Trattamento dei dati personali
Per poter processare un ordine i gestori di negozi online necessitano indubbiamente dei dati personali dei clienti per diverse finalità, come ad esempio la gestione di tutto il ciclo di vita dell’ordine, attività di marketing e comunicazione commerciale e profilazione – quest’ultima utile per proporre offerte in linea con le preferenze dei clienti.
Il GDPR
In materia di trattamento dei dati personali, il principale testo di riferimento è fornito dal Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla loro libera circolazione – anche noto come General Data Protection Regulation o GDPR. Come tutti i regolamenti adottati a livello europeo, il GDPR non ha necessitato di specifici interventi di recepimento a livello nazionale, essendo direttamente applicabile all’interno di tutti gli Stati dell’Unione.
Composto da 99 articoli, il Regolamento persegue l’obiettivo di proteggere i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali (art.1(2)). riconoscendolo come diritto fondamentale delle persone fisiche, il cui rispetto può essere garantito solo attraverso l’armonizzazione della normativa in materia di trattamento dei dati personali a livello europeo.
Liceità del trattamento dei dati
Nello stabilire la liceità del trattamento dei dati personali, il GDRP specifica che tale trattamento è da considerarsi lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
- l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
- il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
- il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
- il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
- il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
- il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgono gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
Condizioni per il consenso al trattamento dei dati
Qualora il trattamento dei dati personali sia basato sul consenso dell’interessato, il titolare del trattamento deve essere in grado di dimostrare che quest’ultimo ha prestato il proprio consenso al trattamento dei propri dati personali. La normativa è particolarmente specifica nei casi in cui il consenso sia stato prestato per iscritto nel contesto di un documento nel quale vengano regolate anche altre questioni. In tali circostanze, il GDPR prevede che la richiesta di consenso sia presentata “in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro” (art.7(2)). La normativa europea chiarisce poi che l’interessato ha, in qualunque momento, diritto a revocare il proprio consenso.
Elemento centrale del quadro normativo definito dal GDPR è la responsabilità delle titolate e dei responsabili del trattamento dei dati personali. Al titolare del trattamento è richiesta l’adozione di misure appropriate per fornire all’interessato, tutte le informazioni relative all’identità e contatti del titolare del trattamento dei dati, ove applicabile, alle finalità cui sono destinati i dati personali nonché la base giuridica del loro trattamento. Tali informazioni vanno fornite per iscritto ocon mezzi elettronici, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori.
Particolare enfasi è posta sulla valutazione, da parte del titolare del trattamento dei dati, del rischio connesso al trattamento, la sua valutazione in termini di origine, natura, probabilità e gravità, e l’individuazione di migliori prassi per attenuare il rischio. Al fine di attenuare tale rischio, il titolare del trattamento e il responsabile del trattamento sono chiamati a mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato. Tali misure possono richiedere, a titolo esemplificativo, la pseudonimizzazione e la cifratura dei dati personali e la predisposizione di procedure apposite per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento dei dati dell’interessato.
Diritto all’oblio – Cancellazione dei dati
Il GDPR riconosce, altresì, il diritto alla cancellazione dei dati personali (o “diritto all’oblio”) dell’interessato. A norma dell’art. 17 del GDPR, infatti, l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare i dati personali, qualora gli stessi non siano più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati, in caso di revoca del consenso da parte dell’interessato, o qualora i dati personali sono stati trattati illecitamente.
Tale diritto alla cancellazione è in particolare rilevante se l’interessato ha prestato il proprio consenso quando era minore, e quindi non pienamente consapevole dei rischi derivanti dal trattamento e vuole successivamente eliminare tale tipo di dati personali, in particolare da internet.
Elementi di legittimità nel trattamento dei dati ecommerce
Nel caso di attività online, diversi saranno i soggetti esterni che potranno dover gestire trattamenti per conto del titolare: si pensi ad esempio a web agency per attività promozionali, provider che ospitano e gestiscono siti internet, applicazioni CRM o lead management, oppure strumenti per l’invio di newsletter. Per ognuno di questi sarà necessario regolamentare il rapporto attraverso un agreement specifico, autorizzando il soggetto esterno al trattamento del dato per evitare di incorrere in una illecita diffusione e trasferimento di dati personali, oltre a verificare in quale area geografica verranno gestiti i dati per non incorrere in una ipotesi di trasferimento “extra UE”.
