GDPR e novità per l’e-commerce: intervista ad Alessandro Vercellotti

GDPR e novità per l’e-commerce: intervista ad Alessandro Vercellotti

Ormai manca poco all’entrata in vigore del GDPR (General Data Protection Regulation): a partire dal 25 maggio 2018 il nuovo Regolamento Europeo – Reg. (UE) 2016/679 – sulla protezione dei dati personali diventerà esecutivo e sostituirà ufficialmente la precedente direttiva 95/46/CE. apportando un importante cambiamento nella gestione e tutela dei dati personali da parte di tutte le aziende, anche quelle online.

Quale impatto avrà la normativa per gli e-commerce? Quali sono i passi da fare per adattare le piattaforme di vendita e soprattutto i rischi per chi non si adegua? Abbiamo deciso di affrontare questo importante argomento affidandoci ad un esperto in materia: l’Avvocato Alessandro Vercellotti, specializzato nella stesura di contratti per tutte le attività di marketing online. Lui stesso si definisce l’Avvocato della Rete e proprio per la sua forte preparazione su argomenti legati al marketing e al digitale pensiamo sia il miglior interlocutore per capire meglio l’impatto del GDPR sul mondo dell’e-commerce. Buona lettura!

GDPR e novità per l’e-commerce: ne parliamo con l’Avvocato Alessandro Vercellotti


Buongiorno Alessandro e grazie per questa intervista. Parliamo subito del nuovo GDPR (General Data Protection Regulation), applicabile dal 25 maggio 2018 che ha sostituito il Codice relativo alla protezione dei dati personali del 2003. Quali sono le novità più importanti, soprattutto per chi si occupa di e-commerce?

Prima di tutto bisogna precisare che il GDPR è stato approvato il 14 aprile 2016 dal Parlamento Europeo al fine di armonizzare e definire un quadro comune in materia di tutela dei dati personali all’interno dell’Unione Europea. La disciplina attualmente in vigore in Italia è contenuta nel Codice Privacy (D.lgs 196/2003) che non verrà abrogato assolutamente dal Regolamento, come si sente spesso dire, ma verrà modificato e innovato in nome della nuova disciplina del GDPR che da molti è stata definita “ Privacy 2.0” attraverso una serie di Decreti Legislativi recanti misure di attuazione e adeguamento della normativa nazionale.

Purtroppo ad oggi vige una grande incertezza in quanto è recentissima la notizia che il Consiglio dei Ministri ha approvato una bozza di decreto per abrogare il nostro Codice Privacy 196/2003. In questo momento quindi bisogna essere prudenti e aspettare le decisioni del Consiglio dei Ministri e aggiornarsi continuamente anche consultando il sito del Garante della Privacy. Dopo questa doverosa premessa posso dire che le novità introdotte dal regolamento sono molte, e riguardano tutti i titolari del trattamento dei dati personali compresi i titolari di siti e-commerce. Le riassumo brevemente. Le novità riguardano:

