GDPR: tutte le risposte alle vostre domande

Il “GDPR”, o nuovo Regolamento Privacy, entrerà in vigore il 25 maggio 2018.

Da parecchi mesi su internet si leggono articoli che affrontano la novità normativa sotto diversi profili, ma sono pochi quelli che hanno dedicato specifica attenzione ai siti di ecommerce e, pertanto, è probabile che abbiate ancora alcuni dubbi.

Per evitare che arriviate impreparati il giorno di entrata in vigore del GDPR, abbiamo ritenuto opportuno pubblicare in questo articolo le domande più frequenti che ci avete rivolto per email, con le relative risposte.

1. Devo modificare l’informativa privacy e cookie pubblicate sul mio ecommerce?

L’informativa privacy dovrà essere necessariamente modificata. Il GDPR pone alcuni nuovi obblighi informativi per il vostro sito di ecommerce; in particolare, l’informativa dovrà indicare:

1. il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

2. che gli utenti godono della portabilità dei dati (vale a dire il diritto di trasmettere i dati personali a un altro titolare del trattamento senza impedimenti da parte del vostro sito di ecommerce);

3. il diritto dell’utente di proporre reclamo a un’autorità di controllo;

4. il diritto dell’utente di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

5. la logica utilizzata per “profilare” gli utenti, nonché l’importanza e le conseguenze di tale trattamento.

Per “profilazione” si intende “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica” (v. art. 4, comma I, numero 4, del GDPR).

Con particolare riferimento al settore dell’ecommerce, possiamo affermare che se tramite il vostro sito inviate comunicazioni pubblicitarie personalizzate ai vostri clienti in base agli acquisti effettuati da questi ultimi (es.: inviate pubblicità sulle vostre borsette a colori alle clienti che hanno acquistato in precedenza questo tipo di articolo) allora state effettuando una attività di “profilazione” in quanto create un “profilo” di ciascuno dei vostri utenti.

In questo caso, nella informativa privacy dove, in particolare, indicare la logica sottesa a questa particolare forma di trattamento dei dati personali – ad esempio, potreste informare i vostri utenti che la logica sottesa alla profilazione dipende dai precedenti acquisti effettuati sul sito. 

Informate i vostri utenti che la logica sottesa alla profilazione dipende dai precedenti acquisti effettuati sul sito.

L’informativa cookie, invece, non deve essere modificata, posto che il GDPR non si occupa di cookie.

In breve: sì, dovete modificare l'informativa privacy.

2. Come proprietario di un sito di ecommerce, sono obbligato a nominare “responsabile del trattamento dei dati” la web agency che gestisce il sito?

Per “responsabile del trattamento” si intende la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Con specifico riferimento all’ambito ecommerce la persona fisica o giuridica che tratta dati personali per conto del titolare del trattamento (il proprietario del sito di ecommerce) è innanzitutto la web agency che gestisce il sito, qualora esistente.

Infatti, di solito, la web agency che ha creato il sito di ecommerce offre al titolare del sito anche il servizio di gestione della piattaforma e, pertanto, si trova a trattare i dati personali degli utenti del sito stesso (es.: generalità, email, indirizzi di spedizione).

In questo caso, il titolare del sito deve nominare, con uno specifico contratto, la web agency quale “responsabile del trattamento” ai sensi dell’art. 28 del GDPR.

La nomina a responsabile dovrà essere redatta alla luce di quanto previsto dall’art. 28 del GDPR, il quale, in particolare, prevede che nella nomina il responsabile del trattamento (nel nostro caso, la web agency), si impegni a:

1. trattare i dati personali degli utenti del sito soltanto su istruzione documentata del titolare del trattamento (il titolare del sito web);

2. adottare le specifiche misure di sicurezza previste dal GDPR all’art. 32;

3. cancellare o a restituire tutti i dati personali degli utenti (su scelta del titolare del sito web), dopo che è terminato il contratto di gestione del sito web, impegnandosi a cancellare le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati;

4. garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.

Inoltre, la nomina a responsabile del trattamento dovrà indicare specificatamente i dati personali trattati dal responsabile, la durata e la finalità del trattamento.

3. Quali sanzioni rischio se non rispetto il GDPR?

Il mancato rispetto della normativa del GDPR può costare molto caro in termini di sanzioni pecuniarie: fino a 10.000.000 di Euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Ovviamente, l’entità della sanzione deve essere proporzionata ad alcuni fattori, in particolare la gravità e la durata della violazione.

Non solo.

Il Garante per la protezione dei dati personali è titolare di poteri correttivi particolarmente invasivi che prevedono, tra gli altri, la possibilità di limitare o vietare un trattamento effettuato illecitamente.

In questa ipotesi, le conseguenze economiche possono essere anche più gravi di quelle derivanti da una sanzione amministrativa. L’impossibilità di effettuare un trattamento potrebbero comportare, ad esempio, la sospensione dell’erogazione di un servizio verso i clienti, con le conseguenti possibili cause legali da parte di questi ultimi.

Inoltre, i provvedimenti sanzionatori del Garante sono pubblici e visionabili sul relativo sito istituzionale; pertanto, dovete anche prendere in considerazione il “danno reputazionale” derivante dalla conoscenza della sanzione da parte di terzi… 

4. La mia società ha sede negli USA e tramite il mio sito internet (che ha estensione “.us”) vendo in gran parte a statunitensi. Il sito, però, ha le pagine tradotte anche in italiano, inglese e francese e gli utenti che parlano queste lingue possono effettuare acquisti senza problemi. Devo rispettare il GDPR anche se, di fatto, il sito internet non è europeo e si indirizza ad una clientela in gran parte statunitense?

