Gdpr e-commerce e sicurezza transazioni online

Posto che l’e-commerce è sempre più lo strumento principale che i consumatori adottano per effettuare acquisti online (soprattutto da quando la pandemia per il Covid 19 ha rivoluzionato i comportamenti e aumentato le distanze fisiche), in maniera ancora maggiore si impone il tema della sicurezza delle transazioni in rete, specie in materia di privacy.

Si acquista di tutto, ormai attraverso gli e-shop e la gran parte delle imprese ha scelto l’e-commerce per arrivare al cliente. Gli acquisti in modalità digitale, oltre che rappresentare una maggiore comodità, sono diventati una necessità.

I numeri parlano da soli: secondo recenti studi, nel secondo lockdown del 2020, l’e-commerce è cresciuto del 32% e vale il terzo degli acquisti degli italiani. Inoltre, è cresciuto del 21% il totale delle transazioni online.

In tale ottica, il Gdpr, il regolamento Ue 679 del 2016, è il vero baluardo a tutela dei dati dei consumatori: ne vanno rispettate le regole, che sono poste a difesa della privacy.

I dati raccolti attraverso un sito e-commerce

Un sito e-commerce raccoglie e tratta i dati dell’utente con cui entra in contatto. In particolare, quelli necessari all’erogazione del servizio richiesto, ovvero:

• i dati di navigazione, che sono quelli raccolti, ad esempio, attraverso i cookie tecnici che ci sono sul sito;
• i dati dell’utente, raccolti attraverso la compilazione volontaria di form di contatto;
• i dati dell’utente per poter procedere all’acquisto.

Generalmente sono richiesti dati di contatto, come nome e cognome dell’acquirente, indirizzo mail per mandare la conferma dell’ordine, l’indirizzo di fatturazione e spedizione per poter procedere con l’erogazione del servizio.

Gdpr e-commerce: gli adempimenti da rispettare per il sito

Anzitutto, il titolare del sito e-commerce dovrà garantire che i dati siano trattati, sin dal momento della raccolta, nel pieno rispetto dei principi del Gdpr. Parliamo, in particolare, di quelli contenuti negli articoli 5 e 25.

Dovranno, infatti, essere rispettati i concetti di minimizzazione dei dati, di limitazione della conservazione, di accountability, nonché di privacy by design e privacy by default.

È indispensabile che tali principi siano presi in considerazione fin dalla progettazione del sito e per tutta la durata del trattamento stesso.

L’attività preliminare relativa alla valutazione di impatto (Dpia) e del rischio sarà fondamentale per valutare correttamente i pericoli derivanti da ciascun trattamento, nonché le misure volte a prevenire e/o ridurre il verificarsi dei rischi analizzati.

Sarà, infatti, necessario che siano messe in atto “misure tecniche e organizzative adeguate”, così come è richiesto dall’articolo 32 del Gdpr, che hanno l’obiettivo di “garantire un livello di sicurezza adeguato al rischio”.

Un altro degli adempimenti che il titolare dovrà rispettare riguarda l’informativa di cui all’articolo 13 del Gdpr: l’utente di un sito e-commerce dovrà ricevere tutte le informazioni necessarie relative al trattamento dei dati.

L’informativa dovrà essere completa e specifica, redatta con un linguaggio semplice e comprensibile da parte di tutti gli utenti e agilmente accessibile prima del conferimento dei dati nelle fasi successive alla navigazione del sito.

Affinché ci sia una maggiore chiarezza e trasparenza, e di conseguenza sicurezza, nei confronti dell’utente, è necessario che siano predisposte informative apposite, contestualizzate per i trattamenti posti in essere, con specifici consensi qualora dovesse sussisterne il presupposto.

Inoltre, il titolare del trattamento dovrà disciplinare i rapporti con coloro che, internamente o esternamente all’organizzazione, tratteranno i dati dell’utente che interagisce con l’e-commerce. Sarà quindi necessario che il titolare predisponga:

• lettere di nomina per gli incaricati al trattamento dei dati, dirette a dare precise e dettagliate istruzioni a coloro che, internamente all’organizzazione, compiono operazioni di trattamento;
• contratti di nomina a responsabile del trattamento, in base all’articolo 28 del Gdpr, con tutti coloro che, esternamente all’organizzazione, tratteranno dati.

C’è, poi, l’aspetto importante relativo alla gestione dei cookie presenti sul sito e-commerce. Come noto, anche attraverso i cookie è possibile trattare i dati relativi all’utente che visita l’e-shop.

In tal caso, il titolare dovrà fornire all’utente comunicazioni chiare, precise e complete sui cookie che sono presenti sul sito, attraverso un’informativa breve (cookie banner) e un’informativa estesa (cookie policy).

E’, peraltro, necessario predisporre adeguati sistemi per la registrazione del consenso, espresso dall’utente per l’installazione di cookie di profilazione o di terze parti. In effetti, la volontà del consumatore è il presupposto ineludibile per poter procedere alla raccolta delle informazioni.

Vuoi leggere altri approfondimenti? Ecco cosa offre il nostro Blog:

• Come realizzare un sito e-commerce privacy friendly

• Shop online e l’importanza delle piattaforme e-commerce

• Profilazione utente nelle attività di marketing per e-commerce

• Gdpr e digital marketing nell’e-commerce

Scopri il nostro percorso di formazione per e-commerce e iscriviti.