Come aprire un e-commerce in regola con il GDPR

04 agosto 2021Ultimo aggiornamento 29 ottobre 2024
Tempo di lettura stimato: 5'
Le aziende che scelgono di aprire un e-commerce sono sempre di più e il processo è stato certamente accelerato dalla pandemia. Molti imprenditori hanno deciso di investire su un negozio online: se anche tu sei tra quelli, c’è una cosa importante che devi tener presente. Non si tratta di progetti che possono nascere dall’oggi al domani, e non ci si può improvvisare nella loro creazione, perché il rischio è non rispettare gli adempimenti previsti dalla legge. 

Cosa devi fare, allora, se vuoi aprire un e-commerce? Per prima cosa, avere chiaro che i tempi tecnici possono essere lunghi: il Data Protection Officer e il Consulente per la Privacy dovranno supportare la tua azienda fin dalle prime fasi di ideazione, e affiancare tutti le altre figure che prenderanno parte allo sviluppo. 


Pianificare e sviluppare un e-commerce: perché si tratta di un lavoro di squadra

Abbiamo già accennato al fatto che l’e-commerce sia un progetto estremamente complesso, in cui entrano in gioco tanti fattori e tante competenze diverse. Gli aspetti relativi alla privacy e al GDPR nell’e-commerce, infatti, vanno necessariamente a scontrarsi con le necessità del marketing, e bisogna trovare il modo migliore per armonizzarli. Non è facile, soprattutto se questo processo non avviene secondo alcune fasi. 


Quando si approccia il progetto di e-commerce, bisogna ricordarsi sempre almeno due cose: 
1 - che si tratta di un lavoro di squadra, poiché richiede conoscenze sulla privacy ma anche sul marketing
2 - e che si tratta di un lavoro sartoriale, perché nessun negozio online è uguale a un altro. 

Privacy by design: a cosa dobbiamo fare attenzione

Il concetto di privacy by design è alla base di ogni e-commerce. Quello che ci interessa, infatti, quando andiamo a sviluppare questo tipo di progetti, è che il rischio legato alla gestione dei dati sia il più basso possibile. Cosa possiamo fare per ridurlo? La risposta è proprio la privacy by design! Dobbiamo disegnare il nostro trattamento sulle esigenze specifiche. Un concetto che si sposa alla perfezione con la proattività e la piena funzionalità: dobbiamo pensare che l’intero pacchetto dovrà rispettare la sfera privata dell’utente e permettere che la privacy sia incorporata nella progettazione. 

Un e-commerce significa avere un nuovo flusso di dati 

Se scegli di aprire un e-commerce devi considerare che questa operazione introduce nell’azienda un nuovo flusso di dati personali, che deve essere riportato nel registro dei trattamenti. Dovrai modificare le informative, predisporre il trattamento e verificare che non ci sia co-titolarità: occorre, quindi, un aggiornamento da un punto di vista della compliance.  

Questo discorso vale tutte le volte che si aggiunge una nuova tecnologia, un nuovo strumento nell’azienda: per essere a posto, devi comunicarlo al referente per la privacy e al DPO!

La tutela degli utenti passa dallo studio del percorso di acquisto. Adottare una procedura di protezione dei dati fin dalla progettazione e coinvolgere sia il responsabile per la protezione dei dati che i referenti per ciascuno dei dipartimenti che sviluppano i singoli progetti ti permette di documentare l’analisi e la ratio delle scelte adottate. Dovrai inoltre prevedere revisioni periodiche della tenuta dei principi. 

Negli e-commerce, il flusso di dati deve tenere conto di due ingressi: back end e back office. Per quanto riguarda il primo, abbiamo di fronte tantissime casistiche differenti l’una dall’altra, perché ha a che vedere con il tipo di interazione da parte dell’utente. Cosa può accadere? Alcuni esempi: 
  • gli utenti non si registrano
  • sono minorenni
  • sono iscritti alla piattaforma
  • sono sul sito solo come visitatori
  • sono iscritti alla newsletter
  • comprano solo prodotti scontati

Gli aspetti di back office riguardano la gestione dei partner, chi inserisce gli articoli, rapporti con la logistica. 

L’assessment di fattibilità: quali sono i rischi e come si può intervenire?

Spesso, purtroppo, il Consulente Privacy viene coinvolto solo in un secondo momento, quando i giochi sono fatti e la web agency ha già iniziato a lavorare. Una pessima idea, che espone al rischio di lavorare il doppio e lavorare male. E quando l’e-commerce è costruito male, le vulnerabilità dall’esterno aumentano. La soluzione, invece, è agire in maniera organizzata e organizzare un tavolo di lavoro comune per il confronto e la pianificazione di ogni step. 


L’assessment di fattibilità è un punto molto importante: bisogna iniziare a indagare il flusso dei dati che entrerà in azienda attraverso la vendita online. Stiamo rispettando il GDPR? Abbiamo misure adeguate affinché il nostro e-commerce sia sicuro? Come imprenditore, devi sapere che spesso la tua idea potrebbe non essere in linea su questi punti, e altrettanto vale per il progetto messo in piedi dall’agenzia: ecco perché il confronto è necessario!