L’art. 3 del GDPR prevede che il Regolamento si applichi anche a società non aventi sede nell’Unione europea che effettuino, però, attività di trattamento di dati personali riferite all’offerta di beni o servizi ad utenti che si trovino nell’Unione europea.

Il GDPR ci aiuta a capire cosa debba intendersi per “offerta di beni e servizi”, precisando come esempio che l’uso di una lingua o di una moneta abitualmente utilizzata in uno o più Stati membri, con la possibilità di ordinare beni e servizi in tale altra lingua può evidenziare l’intenzione di una società di offrire beni o servizi agli interessati nell’Unione.

Pertanto, se tramite il sito – sebbene gestito da una società extra-europea e avente estensione “.us” – gli utenti europei sono messi in condizione, usando la loro lingua e moneta, di ordinare beni e servizi, la società dovrà adempiere agli obblighi del GDPR; ciò, allo scopo principale di evitare che i cittadini europei siano privati della normativa a tutela della propria privacy.

In breve: sì, dovete rispettare la nuova normativa GDPR anche se il vostro sito non è europeo e si rivolge a una clientela principalmente extra-comunitaria.

5. Perché dovrei investire tempo e soldi per adeguare il mio sito al GDPR? Tanto il rischio di sanzioni è quasi inesistente.

La risposta più immediata a questa domanda potrebbe essere questa: adeguarsi al GDPR rappresenta un obbligo di legge che, in quanto tale, deve essere rispettato.

Ad ogni modo, ci sono ragioni di opportunità che dovrebbero “invogliarvi” a rispettare gli obblighi del GDPR:

1. il Garante della Privacy svolge effettivamente (da sempre) delle indagini a campione le quali, ogni 6 mesi, si traducono in report e indagini conoscitive (per un esempio di indagine conoscitiva, clicca qui). Successivamente a queste indagini il Garante può decidere di far partire autonomi procedimenti sanzionatori nei confronti dei siti che non rispettano la normativa sulla privacy;

2. ecommerce significa “visibilità”: basta la segnalazione di un utente che lamenti la violazione dei propri diritti privacy per far iniziare un procedimento innanzi al Garante Privacy;

3. adeguarsi al GDPR può rappresentare anche un vantaggio competitivo nei confronti delle società che invece trascurano la privacy dei propri utenti i quali, invece, vedranno di buon occhio i merchant che prendono sul serio la tematica privacy (es.: privacy policy del sito redatta in modo corretto, formule del consenso coerenti con le finalità del sito; assenza di “spamming” ecc.);

In breve: perché è la legge, e mettersi in regola è d'obbligo.

6. Ho letto che una delle principali novità del Regolamento Privacy è l’obbligo di tenere un “registro dei trattamenti”. La società tramite la quale gestisco il mio ecommerce, però, è relativamente piccola (10 dipendenti): sono obbligato a tenere il registro?

L’art. 30 del GDPR prevede che ogni titolare del trattamento debba tenere “un registro delle attività di trattamento” svolte sotto la propria responsabilità.

Questo registro deve contenere importanti informazioni quali, ad esempio:

L’obbligo di tenere il registro non si applica alle imprese con meno di 250 dipendenti, a meno che

1. il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato,

2. il trattamento non sia occasionale o includa il trattamento di dati sensibili (i dati che rilevano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, i dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona),

3. i dati personali relativi a condanne penali.

Ad eccezione delle società con più di 250 dipendenti (che, come abbiamo appena visto, sono in ogni caso obbligate alla tenuta del registro), nella prassi è difficile che dalla attività di un sito di ecommerce derivi (addirittura) un rischio per i diritti e le libertà degli utenti, oppure che un sito di ecommerce tratti dati sensibili (ci sono però delle eccezioni: si pensi ai siti che vendono medicinali online) o dati relativi a condanne penali.

Tutto ciò, però, non significa che un sito di ecommerce “classico” (quindi con meno di 250 dipendenti, che non tratta dati sensibili o giudiziari, dalla cui attività non derivi un rischio per i diritti e le libertà dell’interessato) sia esonerato dall’obbligo di tenere un “registro dei trattamenti”.

Infatti, un elemento cardine del GDPR è il principio di “accountability” (responsabilizzazione nella traduzione italiana), in base al quale il titolare del trattamento debba mettere in atto (nonché riesaminare ed aggiornare) adeguate misure tecniche ed organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina.

È ragionevole ritenere che tra queste “misure organizzative” vi sia anche la tenuta di un “registro” che indichi le attività di trattamento dei dati personali effettuato dal titolare.

Il consiglio a tutti i titolari di un sito di ecommerce, pertanto, è il seguente: anche se per la vostra attività non sareste obbligati a tenere un registro, è meglio redigere e tenere aggiornato un documento contenente tutte le informazioni di cui all’art. 30 del GDPR (sopra riassunte).

L’utilità di un simile adempimento? E’ presto detto:

• avrete sempre il “polso della situazione” in merito alla vostra attività di trattamento dei dati personali;
• potrete dimostrare ai vostri clienti di essere operatori “virtuosi” in ambito privacy;
• nell’ipotesi di un controllo da parte del Garante Privacy sarà agevole dimostrare di essere stati particolarmente scrupolosi nella osservanza degli obblighi imposti dal Regolamento Privacy.

NOTA BENE: Questo articolo è solo a scopo informativo e non ha valore di consulenza legale o professionale. Si prega di consultare un commercialista o avvalersi di una consulenza legale indipendente per informazioni specifiche relative alle vostre circostanze e al vostro paese di residenza. Shopify declina ogni responsabilità per l'utilizzo di queste informazioni.