L’e-commerce sta accelerando: si compra online sempre più frequente e si compra online sempre più qualsiasi genere di prodotto o servizio. Gestire, però, uno store online comporta il rispetto di diverse normative, non sempre chiarissime. Di seguito vedremo come adempiere agli obblighi informativi che incombono sul titolare, avviare campagne di marketing per gli e-commerce nel rispetto del GDPR, come valutare l’opportunità di designare il DPO, tenere il registro dei trattamenti ed effettuare la DPIA.
Trattamento dati, l’obbligo di informazione
Il sito di e-commerce dovrà innanzitutto fornire agli utenti le informazioni previste dall’art. 13 del GDPR in relazione ai dati trattati. Ma quali dati tratta un sito di e-commerce? E per quali finalità?
Di norma tutti i siti web trattano i dati di navigazione degli utenti che vi accedono e utilizzano almeno cookie tecnici, necessari per funzionamento del sito stesso. Su un sito di e-commerce verranno trattati anche i dati richiesti all’utente per poter effettuare l’acquisto, quali i dati anagrafici, l’indirizzo e-mail, l’indirizzo di fatturazione e spedizione, nonché i dati che l’utente immette volontariamente per compilare eventuali form di contatto.
La finalità per cui tali dati sono raccolti o conferiti è strettamente legata alla navigazione sul sito e alla procedura di acquisto, il cui trattamento trova legittimazione prevalentemente nella necessità di dare esecuzione ad un contratto o alle misure precontrattuali richieste dall’interessato. Tali dati, a specifiche condizioni imposte dal GDPR, potranno essere utilizzati anche per ulteriori finalità, in primis per attività di marketing. Vediamo come.
Remarketing ed e-mail marketing
Chi gestisce un sito di e-commerce, infatti, avrà certamente interesse a sfruttare tutte le potenzialità che strumenti di marketing digitale offrono per invogliare l’utente ad entrare nel sito, scegliere i prodotti e completare l’acquisto. E una volta che l’acquisto sarà completato, avrà altrettanto interesse a restare in contatto con il cliente, affinché torni a comprare altri prodotti. Per fare ciò, necessariamente si tratteranno dati personali. Vediamo alcuni casi e le soluzioni conformi al GDPR che si possono attuare.
Capita spesso che l’utente, pur avendo scelto cosa acquistare, non completi la richiesta di ordine. Per cercare di non perdere il potenziale cliente, che aveva già mostrato interesse per i prodotti o servizi in vendita, si fa ricorso di norma ricorso a campagne di remarketing, finalizzate a far tornare l’utente sul sito. Per fare ciò si utilizzano cookie di terze parti, ad esempio di Facebook o di GoogleAds, che, tracciando l’attività dell’utente sul web, lo profilano al fine di mostrargli pubblicità mirata.
L’utilizzo di tali cookie di terze parti è soggetto, però, al consenso attivo dell’utente, che, come chiarito anche da una recente sentenza della Corte di giustizia dell’Unione europea, non può essere implicito, desunto dalla semplice continuazione della navigazione sul sito web.
Informativa nell’e-commerce: banner e cookie
Ove sul sito si fa uso di cookie di terze parti, è necessario che nella home page sia presente un banner, mediante il quale, oltre a fornire una sintetica informativa, si chieda all’utente il consenso all’utilizzo di cookie diversi da quelli tecnici, necessari per la funzionalità del sito.
In particolare, il banner non dovrà avere caselle già spuntate, dovendo necessariamente essere l’utente che accede al sito a decidere se e quali cookie attivare, prestando il consenso. Nel caso in cui l’utente non presti alcun consenso o anche nel caso in cui non compia alcuna azione positiva, i cookie non tecnici non devono attivarsi, in quanto la consultazione delle pagine del sito non possono di per sé valere come valido consenso implicito per quel determinato trattamento.
Nel banner, inoltre, deve essere presente il collegamento all’informativa sull’uso dei cookie “estesa” (c.d. cookie policy), che può essere anche integrata nella c.d. privacy policy del sito, nella quale è necessario indicare, tra l’altro, l’elenco dei cookie di cui il sito fa uso e il periodo di durata (c.d. data retention), consentendo all’utente di modificare l’espressione del consenso o indicandogli le modalità per farlo.
E-mail marketing per l’e-commerce
Gli e-commerce generalmente implementano anche sistemi di e-mail marketing al fine di restare in contatto con quegli utenti che hanno già acquistato nel negozio virtuale o che hanno effettuato l’iscrizione alla newsletter dello store online.
