Quest’articolo è stato scritto da Roberta Rapicavoli, Avvocato esperto in privacy e diritto informatico & Docente del Master Online in eCommerce Management di Ninja Academy.
La gestione di un eCommerce comporta il trattamento di molteplici dati personali riferiti agli acquirenti.
Per i non addetti ai lavori o comunque per chi non si è mai accostato ai temi relativi alla privacy: quando si utilizza il termine “dati personali” si fa riferimento a qualunque informazione che consente di identificare, anche indirettamente, una persona fisica.
Quindi, ad esempio, sono dati personali il nome, il cognome e l’indirizzo email, conferiti direttamente dall’utente in fase di adesione a un certo servizio o acquisto di un determinato bene.
Ma sono dati personali anche quei dati che rivelano le preferenze dell’utente che abbia visualizzato alcuni prodotti del sito, raccolti mediante accesso ad informazioni già archiviate sul dispositivo.
Chiarito allora cosa debba intendersi per dati personali e preso atto che la gestione di un eCommerce comporta sicuramente il trattamento di molteplici informazioni relative all’acquirente, occorre chiedersi come sia possibile gestire tali dati nel rispetto della normativa privacy.
Normativa di riferimento
La disciplina in materia di protezione dei dati personali attualmente in vigore è contenuta nel D. lgs. 196/2003 (“Codice privacy”), che trova applicazione nel caso di trattamenti effettuati da soggetti stabiliti in Italia o da chi sia stabilito in Paese extra UE ma impieghi strumenti situati nel territorio dello Stato.
Il Codice privacy è destinato a essere sostituito dal Regolamento UE 2016/679 - entrato in vigore il 24 maggio 2016, ma applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018 - che disciplina non solo il trattamento effettuato da chi è stabilito nell’UE, ma anche il trattamento di dati personali di interessati che si trovano nell'Unione, effettuato da chi non è stabilito nell'Unione, se le attività di trattamento riguardano l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, oppure il monitoraggio del loro comportamento, nella misura in cui tale comportamento ha luogo all'interno dell'UE.
Come gestire i dati personali nel rispetto della normativa privacy
Un primo aspetto che il titolare di un eCommerce deve considerare è costituito dall’obbligo di fornire agli utenti le informazioni sui dati oggetto di trattamento (il riferimento è all’art. 13 del Codice privacy e agli artt. 13 e 14 del Regolamento UE 2016/679).
Tale obbligo informativo si traduce, in concreto, nella gestione della policy privacy - rivolta a tutti coloro che accedono al sito web - e nell’inserimento di specifiche informative in relazione a trattamenti di dati di utenti per determinati richieste o servizi - si pensi, ad esempio, alla gestione di un’area riservata per monitorare gli ordini effettuati o al servizio di newsletter commerciale.
Il Garante privacy può individuare con proprio provvedimento modalità semplificate per l'informativa e, un esempio di interesse per chi intende avviare un eCommerce, è costituito dal provvedimento 229 dell’8 maggio 2014 in materia di Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie, con cui l’Autorità ha indicato, per la gestione dell’informativa su un sito che utilizzi cookie di profilazione (propri o di terze parti), un doppio livello, disponendo che:
“nel momento in cui l'utente accede a un sito web, deve essergli presentata una prima informativa "breve", contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l'utente può accedere al sito), integrata da un'informativa "estesa", alla quale si accede attraverso un link cliccabile dall'utente”.
Altro aspetto fondamentale che occorre considerare è relativo alla necessaria sussistenza di una condizione di liceità. Occorre cioè che il trattamento dei dati sia effettuato perché espressamente acconsentito oppure perché ricorre altra ipotesi a fronte della quale la legge ammette il trattamento - come, ad esempio, nel caso in cui sia necessario per adempiere agli obblighi derivanti dalla legge o dal rapporto contrattuale di cui è parte l’interessato (per un esame dettagliato delle singole ipotesi si rinvia all’art. 24 del Codice privacy e all’art. 6 del Regolamento UE 2016/679).
In concreto, allora, chi gestisce un eCommerce, oltre a predisporre le informative privacy da rendere facilmente accessibili agli utenti che accedono al sito e/o conferiscono i loro dati attraverso un modulo contatti o altro form relativo a determinati servizi, deve valutare se le informazioni verranno utilizzate solo per finalità strettamente legate all’acquisto (gestione dell’ordine, spedizione, fatturazione …) – per cui non sarà necessario acquisire il consenso - oppure se verranno effettuati trattamenti per finalità ulteriori (si pensi, ad esempio, all’invio di email promozionali, alla comunicazione dei dati a terzi per loro autonome finalità di marketing, ad attività di profilazione…) - per cui si dovrà acquisire specifico consenso.
Proprio in ordine alle finalità per cui i dati possono essere utilizzati, occorre considerare che, spesso, chi gestisce un eCommerce ha interesse a monitorare le attività svolte dall’utente all’interno del sito per inviare pubblicità mirata.
Tale attività può essere svolta attraverso vari servizi – si pensi ad esempio alle campagne di remarketing con Google, che richiedono di inserire sul sito apposito tag – il cui impiego comporta, ai sensi dell’art. 122 del Codice privacy e del Provvedimento del Garante in materia di cookie del 2014, oltre agli adempimenti già segnalati (gestione informativa su doppio livello e acquisizione del consenso prima del rilascio dei cookie o strumenti analoghi) anche l’obbligo di notificazione, previsto dall’art. 37 lett. d) del Codice privacy.