Privacy ecommerce, come essere a norma di GDPR

L’adeguamento di un e-commerce al GDPR richiede una considerazione approfondita delle specifiche attività commerciali svolte e dei dati trattati. Mentre tutti i siti web devono rispettare il GDPR, le responsabilità per uno shop on-line sono spesso più complesse a causa della natura delle transazioni e della quantità di dati gestiti. Uno degli adempimenti obbligatori per un e-commerce, oltre la redazione dei Termini e Condizioni, è l’informativa privacy. 

Privacy e-commerce, cos’è

L’informativa privacy è un adempimento obbligatorio per tutti i negozi online.

La privacy policy di un e-commerce è un documento legale pubblicato sul sito web che descrive come l’azienda raccoglie, utilizza, divulga e gestisce i dati personali dei suoi utenti. 

Questo documento è obbligatorio ed è essenziale per informare i clienti e visitatori del sito su come vengono trattati i loro dati. 

Il suo obiettivo è garantire trasparenza e conformità alle leggi sulla privacy, come il GDPR (General Data Protection Regulation), per gli e-commerce con sede o che fanno affari nell’Unione Europea.

Informativa privacy e-commerce, perché è necessaria

Un e-commerce, per sua natura, necessita di acquisire, trattare e conservare una serie di dati personali per poter funzionare correttamente. Questi dati spaziano dai dettagli di contatto, come nome e indirizzo email, a informazioni più delicate, come indirizzi di spedizione e dettagli di pagamento.

L’acquisizione di tali dati è fondamentale per processare gli ordini, fornire assistenza al cliente, gestire resi e rimborsi e inviare comunicazioni di marketing. Tuttavia, con l’acquisizione di tali informazioni personali viene anche la responsabilità di proteggerle e di usarle in modo etico e conforme alla legge. 

Una privacy policy ben redatta fornisce chiarezza sui tipi di dati raccolti, le modalità di utilizzo e le misure adottate per garantirne la sicurezza. 

Inoltre, i clienti sono sempre più informati e desiderano sapere come vengono trattati i loro dati. Offrire trasparenza attraverso un’informativa privacy rafforza la relazione di fiducia tra l’azienda e il cliente, rendendo l’esperienza di acquisto più serena e consapevole. 

10 + 1 componenti essenziali della privacy policy dell’e-commerce

Quali sono i dati essenziali da inserire nella privacy policy per evitare il rischio di sanzioni? Noi ne abbiamo identificati almeno 10:

“Legal for Digital è una certezza. Ho avuto bisogno di una consulenza per la redazione della privacy policy del mio sito e di un contratto Smart.Mi sono confrontata con gli avvocati Vercellotti, Mariotti e Crispino e ognuno di loro è stato davvero prezioso nei suoi consigli, sono rimasta molto colpita dell’attenzione e della cura che hanno avuto nei confronti del mio piccolo progetto.Ringrazio moltissimo anche la Dott.ssa Rossi, velocissima e precisa nel rispondere a qualsiasi dubbio.”

Giada Corneli

Consulente e content writer freelance

Identificazione del titolare del trattamento

Uno degli elementi cardine di ogni informativa sulla privacy, come prescritto dal Regolamento Generale sulla Protezione dei Dati (GDPR), è l’identificazione precisa del ‘Titolare del trattamento‘. 

Ma chi è esattamente questa figura? 

Il Titolare del trattamento è l’entità, che può essere una persona fisica, una società o un’organizzazione, che stabilisce le finalità e i mezzi del trattamento dei dati personali. In pratica, è l’ente o la persona che decide il ‘come’ e il ‘perché’ i dati vengono raccolti, elaborati e utilizzati. 

Nell’ambito degli e-commerce, è essenziale che questa figura sia chiaramente identificata e descritta nell’informativa sulla privacy, in modo da offrire ai clienti e agli utenti una chiara comprensione di chi detiene e gestisce le informazioni che condividono.

Tipi di dati raccolti dall’e-commerce

Quando parliamo di e-commerce, ci riferiamo a una vasta gamma di dati personali, la cui raccolta è essenziale per la corretta esecuzione delle operazioni e per garantire un servizio efficiente al cliente. 

Ma quali sono esattamente questi dati?

Prima di tutto, abbiamo i dati fondamentali per la creazione di un account o per un acquisto come ‘ospite’. Questi includono il nome e il cognome dell’utente, l’indirizzo di spedizione, l’indirizzo e-mail e il numero di telefono. Queste informazioni sono essenziali per assicurare che il prodotto ordinato arrivi a destinazione e per poter contattare l’utente in caso di eventuali problemi o aggiornamenti sull’ordine.

