Elementi di legittimità nel trattamento dei dati ecommerce

Per poter processare un ordine i gestori di negozi online necessitano indubbiamente dei dati personali dei clienti per diverse finalità, come ad esempio la gestione di tutto il ciclo di vita dell’ordine, attività di marketing e comunicazione commerciale e profilazione, quest’ultima utile per proporre offerte in linea con le preferenze dei clienti, Questi trattamenti sono diversi e necessitano di una analisi specifica in ordine alla determinazione della corretta base giuridica applicabile per garantire liceità al trattamento stesso ex art. 6 GDPR; quest’ultimo rappresenta un elemento di novità rispetto al sistema previgente in cui il Garante autorizzava con provvedimenti ad hoc specifici trattamenti di dati personali stabilendone nel contempo limiti e requisiti. Lo sforzo quindi richiesto al titolare è quello di analizzare tutti i trattamenti posti in essere dalla propria attività, determinare per ognuno di essi la corretta base giuridica e verificare con attenzione l’applicazione dei principi stabiliti dall’art. 5 del GDPR. Strumento indispensabile per integrare un’azione trasparente nei confronti dei propri interessati sarà una completa e corretta informativa contenente tutti gli elementi essenziali previsti all’art. 13 del GDPR. Si dovrà poi procedere ad acquisire legittimi consensi, laddove fosse stata utilizzata questa base giuridica, separati per ogni trattamento così come più volte specificato da diversi provvedimenti del Garante in ottemperanza alle linee guida adottare dall’EDPB. Inoltre, con l’introduzione del GDPR il legislatore europeo ha data particolare enfasi alla regolamentazione dei rapporti tra il titolare del trattamento e i soggetti esterni che saranno chiamati a trattare per suo conto i dati personali. In particolare ha stabilito diversi obblighi specifici in capo sia al titolare sia al responsabile per una corretta gestione del rapporto in modo da evitare che rapporti di delega possano ripercuotersi negativamente nel trattamento dei dati personali con crescenti rischi per i diritti e le libertà degli interessati. Spetterà quindi al titolare stabilire adeguate misure di sicurezza per i trattamenti posti in essere e successivamente selezionare responsabili esterni in grado di garantire l’applicazione delle stesse oltre a verificarne in corso d’opera l’effettiva implementazione. Nel caso di attività online, diversi saranno i soggetti esterni che potranno dover gestire trattamenti per conto del titolare: si pensi ad esempio a web agency per attività promozionali, provider che ospitano e gestiscono siti internet, applicazioni CRM o lead management, oppure strumenti per l’invio di newsletter. Per ognuno di questi sarà necessario regolamentare il rapporto attraverso un agreement specifico, autorizzando il soggetto esterno al trattamento del dato  per evitare di incorrere in una illecita diffusione e trasferimento di dati personali, oltre a verificare in quale area geografica verranno gestiti i dati per non incorrere in una ipotesi di  trasferimento “extra UE”. A tal riguardo, la recente sentenza “Shrems II” che ha invalidato il “Privacy Shield”, obbliga i titolari valutare, caso per caso, se il livello di protezione richiesto dal GDPR viene rispettato, imponendo anche la previsione di misure supplementari a quelle offerte dalle clausole standardizzate, qualora queste non siano sufficienti a garantire standard di protezione adeguati. Senza questi presupposti, l’utilizzo di piattaforme e sistemi di gestione dati mantenute da responsabili esterni operanti al di fuori della UE, deve essere sospesa o terminare. 

 

Video approfondimento

Dott. Claudio Terlizzi

Data Protection Officer" e "Privacy Consultant"

Dott. Claudio Terlizzi

Il Dott. Claudio Terlizzi ha conseguito nel 2003 la Laurea in Economia e Commercio presso l’università la Sapienza di Roma e Master di secondo livello in “Gestione e Strategia d’Impresa” presso la Business School del Sole 24 Ore.

Dal 2010, guida in qualità di CEO la Atinet, system integrator specializzato in soluzioni di data protection e security & privacy compliance.

Conseguite le certificazioni Data Protection Officer ((UNI 11697:2017)) e Certified Information Privacy Manager (CIPM) della International Association of Privacy Professionals,

ha gestito diversi progetti di Privacy Governance ed implementazione di modelli di gestione della data protection ed adeguamento alla nuova normativa Europea in realtà medio-grandi in Italia e all’estero.

È docente per diverse agenzie formative in materia di privacy. Riveste il ruolo di DPO (Data Protection Officer) per aziende nel settore retail e utility e per Enti della Pubblica Amministrazione Centrale

News e dicono di noi

Articoli, Sentenze, Rassegna Stampa e Video

Awards

Dopo essere arrivato in finale nel 2018 lo Studio legale Lombardo ha conseguito nel 2019 e nel 2020 un importante riconoscimento aggiudicandosi il Premio Le Fonti come “Boutique di Eccellenza dell’Anno Consulenza Diritto Bancario”, e sempre nel 2020 ha conseguito anche il Premio Le Fonti come Boutique di Eccellenza dell’Anno Consulenza Diritto del Lavoro”

Studio Legale Lombardo