Per fare ciò, è necessario attenersi a precise regole stabilite dal GDPR: innanzitutto le singole finalità, tra cui quelle di marketing, dovranno essere ben esplicitate nell’informativa sul trattamento dei dati personali redatta ai sensi dell’art. 13 del GDPR. Inoltre, andrà individuata la base giuridica che legittima lo specifico trattamento: i dati conferiti in fase di acquisto, trattati per dare esecuzione al contratto di vendita, potranno essere utilizzati per finalità di marketing solo se si ottiene il consenso esplicito dell’interessato oppure, a determinate condizioni, se sussiste un legittimo interesse del titolare al trattamento. Ciò significa che:
- con il consenso dell’interessato, di cui il titolare dovrà tenere traccia, il titolare potrà inviare newsletter;
- senza consenso, si potranno inviare comunicazioni via e-mail solo a quegli utenti che hanno già acquistato sullo store online, per informarli su prodotti o servizi analoghi a quelli precedentemente acquistati (c.d. soft spam), purché di ciò sia stato informato e non si sia opposto al trattamento.
In entrambi i casi andrà stabilito il periodo di data retention:
- nel caso di iscrizione alla newsletter, l’invio delle comunicazioni promozionali potrà continuare fino a revoca del consenso espresso;
- nel caso di soft spam, sulla base di pareri e linee guida delle Autorità di controllo, è opportuno indicarlo in massimo 24 mesi, decorsi i quali, ove l’utente non abbia più avuto interazione con l’e-commerce, si ritiene venire meno il legittimo interesse del titolare. Il trattamento deve comunque cessare in caso di opposizione dell’interessato.
DPO per l’e-commerce: obbligo o facoltà?
Il titolare di un sito di e-commerce è tenuto alla designazione del responsabile della protezione dei dati? La risposta dipende dai casi concreti. Vediamo perché.
Il GDPR prevede tre casi in cui la designazione del DPO da parte del titolare e del responsabile del trattamento è obbligatoria, precisamente quando il trattamento è effettuato da un’autorità pubblica o un organismo pubblico, quando i trattamenti effettuati richiedono il monitoraggio regolare e sistematico degli interessati su larga scala e, infine, quando le attività principali del titolare o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.
Scartando la prima ipotesi, in quanto si riferisce ai trattamenti svolti dalla pubblica amministrazione e da altri soggetti pubblici e, pertanto, non applicabile ai siti di e-commerce di imprese private, la designazione del DPO è obbligatoria se attraverso l’attività di e-commerce – su larga scala – gli interessati sono monitorati regolarmente e sistematicamente oppure se sono trattati dati particolari o relativi a condanne penali e reati.
Inoltre, la designazione del DPO è necessaria se il sito tratta su larga scala dati inerenti alla salute della persona, da cui possa evincersi il suo orientamento politico e religioso o le sue preferenze sessuali.
Pertanto, nel valutare l’obbligatorietà della designazione del DPO dovrà farsi riferimento anche ai prodotti che si vendono online. Ad esempio, se hai una ferramenta online verosimilmente potrai evitare la designazione del DPO, se invece hai un sexy shop online prevedere la nomina del DPO potrebbe essere sicuramente la scelta più appropriata. Ciò considerando anche che la presenza del DPO, oltre ai casi in cui è prevista come necessaria, è comunque raccomandata in taluni altri quale espressione di “accountability” del titolare, principio che permea l’intera struttura del GDPR.
E-commerce e registro dei trattamenti
È necessario avere il registro delle attività di trattamento effettuate nell’ambito di un e-commerce? La risposta è certamente si. Il GDPR prevede infatti che sono obbligati a tenere il registro le imprese o organizzazioni con almeno 250 dipendenti, oppure, indipendentemente dal numero di dipendenti, chi effettua trattamenti che possano presentare un rischio per i diritti e le libertà dell’interessato, chi effettua trattamenti non occasionali e chi effettua trattamenti di dati particolari e di dati personali relativi a condanne penali e reati.
Un e-commerce di una piccola impresa, che non impiega 250 dipendenti, farà comunque trattamenti che non possono definirsi occasionali e, pertanto dovrà tenere il registro dei trattamenti, almeno nella versione semplificata predisposta dall’Autorità garante per la protezione dei dati personali. Inoltre, come per il DPO, l’obbligo del registro deriva anche dalla tipologia di dati trattati, che sono diretta conseguenza della tipologia di beni venduti online.
Redigere e tenere aggiornato il registro delle attività di trattamento è quindi sicuramente un obbligo per il proprietario del sito di e-commerce, che opera come titolare dei trattamenti ivi svolti. Stesso obbligo graverà anche sull’eventuale sviluppatore del sito, nel caso sia soggetto diverso dal proprietario, il quale avrà il medesimo obbligo quale responsabile del trattamento.
E-commerce e DPIA: quando va effettuata
L’articolo 24 del GDPR prevede che il titolare del trattamento debba procedere alla DPIA (Data protection impact assessment) quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Essendo l’attività di e-commerce svolta esclusivamente tramite l’uso di nuove tecnologie ed essendo verosimile che, almeno per finalità di marketing, si effettui profilazione degli utenti tramite sistemi automatizzati, è opportuno che il titolare proceda alla valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali.