Inoltre, ci sono i dati relativi ai metodi di pagamento. Questi possono includere numeri di carte di credito o debito, dettagli bancari o informazioni su altri metodi di pagamento come PayPal o bonifici bancari.

Ma non finisce qui. Un e-commerce potrebbe anche raccogliere dati relativi alle preferenze di acquisto, alla cronologia degli ordini o alle interazioni sul sito, come le pagine visitate o i prodotti visualizzati. Questi dati, seppur non sempre strettamente necessari per la conclusione di un acquisto, aiutano l’azienda a personalizzare l’esperienza d’acquisto e a offrire promozioni e prodotti mirati.

Ecco perché è fondamentale che l’informativa sulla privacy di un e-commerce specifichi con chiarezza ogni singolo tipo di dato raccolto. Questa trasparenza non solo è un obbligo legale, ma rafforza la fiducia tra il cliente e l’azienda, dimostrando impegno e responsabilità nell’ambito della protezione dei dati.

La base giuridica del trattamento dei dati nel contesto dell’e-commerce

La “base giuridica” nel GDPR indica il motivo legale per cui un’organizzazione può trattare dati personali. Nel settore e-commerce, è fondamentale avere una base giuridica per ogni trattamento di dati. Le principali basi giuridiche nell’e-commerce sono:

• Consenso: uno dei fondamenti più comuni è il consenso. Questo significa che, prima di procedere con specifiche operazioni che prevedono l’utilizzo dei dati personali del cliente (come inviare newsletter o proposte commerciali), l’e-commerce deve ottenere un’approvazione esplicita. Questa autorizzazione deve essere chiara, informata e specifica. Non si tratta semplicemente di una casella da spuntare in fondo alla pagina, ma di un vero e proprio atto consapevole da parte dell’utente.
• Contratto: molto spesso, la base giuridica del trattamento dei dati in e-commerce si fonda sulla necessità di adempiere a un contratto. Quando un cliente effettua un acquisto, fornisce determinate informazioni (come nome, indirizzo di spedizione, ecc.) che sono essenziali per l’evasione dell’ordine. In questo caso, trattare tali dati non è solo legittimo, ma necessario per assicurare che il contratto (in questo caso, l’acquisto) sia portato a termine correttamente.
• Adempimenti legali: oltre al consenso e alla necessità contrattuale, esistono situazioni in cui l’e-commerce è obbligato per legge a trattare e conservare certi dati. Pensiamo, ad esempio, alle fatture. La conservazione di queste e di altri documenti contabili è un obbligo legale, e per questo l’e-commerce deve trattare i dati in essi contenuti.

Gli e-commerce devono specificare la base giuridica nella loro informativa sulla privacy per assicurare conformità al GDPR e trasparenza verso i clienti.

Finalità del trattamento dei dati personali nell’ecommerce

La finalità indica la ragione specifica per cui un dato viene raccolto e successivamente elaborato.

Nel contesto e-commerce, questa può variare: può trattarsi della necessità di gestire e processare un ordine, garantendo che il prodotto acquistato arrivi a destinazione. Oppure, una volta ottenuto il consenso, i dati possono essere utilizzati per inviare al cliente comunicazioni di marketing mirate, offerte speciali o aggiornamenti sui prodotti. Ancora, i dati aiutano le aziende a fornire un’assistenza clienti efficace, permettendo di rispondere in modo rapido e personalizzato a ogni richiesta o problematica. È fondamentale, quindi, che l’e-commerce comunichi in maniera chiara e trasparente le finalità del trattamento, per cui il cliente è sempre consapevole e sicuro del perché e come i suoi dati vengono utilizzati.

Retention dei dati, come valutare il periodo di conservazione dati in un e-commerce

La policy dovrebbe specificare quanto tempo vengono conservati i dati prima di essere eliminati o anonimizzati.

Il termine “retention” si riferisce al periodo di tempo durante il quale un’azienda conserva i dati personali degli utenti. Non si tratta di una scelta arbitraria, ma di una decisione che deve essere basata su criteri ben precisi e in conformità con la legge sulla protezione dei dati.

Le ragioni per conservare i dati possono variare. In alcuni casi, ci sono obblighi legali che impongono la conservazione di certi dati per un periodo specifico. Ad esempio, le informazioni relative alle transazioni finanziarie spesso devono essere conservate per scopi fiscali per un determinato numero di anni.

In altri casi, la decisione sulla durata della conservazione può dipendere da esigenze operative o commerciali. Per esempio, un e-commerce potrebbe decidere di conservare i dati di un cliente per un periodo di tempo che considera adeguato per la gestione post-vendita, come resi o garanzie.