  1. i diritti dell’interessato, ovvero dell’utente che naviga all’interno di un sito web o acquista online. Con l’introduzione della Portabilità dei dati l’interessato ha il diritto di ricevere i suoi dati personali e di trasmetterli ad altro Titolare del Trattamento (per titolare del trattamento s’intende la persona fisica o giuridica che determina le finalità e i mezzi del trattamento dei dati personali). Poi c’è un’altra novità che ha acceso la curiosità di molti utenti, ovvero il diritto all’oblio. In questo caso, l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione di tutti i propri dati anche online. Le altre novità interessanti per l’e-commerce riguardano le regole sulla Profilazione, che entrano in gioco quando si utilizzano i dati dei clienti non solo per evadere i loro ordini ma per fini pubblicitari e di marketing. In questo caso il Regolamento UE prevede un consenso espresso da parte dell’utente per ogni attività di profilazione effettuata.
  2. il trattamento dei dati personali. Chi ha un sito web, quindi anche un e-commerce, deve preoccuparsi di inserire nell’Informativa Privacy tutti i contenuti richiesti dal GDPR in aggiunta a quelli previsti dall’art 13 del Codice Privacy.
  3. L’introduzione dei nuovi principi pilastro del Regolamento UE:
    – Privacy by design ( il Titolare del trattamento si impegna a proteggere i dati dell’utente fin dalla progettazione delle misure e dei sistemi del trattamento dei dati stessi);
    – Privacy by default (il titolare del trattamento deve mettere in atto misure tecniche e organizzative che abbiano come impostazione predefinita la tutela dei dati personali in relazione alla quantità dei dati raccolti, alla portata del trattamento, al periodo di conservazione e all’accessibilità ai dati personali).
  4. l’introduzione della figura del Data Protection Officer (D.P.O.), il Data Breach che introduce le misure necessarie in caso di violazione dei dati personali e l’introduzione del nuovo principio dell’Accountability o Responsabilizzazione.
  5. l’Ambito di applicazione. Il Regolamento amplia l’ambito territoriale di applicazione comprendendo sia tutti i titolari del trattamento situati in un paese UE sia coloro i quali siano situati in paesi extra UE ma che offrano servizi o prodotti a persone nel territorio europeo.

Hai parlato dell’introduzione di un nuovo principio, quello dell’Accountability o Responsabilizzazione. Puoi spiegarci meglio di cosa si tratta?

Certamente, il principio dell’Accountability si traduce in Principio di Responsabilità che si deve esprimere nel contesto aziendale. Il Titolare dell’azienda dovrà organizzare il suo team prevedendo specifica assegnazione dei compiti, la formazione e la precisa spiegazione su come occuparsi e trattare i dati personali dei clienti. Se si gestisce un e-commerce per conto proprio, tutte le Responsabilità cadranno su un’unica persona, che diventerà il titolare unico del trattamento. Questo serve per comprendere con certezza di chi sono le Responsabilità in caso di problemi o infrazione del Regolamento stesso.

Molto interessante, quindi ogni azienda avrà delle Responsabilità precise e riconducibili a diversi ruoli. A proposito di ruoli, parlaci del Data Protection Officer. Questa figura è necessaria anche per chi vende online? Quali sono i suoi compiti?

Ecco, questa domanda mi permette di spiegare meglio il Principio di Accountability. Ricordi il famoso team dove ognuno ha precisi compiti e precise Responsabilità? Bene! Il Regolamento UE ha introdotto questa figura centrale in accordo con il Principio di Accountability: Il Data Protection Officer (DPO). In un’azienda, il DPO è la persona che supporta Il Titolare del Trattamento dei Dati e sarà l’interfaccia tra tutti i soggetti coinvolti: non solo i clienti, ma anche chi si occupa del piano di marketing dell’ e-commerce oppure chi sviluppa il sito e così via. Tutti dovranno fare affidamento a lui.

Insomma, un ruolo centrale. Di cosa si occupa nella pratica?

Il DPO potrà assegnare agli incaricati vari ruoli, offrire chiarimenti sulle Normative, fornire suggerimenti sulla gestione del trattamento dei dati. Ecco perché ogni azienda deve scegliere con attenzione il proprio DPO pensando alle qualità professionali, conoscenze specialistiche giuridiche e indipendenza rispetto la realtà aziendale stessa. Quindi può essere anche una persona esterna all’azienda! La nomina del DPO è obbligatoria in caso di trattamento svolto dalla Pubblica Amministrazione e da aziende private nel caso in cui le attività consistano nel trattamento su larga scala di particolari diritti personali.

In tutti gli altri casi la nomina del DPO non è obbligatoria ma è fortemente consigliata. Ciascuna azienda, anche quelle che vendono online dovrà porsi delle domande sulla propria organizzazione interna, sulla gestione che viene fatta dei dati personali e quindi fare le scelte necessarie per essere in regola con la normativa vigente e salvaguardare al meglio i dati personali dei clienti.

Le modifiche richieste dal GDPR dovranno essere fatte obbligatoriamente entro il 25 maggio o ci sarà un periodo di flessibilità?

