Nell’ambito del commercio al dettaglio, i negozi di abbigliamento presentano alcune peculiarità, che saranno qui (e in un articolo successivo) analizzate, allo scopo di evidenziare gli aspetti della gestione della normativa sui dati personali.
Censimento dei trattamenti
I negozi tipicamente non identificano i propri clienti relativamente alle semplici operazioni di vendita; l’identificazione avviene se si introducono strumenti di e-commerce e/o fidelizzazione (che a loro volta potrebbero includere una profilazione dei consumi) o forme di informazione/promozione (come le app, le newsletter o i messaggi su email o SMS/chat), ovviamente basate sul consenso, nonché servizi di prenotazione o consegna a domicilio. Sempre restando nell’ambito della clientela, è necessario considerare la possibiità che essa possa anche comprendere figure giuridiche, per cui è necessaria la memorizzazione e la conservazione dei dati necessari alla fatturazione (che nel caso di singoli professionisti, corrispondono a dati personali a tutti gli effetti).
Trattementi non sempre presenti, ma comunque comuni, sono anche la videosorveglianza, il WiFi gratuito, il tracciamento dei movimenti all’interno del negozio, e quelli legati al sito internet ed ai pagamenti digitali (carte di debito e credito, app mobili, etc).
Infine, da considerare i tradizionali trattamenti legati ai fornitori ed al personale.
Le informative
Sulla base dei trattamenti individuati, risulta evidente che l’informativa più complessa è quella relativa alla clientela. Essa dovrebbe comprendere tutte le informazioni relative ai trattamenti su descritti: fidelizzazioni, profilazioni, tracciamenti, promozioni e informazioni, pagamenti digitali, prenotazioni, consegne. L’informativa dovrebbe essere disponibile affiggendola in negozio (in prossimità della cassa potrebbe essere un buon posto) e richiamata sui moduli relativi alla raccolta del consenso per i trattamenti che lo richiedono. Nel caso si disponga anche del sito internet, si può pubblicare ed il relativo URL essere stampato (eventualmente nella forma di QR code) sulle fidelity card, o inserito nelle mail inviate (insieme ovviamente al link od al pulsante per la cancellazione dalle liste di distribuzione). Analogamente, in caso di messaggi SMS o chat, deve essere disponibile un modo semplice per la cancellazione.
Invece, è bene che le eventuali informative sulla videosorveglianza, WiFi e tracciamento dei movimenti siano separate: questo perché le persone interessate potrebbero non essere sempre anche clienti, o comunque non essere interessate a tutti questi trattamenti; nulla vieta comunque che esse possano essere richiamate, per comodità e trasparenza, nell’informativa clienti. Anche in questi casi, può essere affisse ed anche pubblicate sul sito, con il relativo URL pubblicato ove utile o necessario.
Il sito web (per la gestione dei cookies) ed eventualmente l’e-commerce devono avere un’informativa dedicata, ovviamente pubblicata sul sito stesso. Le informative per fornitori e personale possono essere messe a disposizione attraverso semplici modalità (via mail, o affisse).
Documentazione
Qualora si rimanga all’interno dei trattamenti base, la documentazione da produrre è, in generale, abbastanza semplice: Registro delle attività di trattamento (anche se in teoria obbligatorio limitatamente alle categorie particolari di dati personali, quindi tipicamente solo per i trattamenti relativi alla gestione del personale), le nomine degli addetti, le procedure aziendali o i manuali, etc.
Particolare attenzione va sempre posta per i Responsabili del Trattamento e relativi accordi sui dati personali: Commercialista, Consulente del Lavoro, Assistenza informatica e del sito, Gestione della videosorveglianza, fornitura dei software gestionali non dovrebbere presentare particolarità, mentre da valutare bene sono i fornitori dei servizi relativi all’e-commerce, ai pagamenti ed alle emissioni dei documenti fiscali, i quali presentano problematiche relative ai trattementi eventualmente aggiuntivi (es. profilazione e riutilizzo/vendita dei dati) ed alle modalità di esercizio dei diritti per la clientela.
Altri adempimenti
Sempre per quanto riguarda i trattamenti base, è facile dedurre che non è necessaria la nomina di un Responsabile Protezione Dati (DPO), né siano necessarie Valutazioni di Impatto (DPIA). Quest’ultima può comunque risultare necessaria in presenza di attività di profilazione non banali. Nel caso siano invece presenti anche trattamenti più complessi e critici (trattati in un articolo successivo), la necessità di nomina del DPO e soprattutto dell’effettuazione delle DPIA diventa piuttosto probabile.
È invece opportuno porre tutta l’attenzione necessaria, perché relative ad eventi tutt’altro che improbabili, alle procedure per la gestione delle violazioni (data breach) e delle richieste di esercizio dei diritti, in particolare la revoca dei consensi (di cui peraltro si è già accennato in precedenza).
Misure di sicurezza
Un negozio presenta criticità soprattutto per due fattori: presenza massiccia di persone “non controllate” e per la frequenza di furti (anche quando causano solo danni). Di conseguenza, l’analisi dei rischi deve tenere presente questi fattori (anche se gli impatti per gli interessati sono presumibilmente limitati, date le informazioni trattate), e quindi le misure di sicurezza devono cercare di limitare l’occorrenza di eventi sfavorevoli, per esempio attraverso il presidio ininterrotto delle casse e dei computer presenti in negozio, la conservazione dei dati su server esterni (in cloud o presso altre sedi), autenticazione e blocco delle sessioni per l’accesso ai dati o alle applicazioni, backup almeno giornalieri, sistemi di allarme.
Riguardo alle attività di marketing, è bene concentrarsi sul rispetto del principio di minimizzazione e pertinenza: in particolare, la raccolta dei dati per la fidelizzazione e per l’invio di comunicazioni commerciali o promozionali deve limitarsi alle informazioni realmente utili (per esempio, l’indirizzo di residenza o domicilio non deve essere raccolto se non si utilizza la posta ordinaria); in alcuni casi, il nome stesso del cliente può essere omesso (per esempio, per il solo invio della newsletter).
LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