Tuttavia, è fondamentale che ogni decisione riguardo alla retention sia accompagnata da una giustificazione valida. Non è ammissibile conservare dati “per ogni evenienza” o senza una ragione concreta. Inoltre, una volta che la ragione per la quale i dati sono stati conservati non è più valida o il periodo di retention è scaduto, questi dati devono essere eliminati o anonimizzati.

Per determinare il periodo di retention appropriato, gli e-commerce dovrebbero:

1. Valutare la natura dei dati raccolti.
2. Considerare gli obblighi legali e regolamentari a cui sono soggetti.
3. Ponderare le esigenze operative e commerciali.
4. Effettuare revisioni periodiche delle politiche di retention per assicurarsi che siano ancora pertinenti.

Infine, è essenziale comunicare chiaramente agli utenti per quanto tempo i loro dati saranno conservati e per quali motivi, garantendo sempre la massima trasparenza e coerenza con le normative vigenti.

Modalità di trattamento dei dati personali

Cioè l’insieme di processi e procedure progettati per gestire, archiviare e proteggere le informazioni dei clienti:

• In primo luogo, i dati vengono elaborati: ciò significa che vengono analizzati e utilizzati per le specifiche finalità per le quali sono stati raccolti, che potrebbero andare dalla semplice elaborazione di un ordine all’invio di comunicazioni di marketing personalizzate.
• La fase successiva riguarda l’archiviazione. I dati personali sono conservati in database sicuri, che potrebbero essere sia fisici sia digitali. È essenziale garantire che questi database siano protetti da accessi non autorizzati. Ciò può essere realizzato attraverso misure come la crittografia, che rende i dati illeggibili senza una chiave specifica, o l’uso di firewall e altri sistemi di sicurezza informatica.

Diritti degli utenti

Nell’ambito della protezione dei dati personali, il GDPR ha introdotto una serie di diritti fondamentali per gli utenti, con lo scopo di dare loro maggiore controllo sui propri dati. Ecco una panoramica di questi diritti:

1. Diritto di accesso: l’utente ha il diritto di sapere quali dati sono trattati, perché e come vengono utilizzati. Può richiedere una copia dei dati che l’e-commerce detiene su di lui.
2. Diritto di rettifica: se un utente ritiene che i dati conservati non siano corretti o aggiornati, ha il diritto di chiederne la correzione.
3. Diritto di cancellazione (o diritto all’oblio): l’utente può chiedere la cancellazione dei suoi dati quando, ad esempio, questi non sono più necessari rispetto alle finalità per le quali sono stati raccolti.
4. Diritto di opposizione: gli utenti possono opporsi al trattamento dei loro dati per determinate finalità, come il marketing diretto.

Ogni e-commerce ha l’obbligo non solo di informare gli utenti su questi diritti, ma anche di implementare procedure efficaci per rispondere alle richieste.

Gestione delle richieste di cancellazione dei dati

Uno dei diritti centrali previsti dal GDPR è quello per cui l’interessato al trattamento può richiedere la cancellazione dei propri dati. Questa richiesta, conosciuta anche come “diritto all’oblio“, ha suscitato molte discussioni nell’ultimo anno e diversi e-commerce si sono trovati impreparati a fronteggiarla. 

Se un cliente dell’e-commerce chiede la cancellazione dei suoi dati, la prima cosa che deve fare l’azienda è valutare la natura e le finalità per le quali tali dati sono stati raccolti. 

In particolare, se i dati sono stati raccolti per finalità contrattuali, come per evadere un ordine, o per finalità fiscali, come la conservazione di fatture per rispettare obblighi di legge, l’e-commerce ha l’obbligo di trattenere questi dati per il periodo richiesto dalla legge o finché è necessario per le finalità contrattuali. In questi casi, la cancellazione dei dati non può essere eseguita, anche se richiesta dall’utente.

Per tutti gli altri dati che non rientrano in queste categorie, se un utente esercita il suo diritto di cancellazione, l’e-commerce deve procedere con la cancellazione in modo tempestivo, assicurandosi di rimuovere o anonimizzare tutte le informazioni pertinenti e confermando all’utente che la cancellazione è stata completata.

Ecco come procedere:

1. Conferma dell’identità: prima di procedere con la cancellazione, è fondamentale verificare l’identità dell’utente che fa la richiesta, per evitare frodi o abusi.
2. Valutazione della richiesta: bisogna valutare se la richiesta rientra nei casi in cui l’utente ha effettivamente il diritto alla cancellazione. Ad esempio, se ci sono obblighi legali che impongono la conservazione dei dati (come ragioni fiscali), la richiesta potrebbe non essere accolta.
3. Esecuzione: se la richiesta è valida, l’e-commerce deve procedere alla cancellazione dei dati nel minor tempo possibile e comunque entro un mese dalla richiesta.
4. Comunicazione: una volta effettuata la cancellazione, bisogna informare l’utente che la sua richiesta è stata eseguita. Se la cancellazione non è possibile per ragioni legali o altre eccezioni previste dal GDPR, bisogna informare l’utente spiegando il motivo.
5. Documentazione: conservare una traccia delle richieste gestite può essere utile per dimostrare la conformità alle normative in caso di controlli.

Per evitare incomprensioni, è buona pratica per gli e-commerce chiarire nelle loro informative sulla privacy le circostanze in cui i dati potrebbero essere conservati anche dopo una richiesta di cancellazione, in modo che gli utenti siano pienamente informati dei loro diritti e delle limitazioni di questi diritti

Condivisione dei dati con terze parti

Nel contesto dell’e-commerce, la condivisione dei dati con entità terze è una prassi piuttosto comune. Tuttavia, il GDPR impone regole rigorose su come questi dati vengono condivisi e su come gli utenti vengono informati di tale pratica.

1. Perché si condividono i dati?

L’e-commerce, per natura, si basa su una serie di servizi che spesso sono esternalizzati. Pensiamo, ad esempio, ai fornitori di servizi di pagamento: quando effettuiamo un acquisto online, i nostri dati di pagamento sono processati non direttamente dal negozio online, ma da intermediari specializzati, come PayPal o le banche. Allo stesso modo, le piattaforme di marketing digitale possono aiutare l’azienda a gestire campagne pubblicitarie, e per farlo potrebbero necessitare di alcune informazioni sull’utente.

2. Chiarezza e trasparenza

Qualsiasi e-commerce che decide di condividere dati con terzi ha l’obbligo di informare chiaramente l’utente. Nell’informativa privacy dell’e-commerce non si può essere generici limitandosi a menzionare che i dati vengono condivisi, ma abisogna specificare chi sono questi terzi, quali dati vengono condivisi e per quali finalità. Se, ad esempio, i dati dell’utente vengono condivisi con una piattaforma di marketing per inviare pubblicità mirata, ciò deve essere esplicitamente indicato.

3. Sicurezza nella condivisione

La condivisione dei dati deve avvenire in maniera sicura. L’e-commerce dovrebbe garantire che le terze parti rispettino standard di sicurezza adeguati e che i dati non vengano ulteriormente condivisi senza autorizzazione. È consigliabile, per l’e-commerce, stipulare accordi scritti con queste terze parti, stabilendo le responsabilità e gli obblighi legati al trattamento dei dati.

4. Diritto di opposizione

Gli utenti hanno il diritto di opporsi alla condivisione dei loro dati con terze parti, in particolare quando questa condivisione avviene per finalità di marketing. L’e-commerce deve prevedere meccanismi semplici e intuitivi per consentire agli utenti di esercitare questo diritto. Anche questo aspetto deve essere specificato nell’informativa privacy del negozio.

Cookie policy estesa 

La cookie policy spesso è inclusa nella privacy e-commerce. La sua funzione è quella di spiegare come vengono utilizzati i cookie o altre tecnologie di tracciamento, e fornire informazioni su come gli utenti possono gestire o rifiutare i cookie.

Contatti

Nella privacy policy dell’e-commerce bisogna fornire informazioni su come gli utenti possono contattare l’azienda per domande o preoccupazioni relative alla privacy.

Informazioni sul DPO nella privacy policy dell’e-commerce

Se un e-commerce ha nominato un DPO, c’è un 11esimo punto da inserire nella privacy policy: i dati di contatto del DPO, inclusi nome, indirizzo e-mail e numero di telefono.

Non tutte le aziende hanno l’obbligo di nominare un DPO. Per gli e-commerce, questa necessità può sorgere in situazioni in cui vi è un trattamento su larga scala di categorie particolari di dati (come dati sensibili) o di dati personali relativi a condanne penali e reati. Inoltre, se le principali attività dell’e-commerce implicano operazioni di trattamento che, per loro natura, ambito e/o finalità, richiedono un monitoraggio regolare e sistematico degli interessati su larga scala, la nomina del DPO diventa obbligatoria.

Per finire, è buona pratica precisare che la policy potrebbe essere aggiornata e specificare come gli utenti verranno informati in caso di modifiche significative.