A tal riguardo, la recente sentenza “Schrems II” obbliga i titolari a valutare, caso per caso, se il livello di protezione richiesto dal GDPR viene rispettato, imponendo anche la previsione di misure supplementari a quelle offerte dalle clausole standardizzate, qualora queste non siano sufficienti a garantire standard di protezione adeguati. Senza questi presupposti, l’utilizzo di piattaforme e sistemi di gestione dati mantenute da responsabili esterni operanti al di fuori della UE, deve essere sospesa o terminare.
Per poter processare un ordine i gestori di negozi online necessitano indubbiamente dei dati personali dei clienti per diverse finalità, come ad esempio la gestione di tutto il ciclo di vita dell’ordine, attività di marketing e comunicazione commerciale e profilazione, quest’ultima utile per proporre offerte in linea con le preferenze dei clienti, Questi trattamenti sono diversi e necessitano di una analisi specifica in ordine alla determinazione della corretta base giuridica applicabile per garantire liceità al trattamento stesso ex art. 6 GDPR; quest’ultimo rappresenta un elemento di novità rispetto al sistema previgente in cui il Garante autorizzava con provvedimenti ad hoc specifici trattamenti di dati personali stabilendone nel contempo limiti e requisiti. Lo sforzo quindi richiesto al titolare è quello di analizzare tutti i trattamenti posti in essere dalla propria attività, determinare per ognuno di essi la corretta base giuridica e verificare con attenzione l’applicazione dei principi stabiliti dall’art. 5 del GDPR.
Strumento indispensabile per integrare un’azione trasparente nei confronti dei propri interessati sarà una completa e corretta informativa contenente tutti gli elementi essenziali previsti all’art. 13 del GDPR. Si dovrà poi procedere ad acquisire legittimi consensi, laddove fosse stata utilizzata questa base giuridica, separati per ogni trattamento così come più volte specificato da diversi provvedimenti del Garante in ottemperanza alle linee guida adottare dall’EDPB. Inoltre, con l’introduzione del GDPR il legislatore europeo ha data particolare enfasi alla regolamentazione dei rapporti tra il titolare del trattamento e i soggetti esterni che saranno chiamati a trattare per suo conto i dati personali. In particolare ha stabilito diversi obblighi specifici in capo sia al titolare sia al responsabile per una corretta gestione del rapporto in modo da evitare che rapporti di delega possano ripercuotersi negativamente nel trattamento dei dati personali con crescenti rischi per i diritti e le libertà degli interessati. Spetterà quindi al titolare stabilire adeguate misure di sicurezza per i trattamenti posti in essere e successivamente selezionare responsabili esterni in grado di garantire l’applicazione delle stesse oltre a verificarne in corso d’opera l’effettiva implementazione. Nel caso di attività online, diversi saranno i soggetti esterni che potranno dover gestire trattamenti per conto del titolare: si pensi ad esempio a web agency per attività promozionali, provider che ospitano e gestiscono siti internet, applicazioni CRM o lead management, oppure strumenti per l’invio di newsletter. Per ognuno di questi sarà necessario regolamentare il rapporto attraverso un agreement specifico, autorizzando il soggetto esterno al trattamento del dato per evitare di incorrere in una illecita diffusione e trasferimento di dati personali, oltre a verificare in quale area geografica verranno gestiti i dati per non incorrere in una ipotesi di trasferimento “extra UE”. A tal riguardo, la recente sentenza “Shrems II” che ha invalidato il “Privacy Shield”, obbliga i titolari a valutare, caso per caso, se il livello di protezione richiesto dal GDPR viene rispettato, imponendo anche la previsione di misure supplementari a quelle offerte dalle clausole standardizzate, qualora queste non siano sufficienti a garantire standard di protezione adeguati. Senza questi presupposti, l’utilizzo di piattaforme e sistemi di gestione dati mantenute da responsabili esterni operanti al di fuori della UE, deve essere sospesa o terminare.
Per ricevere una consulenza legale sulle questioni relative alla gestione dei dati personali, contatta il nostro team di professionisti esperti di diritto civile. Oltre al consueto appuntamento in studio, lo Studio Legale Lombardo ti offre la possibilità di interagire con il Professionista prescelto anche in videoconferenza; in questo modo potrai ottenere assistenza legale ovunque ti trovi, e senza dover richiedere permessi a lavoro o affrontare il traffico cittadino.
Video approfondimento
