Per poter processare un ordine, i gestori di negozi online necessitano indubbiamente dei dati personali dei clienti per diverse finalità come ad esempio la gestione di tutto il ciclo di vita dell’ordine: attività di marketing, comunicazione commerciale e profilazione, quest’ultima utile per proporre offerte in linea con le preferenze dei clienti.
Questi trattamenti sono diversi e necessitano di una analisi specifica in ordine alla determinazione della corretta base giuridica applicabile per garantire liceità al trattamento stesso ex art. 6 GDPR; quest’ultimo rappresenta un elemento di novità rispetto al sistema previgente in cui il Garante autorizzava con provvedimenti ad hoc specifici trattamenti di dati personali stabilendone nel contempo limiti e requisiti. Lo sforzo quindi richiesto al titolare è quello di analizzare tutti i trattamenti posti in essere dalla propria attività, determinare per ognuno di essi la corretta base giuridica e verificare con attenzione l’applicazione dei principi stabiliti dall’art. 5 del GDPR.
Strumento indispensabile per integrare un’azione trasparente nei confronti dei propri interessati, sarà una completa e corretta informativa contenente tutti gli elementi essenziali previsti all’art. 13 del GDPR.
Inoltre, con l’introduzione del GDPR il legislatore europeo ha data particolare enfasi alla regolamentazione dei rapporti tra il titolare del trattamento e i soggetti esterni che saranno chiamati a trattare per suo conto i dati personali. In particolare ha stabilito diversi obblighi specifici in capo sia al titolare sia al responsabile per una corretta gestione del rapporto in modo da evitare che rapporti di delega possano ripercuotersi negativamente nel trattamento dei dati personali con crescenti rischi per i diritti e le libertà degli interessati. Spetterà quindi al titolare stabilire adeguate misure di sicurezza per i trattamenti posti in essere e successivamente selezionare responsabili esterni in grado di garantire l’applicazione delle stesse oltre a verificarne in corso d’opera l’effettiva implementazione.
Nel caso di attività online, diversi saranno i soggetti esterni che potranno dover gestire trattamenti per conto del titolare: si pensi ad esempio a web agency per attività promozionali, provider che ospitano e gestiscono siti internet, applicazioni CRM o lead management, oppure strumenti per l’invio di newsletter. Per ognuno di questi sarà necessario regolamentare il rapporto attraverso un agreement specifico, autorizzando il soggetto esterno al trattamento del dato per evitare di incorrere in una illecita diffusione e trasferimento di dati personali, oltre a verificare in quale area geografica verranno gestiti i dati per non incorrere in una ipotesi di trasferimento “extra UE”. A tal riguardo, la recente sentenza “Shrems II” che ha invalidato il “Privacy Shield”, obbliga i titolari a valutare, caso per caso, se il livello di protezione richiesto dal GDPR viene rispettato, imponendo anche la previsione di misure supplementari a quelle offerte dalle clausole standardizzate, qualora queste non siano sufficienti a garantire standard di protezione adeguati.
Senza questi presupposti, l’utilizzo di piattaforme e sistemi di gestione dati mantenute da responsabili esterni operanti al di fuori della UE, deve essere sospesa o terminata.