Il Regolamento diventerà efficace il 25 maggio. L’Italia, così come gli altri paesi europei ha già avuto due anni per potersi adeguare.

In Italia, qual è l’Autorità che avrà il compito di verificare l’adeguamento delle aziende al nuovo Regolamento?

In Italia l’Autorità di controllo è il Garante per la Protezione dei Dati Personali.

Cosa rischia chi non lo rispetta?

Le sanzioni previste dal Regolamento sono molte e più pesanti rispetto a quelle previste oggi. Parliamo in alcuni casi di sanzioni fino a 20 milioni di euro e fino al 4% del fatturato annuo mondiale dell’esercizio precedente.

Solitamente un progetto e-commerce coinvolge diversi soggetti, come l’imprenditore che investe e vende online, l’azienda che realizza il sito web e/o si occupa della promozione online, fino al corriere a cui vengono affidati i dati dei clienti per la consegna dell’ordine. A che livello sono coinvolte queste diverse figure nel nuovo Regolamento?

Il titolare del trattamento imprenditore nell’ambito dell’e-commerce è obbligato ad avvalersi di altri soggetti come ad esempio l’azienda che realizza il sito web e il corriere per la consegna dei prodotti. Questi soggetti saranno titolari autonomi del trattamento dei dati per le finalità che loro compete. All’imprenditore che investe e vende online spetterà il compito di scegliere aziende partner che possano garantire e soddisfare la qualità richiesta dal Regolamento UE nella gestione dei dati personali da loro trattati.

Spesso l’imprenditore che desidera avviare un e-commerce si affida ad un’unica azienda (per esempio quella di sviluppo e marketing) che prende in carico la gestione dell’attività in outsourcing occupandosi di ogni aspetto, anche dell’archiviazione del trasferimento delle informazioni sensibili. Quali sono le cautele che l’azienda deve avere per evitare di essere denunciata dal suo cliente proprio in riferimento alla gestione dei dati trattati?

Innanzitutto, raccomando di prestare molta attenzione all’Informativa sulla Privacy presente nel sito. Deve essere chiara, accessibile, aggiornata con tutti i contenuti e i diritti riconosciuti dal GDPR agli interessati. Insomma, tutto deve essere messo nero su bianco e comunicato sul sito. In particolar modo, raccomando di valutare le finalità per le quali vengono acquisiti i dati personali considerando le eventuali attività di Profilazione e le finalità di Marketing per le quali si dovrà acquisire uno specifico consenso.

Mettiamo il caso che un e-commerce venga “bucato”. Quali sono le precauzioni da avere per minimizzare i danni e non passare guai a livello legislativo? Il Regolamento dice qualcosa in merito?

Il Regolamento ha previsto il Data Breach ossia l’obbligo per tutti i Titolari del Trattamento di notificare la violazione dei dati personali al Garante della Privacy entro 72 ore. Nella comunicazione si deve scrivere la natura della violazione, i dati di contatto del Responsabile della protezione dei dati, le probabili conseguenze della violazione e le misure adottate. Nel caso in cui la violazione comporti un rischio elevato per i diritti e le libertà dell’utente, il titolare dovrà comunicare anche a quest’ultimo la violazione anche tramite e-mail e modalità affini.

Alessandro, ti ringraziamo per la tua disponibilità e chiudiamo con un’ultima domanda: esistono delle accortezze particolari per settori delicati come quello della vendita di alimentari o per le farmacie online?

No, non esistono accortezze particolari, ma naturalmente essendo settori più delicati rispetto ad altri sarà necessario stare ancora più attenti e fornire i propri dati e contatti in modo chiaro e visibile, rendere chiara la tipologia di cookie utilizzati, indicare se viene effettuata profilazione ed ottenere il relativo consenso secondo le indicazioni fornite dal Garante.

Grazie ad Alessandro per averci chiarito le idee su un tema tanto importante. Per chiudere vi invitiamo a seguire il suo sito internet ricco di interessanti contributi video su tematiche legate alla legalità e al marketing.


Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *