I dati personali nei siti di e-commerce

Gli e-commerce sono sistemi che permettono la vendita di prodotti (in qualche caso, anche servizi) attraverso un sito web. Il prodotto, a seconda che sia materiale o immateriale, viene spedito tramite corriere, oppure scaricato o inviato via posta elettronica. Tali sistemi hanno giocoforza diversi trattamenti di dati personali, da gestire correttamente.

Dal punto di vista dell’utente, il cuore della questione sarà rappresentato dall’informativa: per quanto vedremo, essa tenderà ad essere lunga e complessa, per cui è consigliabile un certo sforzo per renderla il più fruibile possibile (per esempio con il doppio livello, il primo dei quali molto breve e”grafico”); il link di accesso, oltre che nel banner cookies, dovrà essere disponibile in tutte le pagine (si può affiancare alle condizioni di vendita, ma è bene non integrarle insieme).

La piattaforma

Il sito di e-commerce viene implementato basandosi su una piattaforma apposita, che fornisce i servizi necessari; il negoziante lo personalizza con le informazioni sue specifiche (contatti, prodotti, prezzi, etc). Esistono moltissime piattaforme, magari molto differenti, ma sono anche molti gli elementi comuni.

Di base, sono due gli elementi da considerare: se il sito risiede su computer (server) interni all’azienda, oppure esterni (in “cloud”); e se la gestione è fatta da personale interno all’azienda, o viene affidato all’esterno. A meno che tutto sia interno (improbabile), sarà quindi necessario nominare Responsabili del Trattamento il gestore della piattaforma ed il supporto esterno (anche se è probabile che coincidano): nel far questo è necessario identificare correttamente i trattamenti affidati, che possono essere semplici (conservazione, backup, accesso per assistenza) o più complessi (analisi della navigazione, profilazione, marketing).

I trattamenti base

Per il solo fatto di essere un sito web, l’e-commerce fa uso di tecnologie standard che raccolgono dati personali: i log di navigazione e le informazioni dei cookies; in più, ci sono le informazioni necessarie alle operazioni di vendita (anagrafica e contatti del compratore, lista di acquisto). Pur non essendo dati particolarmente critici, la loro protezione non può essere troppo basilare.

Per i log di navigazione, la base giuridica è il legittimo interesse (per sicurezza informatica) o al più adempimento contrattuale (se forniscono informazioni necessarie alla gestione degli acquisti); per i cookies, a parte quelli tecnici (che includono il carrello), sempre il consenso, tramite il consueto banner; per i dati dell’utente, l’adempimento contrattuale.

La registrazione degli utenti

Obbligatoria o no, la registrazione degli utenti è indispensabile per un ecommerce. I dati raccolti o generati sono parecchi: anagrafici, di contatto, di pagamento, documenti fiscali e di trasporto, registro degli acquisti, etc. Essi sono dati solo apparentemente “semplici” e non sensibili: di fatto, incrociati o meno con altri dati, possono rappresentare informazioni da tenere assolutamente riservate, e ciò comporta un livello di protezione (e quindi misure di sicurezza) piuttosto alto.

Al di là delle misure tecniche (ma anche organizzative) per prevenire accessi indesiderati, la prima misura da considerare è la minimizzazione: sia dei dati stessi, che della loro conservazione. In questo modo, eventuali furti di dati sono limitati al minimo.

Tra le misure tecniche, riteniamo indispensabili: firewall e sistemi antiintrusione; registrazione degli accessi degli addetti e soprattutto degli amministratori di sistema; ridondanza fisica e logica dei servizi; backup regolari e controllati; crittografia del database; aggiornamenti software tempestivi.

Profilazione

La profilazione, cioè l’elaborazione di un insieme di caratteristiche comportamentali, è pratica estremamente diffusa ma anche altamente pericolosa: per questo motivo, va trattata molto attentamente.

Per prima cosa, la profilazione deve avere uno scopo, ovviamente lecito: può essere usata internamente per prevedere, e quindi anticipare, azioni future; oppure può essere semplicemente venduta ai broker che si occupano di informazioni utili al marketing. In ogni caso, la profilazione deve essere dichiarata nell’informativa privacy, e deve essere dato modo agli utenti di accedere ai propri dati ed eventualmente di cancellarli. Anche i processi decisionali automatici (es. la determinazione di un prezzo personalizzato) devono essere dichiarati insieme alla descrizione della logica e delle conseguenze del processo stesso.

I processi profilativi e decisionali automatici, ricordiamo, sono vietati a meno che non siano regolati all’interno di un contratto (e quello di vendita lo è) oppure previo consenso; nel caso di dati appartenenti alle categorie particolari, vale solo il consenso. Inoltre, questo genere di trattamento presuppone lo svolgimento di una Valutazione di Impatto (DPIA).

In conclusione, la profilazione è pratica da valutare bene nel proprio particolare contesto, perché facilmente il gioco potrebbe non valere la candela.

Marketing

Le attività promozionali di vendita sono, in generale, sottoposte a consenso (unica eccezione il cosiddetto soft spam, ossia promozioni dirette a chi è già stato cliente), e come tali richiedono particolare attenzione nella gestione dei registri dei consensi e delle richieste di revoca degli stessi. Newsletter e avvisi per la disponibilità dei prodotti sono apparentemente simili, ma non è possibile dai secondi ricavare un valido consenso per la prima; così come non è possibile usare la prima come condizione per l’accesso a particolari servizi o opzioni. Nulla cambia a seconda del mezzo utilizzato: email, SMS, whatsapp, etc., conta solo fornire un metodo semplice per la cancellazione dalle liste di distribuzione (es. risposta con testo predefinito tipo “CANCELLA”).

Se l’invio dei messaggi è demandato ad un servizio esterno, allora è necessario regolare il trasferimento di dati, attraverso una nomina a responsabile esterno o al limite con un rapporto di contitolarità (è fondamentale al riguardo leggere bene la documentazione che regola il servizio).

Quando le attività promozionali sono personalizzate, specie se collegate alla profilazione, allora si entra in un contesto in cui la nomina di DPO e le Valutazioni di Impatto appaiono obbligatorie o quantomeno altamente raccomandate.

Assistenza

L’assistenza pre o post vendita può essere fatta sia da persone (vocale o scritta) che da “bot” (solo scritta, almeno per ora). Quando la conversazione viene registrata, la registrazione rappresenta un ulteriore dato personale, che può essere trattato con base giuridica “adempimento contrattuale” e con un limite di conservazione adeguato (es. una/due settimane dopo la conclusione del periodo di recesso o dell’evento di assistenza, fatti salvi eventuali obblighi di legge); inoltre, è necessario prevedere la possibilità di ricevere una richiesta di cancellazione o, al contrario, di limitazione (caso tipico è la conservaazione oltre i limiti predefiniti in caso di contenzioso).

Nel caso il personale che fornisce l’assistenza sia esterno (es. call center), l’azienda deve essere nominata responsabile del trattamento.

Da non trascurare l’aspetto della gestione delle richieste (e degli incidenti) relative ai dati personali: canali di comunicazioni e personale dedicati (incluso un DPO) sono raccomandabili, così come la preparazione delle procedure e un’opportuna formazione degli addetti.

Privacy by design e by default

Cosa vuol dire rispettare i principi di privacy by design e by default in un sito di e-commerce? I suggerimenti sono questi:

Raccogliere solo i dati indispensabili per l’acquisto;
Non obbligare la registrazione dell’utente per effettuare un acquisto o per ricevere assistenza;
L’iscrizione ad una newsletter non deve mai essere l’opzione predefinita;
Prevedere un modo semplice ed immediato per rinunciare all’invio di offerte e disiscriversi dalla newsletter

Sono possibili invece: invio di offerte e promozioni anche agli utenti non registrati (purché abbiano finalizzato almeno un acquisto); l’invio di avvisi riguardanti l’acquisto.

Spedizioni

A parte i casi (presumibilmente pochi) in cui la consegna dell’acquisto è in capo all’azienda stessa che vende, è necessario predisporre correttamente anche il rapporto con lo spedizioniere, per il passaggio dei dati personali dei clienti, cosa ovviamete indispensabile: nello scegliere il fornitore del servizio di spedizione, oltre a criteri di costo, si dovrebbe tener conto di criteri di affidabilità e soprattutto delle garanzie contrattuali presenti, che presumibilmente già includono tale aspetto (anche in questo caso con la nomina a responsabile del trattamento o contitolarità).

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

I dati personali nei siti di e-commerce

Condividilo nel tuo Social

Post correlati

Corso GDPR for dummies – 41 – Le sanzioni per le organizzazioni

Corso GDPR for dummies – 40 – Trasferimenti fuori SEE

Corso GDPR for dummies – 39 – Trasferimenti entro SEE

Corso GDPR for dummies – 38 – Violazioni

Corso GDPR for dummies – 37 – Sicurezza degli archivi cartacei