E-commerce e trattamento dei dati personali
Il trattamento corretto dei dati personali è un aspetto fondamentale per una gestione ottimale del tuo sito.
Una valutazione preliminare rispetto allo svolgimento della tua attività online è stabilire quali finalità si intendono raggiungere con il trattamento dei dati personali degli utenti del sito web.
Infatti il GDPR vieta di raccogliere tutti i dati possibili in mancanza di una determinata finalità. Che deve essere esplicita e legittima ma anche adeguata, pertinente e limitata a quanto necessario per realizzare gli obiettivi dichiarati.
Un elemento di supporto per questa valutazione è avere un modello di business che permette di disegnare una mappa delle misure aziendali e mettere a fuoco gli elementi fondamentali collegandoli tra di loro.
Il modello di business è uno strumento fondamentale nel ridisegnare strategicamente la propria attività anche in un’ottica digitale.
Photo by Andrej Lišakov on Unsplash
La scelta dei partner per il trattamento dei dati
Soprattutto se hai un e-commerce un altro aspetto fondamentale nella valutazione preliminare dei dati è la scelta dei partner.
A partire dal provider fino ad arrivare al corriere a cui affidare le consegne. Infatti i partner del titolare di un e-commerce rappresentano dei contitolari o dei responsabili del trattamento con tutte le conseguenze di legge.
Il rapporto con i partner dovranno essere regolati da un contratto scritto a norma dell’art. 28 del GDPR.
Il titolare del sito web deve, inoltre, fornire le istruzioni necessarie al fine di strutturare l’attività in modo conforme alla normativa sulla protezione dei dati personali e di gestirla poi al meglio. E il partner deve informare immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il GDPR o altre disposizioni relative alla protezione dei dati.
E’ importante che il partner designato:
- adotti tutte le misure di sicurezza richieste per il trattamento di dati personali
- assista il titolare del trattamento con misure tecniche e organizzative adeguate a soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti degli utenti sito web
Trattamento dei dati a fini statistici
E’ opportuno che la scelta ricada sul partner che fornisca le migliori garanzie di protezione dei dati personali. Sia per le misure di sicurezza di cui dispone e sia per le conoscenze acquisite in questo ambito.
Facciamo un esempio.
Se il titolare di un e-commerce vuole sfruttare la possibilità di conoscere i dati statistici riguardanti il proprio sito quasi sicuramente utilizzerà il servizio di Google analytics che gli verrà consigliato dal suo partner di fiducia.
A questo punto il consulente web installerà sul sito i cookie di Google analytics che servono a scopo di statistica.
L’operazione richiede:
- un banner a norma di legge
- un consenso libero
- un’informativa corretta
- una adeguata conservazione dei dati
Photo by Mike Meyers on Unsplash
La conoscenza da parte del consulente della normativa sul trattamento dei dati personali è fondamentale.
Infatti se ci si limita alla definizione di dati personali fornita da Google (i cd. PII, personally identifiable information) invece che quella indicata dalla normativa si rischia di applicare erroneamente il GDPR. I dati personali per Google consistono nelle
informazioni che consentono l’identificazione personale quelle che possono essere utilizzate per identificare, contattare o localizzare con precisione un individuo. Queste includono: indirizzi email, indirizzi postali, numeri di telefono, posizione esatta, ad esempio le coordinate GPS, nomi completi o nomi utente
Sono esclusi i dati che descrivono ID cookie pseudonimi, ID pubblicità pseudonimi, indirizzi IP, altri identificatori dell’utente finale pseudonimi.
Ma anche questi dati sono dati personali rientranti nella definizione fornita dal GDPR. In particolare i dati pseudonimi.
L’aggettivo pseudonimo potrebbe non coincidere con la tecnica di pseudonimizzazione di cui parla il GDPR.
Inoltre, la pseudonimizzazione rappresenta già essa stessa un trattamento di dati personali. E come tale soggetto al GDPR.
Google precisa che
i dati non interpretati da Google come PII possono comunque essere considerati dati personali ai sensi del GDPR o informazioni personali ai sensi del California Consumer Privacy Act (CCPA) e potrebbero quindi essere soggetti a queste leggi
Questa formulazione può facilitare l’errore sull’individuazione della materia rientrante o meno nell’ambito di applicazione del GDPR. Così come creare dubbi sul significato di dato personale ai fini del Regolamento.
E’, quindi, fondamentale nel prendere accordi con il consulente web considerare il suo livello di competenza in ambito GDPR. E precisare sempre quali siano i dati personali presenti sul sito web e disciplinati dal GDPR.
Se questi aspetti ti interessano e li vuoi approfondire puoi leggere gli altri articoli pubblicati nella categoria GDPR.
Vuoi risolvere una tua questione legale o avere un parere sugli argomenti trattati? Prenota qui la tua consulenza.
Per tutti gli aggiornamenti segui #LexAroundMe Lascia qui il tuo commento al blog e ai servizi di LexAround.me
#Ecommerce e trattamento dei #datipersonali #GDPR #consenso #databreach #privacy #LexAroundMe Condividi il TweetChi sono:
