GDPR e E-commerce: quali aspetti considerare prima di aprire un negozio online

03 giugno 2021Ultimo aggiornamento 28 novembre 2024
Tempo di lettura stimato: 6'
La privacy e la protezione dei dati personali sono vitali per ogni progetto di e-commerce e coinvolgono diversi aspetti della sua gestione, anche i rapporti e i contratti con fornitori esterni. Negli ultimi anni in Italia, l’e-commerce è un mercato che ha continuato a crescere: secondo i dati 2019 raccolti da The European House Ambrosetti, coinvolge circa 680mila imprese, ovvero piuÌ€ di un terzo (34,0%) del totale delle imprese di capitali in Italia.


Molti imprenditori hanno deciso di aprire un canale di vendita online, ma hanno le idee poco chiare su quali siano gli adempimenti normativi per la privacy ai quali devono adeguarsi. Vediamo quali sono alcuni punti fondamentali per essere sicuri di rispettare il GDPR nella gestione dell’e-commerce e qual è il ruolo del consulente privacy in questi casi.


L’e-commerce è un progetto complesso 

Quando pensiamo a un e-commerce, dal punto di vista della privacy, la prima cosa che ci preoccupa è in genere la raccolta di dati sui quali verrà condotta una data analysis ai fini del marketing. Ci sono, però, molti altri aspetti importanti da considerare, che riguardano la gestione fiscale e societaria, così come la contrattualistica. 

L’e-commerce, infatti, è un ecosistema complesso: realizzarlo e gestirlo coinvolge diversi servizi, non solo digitali, come le società di consulenza, l’attività di customer care, le agenzie di comunicazione, i designer, i sistemi di prevenzione delle frodi, l’utilizzo di cloud computing e piattaforme di e-commerce. Non solo: ci sono dei servizi che completano l’esperienza di acquisto, come i sistemi di pagamento, la contrattualistica con la logistica e con il packaging. Dobbiamo infine considerare il content management (la gestione dei contenuti dell’e-commerce) e la piattaforma da utilizzare. 

Il ruolo del consulente della privacy nel progetto di e-commerce

Se decidi di aprire un canale di vendita online, per prima cosa dovresti rivolgerti al tuo consulente per la privacy. In questo modo, potrete definire fin da subito tutti gli aspetti che riguardano la gestione dei dati e della privacy. Molte volte, infatti, soprattutto nelle realtà medio-piccole, accade che qualcosa venga tralasciato.
 
Un esempio? Hai deciso di affidare il progetto a una web agency - un responsabile esterno, che deve essere verificato - diversa da quella che gestisce il tuo sito, perché li conosci o te ne hanno parlato bene. Può succedere, però, che questa agenzia ti invii soltanto un ordine, invece di un vero e proprio contratto di consulenza o fornitura del servizio. In genere, in questi casi, non viene firmato neppure un accordo per la protezione dei dati: ciò significa che non c’è alcuna regolamentazione del rapporto, non solo dal punto di vista della privacy, ma dal punto di vista civilistico!

È un po’ come partire zoppi, e poi rimettere le cose a posto non è sempre facile. Alcuni imprenditori, purtroppo, coinvolgono il consulente della privacy solo a cose fatte, quando hanno già dato l’ok per il progetto, ad esempio, magari sulla base del famoso “ordine”. Il ruolo dell’esperto, invece, è proprio quello di garantire che ogni passaggio venga effettuato in modo corretto: in questo caso, quindi, per prima cosa farà in modo di ottenere un contratto dalla web agency. 

Quale piattaforma scegliere? 

Ottenuto il contratto, il passo successivo è parlare con l’agenzia per capire se l’e-commerce sarà creato ab origine o tramite piattaforme di marketplace, come Shopify, per esempio. 
Cosa cambia? Moltissimo. La prima soluzione ha costi elevati, ma può essere modellata a seconda delle esigenze. Spesso, però, le piccole e medie imprese si orientano in genere sulla seconda, perché più economica. Delle piattaforme parleremo più avanti, perché ci sono molte differenze tra le due tipologie, quando si tratta di privacy e GDPR.

Attenzione, però. Questo non vuol dire che una scelta sia meglio dell’altra, a priori: bisogna sempre contestualizzare il progetto all’interno delle attività aziendali e capire se vale la pena fare un investimento più elevato. Il rischio è di non poterlo mantenere, e avere, dopo qualche mese, un e-commerce zombie che porterebbe solo problemi. Ma lo vedremo più avanti. 

Per adesso, andiamo per ordine e definiamo quali sono gli altri passi necessari perché il tuo shop rispetti i requisiti.

Definire il team: chi tratterà i dati? 

Su un progetto di e-commerce lavorano molte persone: per questo bisogna definire il team esterno - che di solito è formato dai consulenti privacy sostenuti da un legale - e il team interno. In quest’ultimo rientrano tutti i soggetti che avranno a che fare con lo shop e i dati, per esempio il marketing e l’amministrazione, e tra loro dovrà essere nominato un responsabile esterno. Molti e-commerce, inoltre, in particolare quelli più grandi, sono gestiti in partnership da più aziende, e in questo caso può essere necessario un accordo di co-titolarità. I dipendenti che opereranno sull’e-commerce e sui dati personali raccolti, inoltre, devono essere autorizzati. I ruoli a cui abbiamo accennato devono essere formalizzati attraverso accordi scritti.

Dopo la definizione del team bisogna definire il flusso, che in genere viene dato dall’agenzia di comunicazione. 

Il rispetto del GDPR

Quando si implementa un e-commerce sul sito bisogna modificare la privacy policy o, in alcuni casi, crearne di nuove. A seconda del progetto di marketing, possiamo avere diverse casistiche, che a volte richiedono policy stratificate.


Torniamo a parlare di piattaforme preconfezionate, come Shopify per esempio, sulle quali a volte il cliente può addirittura lavorare da solo. Se hai scelto questa via, però, ricordati che prima di andare oltre bisogna comprendere se la piattaforma dà la possibilità di adeguare quell’e-commerce al GDPR! È possibile, per esempio, inserire le checkbox che si utilizzano per la newsletter? La raccolta dei dati avviene nel modo corretto?

Il sito, infatti, è la vetrina dell’azienda: si capisce perfettamente quando non è compliant con il GDPR e per il consumatore non è credibile. Un progetto di e-commerce deve quindi unire le esigenze della user experience alla protezione dei dati personali. Il consulente privacy deve validare il progetto presentato dall’agenzia, verificare che siano rispettati i principi della trasparenza, della limitazione, minimizzazione, conservazione dei dati personali e occuparsi anche di come questi dati saranno cancellati. L’articolo di riferimento, in questo caso, è l’art. 5 del GDPR.

Perché adottare una piattaforma di cookie management

A questo punto, può essere utile ricordare quali caratteristiche deve avere l’e-commerce a livello legale e come protezione dei dati
  • presentare i termini e le condizioni di servizio
  • presentare le condizioni generali di vendita, con riferimento a normativa privacy e informativa privacy estesa 
  • avere una cookie policy
Concentriamoci su quest’ultimo aspetto, perché molte volte la web agency installa dei cookie che non sono utilizzati: per esempio, accade spesso con quelli di Google Analytics, generati dal profilo che in genere l’azienda ha ma non è detto che utilizzi. Ricorda, a riguardo, che se non sono anonimizzati, anche questi cookie richiedono un banner! 

DPO e Consulenti privacy non conoscono i cookie installati sul sito, possono però richiedere un’analisi. Il mio consiglio è sempre quello di adottare una piattaforma di cookie management, che genera un’analisi e un report in modo automatico. In questo modo, si può sapere quali sono i cookie presenti sul sito ed eventualmente far cancellare quelli che non servono o che non sono utilizzati.
 
Di recente, il Garante della Privacy ha avviato una consultazione pubblica sulle “Linee guida sull’utilizzo di cookie e altri sistemi di tracciamento” (26 novembre 2020), facendo riferimento in particolare allo scrolling e al cookie wall, due modalità di raccolta. Su questo discorso, però, dovremmo riaggiornarci, perché l’esito della consultazione pubblica non è stato ancora reso noto. Tutto ciò che riguarda i cookie, inoltre, sarà affrontato anche nel Regolamento E-Privacy, che non è ancora entrato in vigore. 


Questo era solo un assaggio!

La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

PARTNER BD LEGAL - STUDIO LEGALE

Studi:
Laurea in Legge presso l’Università Bocconi, Business Law specializzazione in diritto internet, Milano. Tesi: “La tutela della privacy e tecniche di pubblicità online”.
Master Universitario di II livello in “Sicurezza delle informazioni e Informazione strategica” (SIIS) presso l’Università La Sapienza (dipartimento di ingegneria informatica) conseguito con borsa di studio della Presidenza del Consiglio. Tesi: “Il funzionamento e la privacy nei CERTs italiani ed esteri”.
Master Federprivacy in “Privacy Officer e Consulente della privacy”, Roma.
Lawful Interception Academy presso la Scuola di Polizia Tributaria, Roma.

Attività Professionale:
Francesca è Avvocato e Partner dello Studio bd LEGAL di Milano, esperienza ultra decennale in diritto delle tecnologie, in particolar modo per quanto riguarda la compliance della protezione dei dati personali, opera in questo settore fin dal conseguimento della laurea.
Si occupa di assistenza stragiudiziale. Ha iniziato il suo percorso professionale lavorando prima in Telecom Italia a Roma, presso il dipartimento Antitrust e poi nel team legale di Google a Milano, dove si è occupata prevalentemente di diritto all’oblio e di rimozioni online. Durante gli anni a Roma, ha collaborato con il Ministero dello Sviluppo Economico nell’ambito della cybersecurity (presso l’ISCOM – CERT nazionale) e su progetti di educazione digitale. A Milano ha lavorato presso una prestigiosa società di consulenza legale.

Assiste primarie società italiane di stampo internazionale su tutto il territorio nazionale, coordinando progetti di compliance GDPR e di adeguamento normativo, offrendo assistenza anche come DPO esterno.

È membro della Comunità SIIS dell’ Università La Sapienza. È Delegato dell’Associazione di Federprivacy e membro del network “Idraulici della Privacy”. È Privacy Officer e Consulente della Privacy certificato TUV Italia con licenza cdp_240 dal 2015. Ha vissuto e studiato in Canada.

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy