Gdpr compliance per e-commerce: cosa deve fare il titolare del trattamento dati

Gdpr per e-commerce: incarichi del titolare del trattamento dati

Il Reg. Ue 2016/679 sposa il principio di accountability, per cui il titolare del trattamento dei dati ha l’onere di dimostrare di avere redatto e attuato processi conformi per la registrazione e la successiva gestione dei dati personali, quindi:

  • informative e conseguente raccolta e gestione dei consensi per registrazione, newsletter, delivery, oltre ad eventuali ulteriori finalità quali marketing e profilazione;
  • gestione di una eventuale revoca/modifica dei consensi;
  • gestione dei dati del personale che opera sul canale B2C, personale, email, fatturazione ecc.

Tali misure sono a carico del titolare del trattamento, l’impresa che tramite la piattaforma B2C realizza il proprio business, il quale identifica i Responsabili del trattamento, tra i quali, ad esempio l’agenzia Web, gli sviluppatori e i gestori della piattaforma.

Adeguamento Gdpr per e-commerce: differenze fra obblighi dell’agenzia marketing e azienda titolare

Tali responsabili hanno di conseguenza i propri adempimenti specifici, distinti da quelli dell’imprenditore.

Gli adempimenti sopra descritti devono essere documentati redigendo il registro dei trattamenti e nominando i soggetti autorizzati (es. collaboratori e dipendenti), ai quali erogare adeguata formazione.

Deve, inoltre, essere effettuata l’analisi dei rischi del Sistema Informativo interno/esterno (ivi compresa l’eventuale gestione in cloud) e devono essere attuate dall’azienda idonee misure di sicurezza utili ad abbassare il rischio di trattamento dei dati illecito o non conforme, prevedendo anche un processo e un sistema di registrazione per la gestione dei data breach.

Gdpr compliance per negozi online: rischi in caso di mancato adeguamento

Inoltre, in questi casi si deve nominare il DPO/Responsabile Protezione Dati che funge da raccordo con l’autorità di controllo e ha il compito di verificare l’efficace attuazione degli adempimenti e rispondere alle richieste di esercizio dei diritti degli interessati/clienti, nonchè redigere report periodici dell’attività di controllo. Per maggiori informazioni, è possibile visitare la sezione dedicata alla consulenza in privacy e GDPR.

In alcuni casi, infine, è necessario predisporre un Privacy Impact Assessment (PIA) prima di iniziare il trattamento dei dati personali.

Le sanzioni non hanno un minimo, ma possono arrivare fino al 4% del fatturato o fino a 20 milioni di €.

Marcello Mollica