Sul fronte privacy oriented, ci interessa inoltre sapere chi è il titolare della piattaforma sulla quale viene sviluppato l’e-commerce: se non c’è un contratto con l’agenzia, come facciamo a dimostrare che è nostra? Occorre individuare la titolarità! 

Come sarà il percorso di iscrizione dell’utente?

Ogni volta che un’agenzia deve fornire un e-commerce, dovrà fornire un flusso funzionale dei dati di back end e di back office. Queste informazioni servono a DPO e Consulente per fare l’analisi della privacy by design e l’analisi dei rischi


Nel flusso dovranno esserci le seguenti informazioni: il percorso di acquisto, tutto ciò che riguarda l’inserimento dati (e quali dati), le informazioni sul metodo di spedizione e pagamento, gli step relativi all’acquisto che va a buon fine, alle e-mail di riepilogo, alle e-mail di avviso, ovvero le comunicazioni sulla presenza di prodotti nel carrello.

Privacy by design e analisi dei rischi dimostrano l’accountability: se da questo punto di vista siamo coperti, vuol dire che siamo sul pezzo! 

I Termini di Servizio

Ma naturalmente un sito di vendita online non deve avere solo la privacy policy: ci sono anche le condizioni generali di vendita e i termini di servizio, che spesso mancano. Certo, sui siti vetrina potrebbero essere sufficienti le note legali, ma dobbiamo rendere facilmente disponibile anche le informazioni societarie. Il footer dirà la verità all’utente riguardo alla presenza (o all’assenza!) degli aspetti legali. 
È bene precisare ancora una volta che i Termini di Servizio (TOS) non sono le condizioni generali di vendita, ma linee guida del nostro sito, in cui diciamo all’utente una serie di cose, per esempio che non può scaricare i loghi, non può utilizzare i nostri marchi, inseriamo il link all’informativa sulla privacy, tutto ciò che riguarda le community, se presenti. Una social media policy, per esempio, può rientrare nei termini di servizio.

Riepilogando in forma schematica, un e-commerce deve avere:
  • privacy policy 
  • cookie policy
  • note legali
  • condizioni generali di vendita (a seconda che sia B2B o B2C)
  • termini di servizio
Alcuni aspetti, infine, competono agli avvocati o ai giuristi. I Consulenti privacy e i DPO non possono avere la certezza che il sito sia “legale” in toto. A cosa ci riferiamo? Alla tutela della proprietà intellettuale, per esempio. Si tratta, quindi, dell'ennesima conferma di come un progetto di e-commerce sia complesso da gestire e richieda la compresenza di tante professionalità diverse!


Questo era solo un assaggio!

La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.


RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

PARTNER BD LEGAL - STUDIO LEGALE

Studi:
Laurea in Legge presso l’Università Bocconi, Business Law specializzazione in diritto internet, Milano. Tesi: “La tutela della privacy e tecniche di pubblicità online”.
Master Universitario di II livello in “Sicurezza delle informazioni e Informazione strategica” (SIIS) presso l’Università La Sapienza (dipartimento di ingegneria informatica) conseguito con borsa di studio della Presidenza del Consiglio. Tesi: “Il funzionamento e la privacy nei CERTs italiani ed esteri”.
Master Federprivacy in “Privacy Officer e Consulente della privacy”, Roma.
Lawful Interception Academy presso la Scuola di Polizia Tributaria, Roma.

Attività Professionale:
Francesca è Avvocato e Partner dello Studio bd LEGAL di Milano, esperienza ultra decennale in diritto delle tecnologie, in particolar modo per quanto riguarda la compliance della protezione dei dati personali, opera in questo settore fin dal conseguimento della laurea.
Si occupa di assistenza stragiudiziale. Ha iniziato il suo percorso professionale lavorando prima in Telecom Italia a Roma, presso il dipartimento Antitrust e poi nel team legale di Google a Milano, dove si è occupata prevalentemente di diritto all’oblio e di rimozioni online. Durante gli anni a Roma, ha collaborato con il Ministero dello Sviluppo Economico nell’ambito della cybersecurity (presso l’ISCOM – CERT nazionale) e su progetti di educazione digitale. A Milano ha lavorato presso una prestigiosa società di consulenza legale.

Assiste primarie società italiane di stampo internazionale su tutto il territorio nazionale, coordinando progetti di compliance GDPR e di adeguamento normativo, offrendo assistenza anche come DPO esterno.

È membro della Comunità SIIS dell’ Università La Sapienza. È Delegato dell’Associazione di Federprivacy e membro del network “Idraulici della Privacy”. È Privacy Officer e Consulente della Privacy certificato TUV Italia con licenza cdp_240 dal 2015. Ha vissuto e studiato in Canada.

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy