Le aziende che scelgono di aprire un e-commerce sono sempre di più e il processo è stato certamente accelerato dalla pandemia
Molti imprenditori hanno deciso di investire su un negozio online: se anche tu sei tra quelli, c’è una cosa importante che devi tener presente. Non si tratta di progetti che possono nascere dall’oggi al domani, e non ci si può improvvisare nella loro creazione, perché il rischio è non rispettare gli adempimenti previsti dalla legge.
Cosa devi fare, allora, se vuoi aprire un e-commerce? Per prima cosa, avere chiaro che i tempi tecnici possono essere lunghi: il Data Protection Officer e il Consulente per la Privacy dovranno supportare la tua azienda fin dalle prime fasi di ideazione, e affiancare tutti le altre figure che prenderanno parte allo sviluppo.
Pianificare e sviluppare un e-commerce: perché si tratta di un lavoro di squadra
Abbiamo già accennato al fatto che l’e-commerce sia un progetto estremamente complesso, in cui entrano in gioco tanti fattori e tante competenze diverse. Gli aspetti relativi alla privacy e al GDPR nell’e-commerce, infatti, vanno necessariamente a scontrarsi con le necessità del marketing, e bisogna trovare il modo migliore per armonizzarli. Non è facile, soprattutto se questo processo non avviene secondo alcune fasi.
Quando si approccia il progetto di e-commerce, bisogna ricordarsi sempre almeno due cose:
che si tratta di un lavoro di squadra, poiché richiede conoscenze sulla privacy ma anche sul marketing
e che si tratta di un lavoro sartoriale, perché nessun negozio online è uguale a un altro.
Privacy by design: a cosa dobbiamo fare attenzione
Il concetto di privacy by design è alla base di ogni e-commerce. Quello che ci interessa, infatti, quando andiamo a sviluppare questo tipo di progetti, è che il rischio legato alla gestione dei dati sia il più basso possibile. Cosa possiamo fare per ridurlo? La risposta è proprio la privacy by design! Dobbiamo disegnare il nostro trattamento sulle esigenze specifiche. Un concetto che si sposa alla perfezione con la proattività e la piena funzionalità: dobbiamo pensare che l’intero pacchetto dovrà rispettare la sfera privata dell’utente e permettere che la privacy sia incorporata nella progettazione.
Un e-commerce significa avere un nuovo flusso di dati
Se scegli di aprire un e-commerce devi considerare che questa operazione introduce nell’azienda un nuovo flusso di dati personali, che deve essere riportato nel registro dei trattamenti.
Dovrai modificare le informative, predisporre il trattamento e verificare che non ci sia co-titolarità: occorre, quindi, un aggiornamento da un punto di vista della compliance.
Questo discorso vale tutte le volte che si aggiunge una nuova tecnologia, un nuovo strumento nell’azienda: per essere a posto, devi comunicarlo al referente per la privacy e al DPO!
La tutela degli utenti passa dallo studio del percorso di acquisto. Adottare una procedura di protezione dei dati fin dalla progettazione e coinvolgere sia il responsabile per la protezione dei dati che i referenti per ciascuno dei dipartimenti che sviluppano i singoli progetti ti permette di documentare l’analisi e la ratio delle scelte adottate. Dovrai inoltre prevedere revisioni periodiche della tenuta dei principi.
Negli e-commerce, il flusso di dati deve tenere conto di due ingressi: back end e back office. Per quanto riguarda il primo, abbiamo di fronte tantissime casistiche differenti l’una dall’altra, perché ha a che vedere con il tipo di interazione da parte dell’utente.
Cosa può accadere?
Alcuni esempi:
- gli utenti non si registrano
- sono minorenni
- sono iscritti alla piattaforma
- sono sul sito solo come visitatori
- sono iscritti alla newsletter
- comprano solo prodotti scontati
- Gli aspetti di back office riguardano la gestione dei partner, chi inserisce gli articoli, rapporti con la logistica.
L’assessment di fattibilità: quali sono i rischi e come si può intervenire?
Spesso, purtroppo, il Consulente Privacy viene coinvolto solo in un secondo momento, quando i giochi sono fatti e la web agency ha già iniziato a lavorare. Una pessima idea, che espone al rischio di lavorare il doppio e lavorare male. E quando l’e-commerce è costruito male, le vulnerabilità dall’esterno aumentano. La soluzione, invece, è agire in maniera organizzata e organizzare un tavolo di lavoro comune per il confronto e la pianificazione di ogni step.
L’assessment di fattibilità è un punto molto importante: bisogna iniziare a indagare il flusso dei dati che entrerà in azienda attraverso la vendita online. Stiamo rispettando il GDPR? Abbiamo misure adeguate affinché il nostro e-commerce sia sicuro? Come imprenditore, devi sapere che spesso la tua idea potrebbe non essere in linea su questi punti, e altrettanto vale per il progetto messo in piedi dall’agenzia: ecco perché il confronto è necessario!
Sul fronte privacy oriented, ci interessa inoltre sapere chi è il titolare della piattaforma sulla quale viene sviluppato l’e-commerce: se non c’è un contratto con l’agenzia, come facciamo a dimostrare che è nostra? Occorre individuare la titolarità!
Come sarà il percorso di iscrizione dell’utente?
Ogni volta che un’agenzia deve fornire un e-commerce, dovrà fornire un flusso funzionale dei dati di back end e di back office. Queste informazioni servono a DPO e Consulente per fare l’analisi della privacy by design e l’analisi dei rischi.
Nel flusso dovranno esserci le seguenti informazioni: il percorso di acquisto, tutto ciò che riguarda l’inserimento dati (e quali dati), le informazioni sul metodo di spedizione e pagamento, gli step relativi all’acquisto che va a buon fine, alle e-mail di riepilogo, alle e-mail di avviso, ovvero le comunicazioni sulla presenza di prodotti nel carrello.
Privacy by design e analisi dei rischi dimostrano l’accountability: se da questo punto di vista siamo coperti, vuol dire che siamo sul pezzo!
I Termini di Servizio
Ma naturalmente un sito di vendita online non deve avere solo la privacy policy: ci sono anche le condizioni generali di vendita e i termini di servizio, che spesso mancano. Certo, sui siti vetrina potrebbero essere sufficienti le note legali, ma dobbiamo rendere facilmente disponibile anche le informazioni societarie. Il footer dirà la verità all’utente riguardo alla presenza (o all’assenza!) degli aspetti legali.
È bene precisare ancora una volta che i Termini di Servizio (TOS) non sono le condizioni generali di vendita, ma linee guida del nostro sito, in cui diciamo all’utente una serie di cose, per esempio che non può scaricare i loghi, non può utilizzare i nostri marchi, inseriamo il link all’informativa sulla privacy, tutto ciò che riguarda le community, se presenti. Una social media policy, per esempio, può rientrare nei termini di servizio.
Riepilogando in forma schematica, un e-commerce deve avere:
- privacy policy
- cookie policy
- note legali
- condizioni generali di vendita (a seconda che sia B2B o B2C)
- termini di servizio
Alcuni aspetti, infine, competono agli avvocati o ai giuristi. I Consulenti privacy e i DPO non possono avere la certezza che il sito sia “legale” in toto. A cosa ci riferiamo? Alla tutela della proprietà intellettuale, per esempio. Si tratta, quindi, dell’ennesima conferma di come un progetto di e-commerce sia complesso da gestire e richieda la compresenza di tante professionalità diverse!