce.