In tempi di lockdown da coronavirus, per molti piccoli commercianti l’unica possibilità di lavoro è costituita dalla consegna a domicilio. Purtroppo, questa pur semplice (in generale) pratica ha impatti dal punto di vista del modello organizzativo privacy: infatti, per tutti quei casi in cui la vendita normalmente avveniva in forma anonima (fatte salve le eventuali carte di fedeltà o simili), la consegna a domicilio introduce il nuovo trattamento dell’identità del cliente.
Consegna diretta
A norma del principio di minimizzazione, i dati trattati dovrebbero essere:
- Un nominativo;
- L’indirizzo di consegna;
- Un contatto telefonico per le eventuali comunicazioni necessarie;
- Un indirizzo email se l’ordine arriva tramite questo canale.
Non si faccia l’errore di considerare questi dati come insignificanti: ce n’è abbastanza, soprattutto se incrociati con altri dati, per un furto di identità, quindi le precauzioni sono indispensabili (come sempre, del resto). Quindi, dal punto di vista delle misure di sicurezza, si devono trovare le modalità per fare in modo che tali dati non vengano a conoscenza di coloro che non ne hanno necessità (soprattutto ciò vale al di fuori del negozio), e che non vengano utilizzati per altre finalità (marketing e promozioni sono le ipotesi più probabili) se non esplicitamente consentito, o in ossequio al principio di soft spam.
Dopodiché, è comunque necessario aggiornare la documentazione: come minimo Registro dei Trattamenti, informativa, analisi dei rischi, nomine ed istruzioni degli addetti coinvolti. Per quanto riguarda l’informativa, è indispensabile che venga messa a disposizione dei clienti, ed ogni realtà deve trovare il modo più semplice per farlo. Se si ha un sito a disposizione, può essere pubblicata e il relativo URL può essere messo sulla ricevuta/scontrino, oppure nell’eventuale mail di conferma ordine; o anche ricordato a voce nel momento della telefonata dell’ordine o della consegna. Se non si ha il sito, si può allegare un file alla mail; o ancora, a voce o ancora sulla mail si può ricordare che i dati personali saranno trattati al solo scopo di permettere la consegna a domicilio e che l’informativa completa può essere richiesta al titolare.
Sito di e-commerce
Una modalità sicuramente più complessa, almeno per le piccole realtà (per quelle medio-grandi può al contrario rappresentare un’opportunità importante), è quella di utilizzare un sito di commercio elettronico, e prevedere la consegna tramite posta o corriere. La scelta della piattaforma è il primo e forse più importante passo: occorre valutare bene le funzionalità e la loro conformità alle proprie necessità, oltre poi ad analizzare la documentazione relativa alla privacy (infatti il gestore della piattaforma si configura come Responsabile del Trattamento, e come tale necessita della nomina che però quasi sisucramente è già inserita nella documentazione contrattuale). Il rischio è che il costo del servizio sia proposto artificiosamente basso se la piattaforma stessa effettua per suo conto trattamenti di profilazione e marketing, tipicamente per conto terzi; e ciò va tenuto debitamente in conto.
Una volta impostato il sito, come nel caso precedente, va aggiornata la documentazione; in questo caso, è bene che l’informativa sia pubblicata sul sito stesso, e che tutti gli eventuali consensi siano richiesti correttamente (con il rifiuto come impostazione predefinita).
LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