Privacy policy e-commerce: presa visione vs. consenso esplicito

È importante precisare che, contrariamente a quanto spesso si crede, per l’informativa sulla privacy dell’e-commerce non è richiesto acquisire esplicitamente il consenso degli utenti. La privacy policy rappresenta un’esplicita spiegazione di come vengono trattati i dati personali e dei diritti degli utenti in merito alla privacy, e la sua disponibilità è di per sé sufficiente a garantire trasparenza e conformità normativa. Tuttavia, è essenziale assicurarsi che gli utenti possano facilmente accedere e prendere visione dell’informativa. Conservare una traccia della disponibilità dell’informativa è consigliabile per dimostrare la conformità legale in caso di verifiche. 

Sanzioni per violazione privacy e-commerce

In base al GDPR, l‘informativa sulla privacy deve essere chiara, trasparente e facilmente accessibile. Se un e-commerce non fornisce un’informativa adeguata, o se questa è formulata in modo ambiguo o fuorviante, può essere soggetto a sanzioni. 

Il mancato rispetto di tali obblighi può portare a multe che vanno fino a 10 milioni di euro o al 2% del fatturato globale annuo dell’azienda, a seconda di quale importo sia maggiore.

Le violazioni della privacy dell’e-commerce possono includere, ad esempio, l’omissione di informazioni essenziali come le finalità del trattamento dei dati, i diritti degli interessati, o i periodi di conservazione dei dati. 

Inoltre, se l’e-commerce tratta dati particolarmente sensibili senza un adeguato consenso o senza una base giuridica valida, le sanzioni potrebbero essere ancora più severe.

È fondamentale sottolineare che, al di là delle penalità economiche, le violazioni in materia di privacy possono danneggiare gravemente la fiducia dei clienti. Una volta perduta, questa fiducia è difficile da riconquistare. Pertanto, un approccio proattivo e attento alla privacy non solo previene rischi legali, ma protegge anche il valore del brand e la fedeltà dei clienti.

Cosa può fare per te Legal for Digital

Per l’’e-commerce, avere una privacy policy solida e conforme non è più un mero obbligo legale, ma un punto di forza strategico. 

E chi meglio di “Legal for Digital” può comprenderlo? 

Il nostro studio, composto da avvocati esperti in diritto del web, si distingue per un approccio innovativo che non si ferma alla semplice redazione di documenti legali. 

Una delle peculiarità di Legal for Digital sta nel fatto che non parliamo in “legalese”. Al contrario, riusciamo a tradurre le complesse normative in un linguaggio chiaro e accessibile, rendendo la privacy policy dell’e-commerce non solo un documento di conformità, ma anche un elemento di fiducia per il cliente finale.

Ciò che veramente rende unico lo studio Legal for Digital è la capacità di unire la legalità e la strategia di marketing. Questa fusione permette alle aziende di navigare con sicurezza nel mondo digitale, garantendo non solo la conformità alle leggi, ma anche un vantaggio competitivo nel mercato. La nostra esperienza non è teorica: abbiamo gestito gli aspetti legali di brand conosciuti e di grandi marketers, contribuendo al consolidamento della loro reputazione come leader di settore.
Per chi desidera crescere nel digitale, scegliere Legal for Digital significa non solo proteggersi, ma anche progredire con visione e strategia.

Brunella Martino

Avvocato specializzato in privacy e proprietà intellettuale con 15 anni di esperienza, DPO, arbitro in materia societaria, autrice Flaccovio Editore, formatrice aziendale, socia FederPrivacy, segretario dell'Aiga sezione Lucca e componente Aiga nazionale Dipartimento Diritto delle nuove tecnologie

Altri articoli in gdpr che potrebbero interessarti

Visualizza tutti gli articoli

⚖️ GDPR per siti web: cosa fare in pratica

21 Aprile 2020

Per GDPR per siti web si intendono tutti quegli adempimenti a cui è tenuto chi tratta dati personali attraverso il sito internet di cui è titolare.

Leggi altro

⚖️ Prendersi cura delle note legali sito web, tramite privacy e cookie policy

12 Dicembre 2022

Le note legali al sito web sono banalmente una risposta obbligata alla richiesta di trasparenza posta del regolamento GDPR. Un professionista titolare di P.IVA e una società, che decidano di aprire ciascuno il proprio sito web, hanno l’obbligo di comunicare le  rispettive informazioni legali in modo che qualsiasi utente possa accedervi ed eventualmente effettuare un controllo in rete a riguardo. 

Leggi altro

⚖️ GDPR email marketing: come non sbagliare

21 Maggio 2020

Per fare e-mail marketing performante bisogna profilare gli utenti e utilizzare la loro e-mail. Entra quindi in gioco il GDPR. Si può ancora fare DEM?

Leggi altro