DPO per ecommerce
In questo articolo analizziamo le attività che deve svolgere il
DPO per ecommerce.
Vedremo
i compiti del DPO, il suo ruolo aziendale e per quali
siti di commercio elettronico serve il DPO.
Come tradizione delle guide del nostro blog,
le responsabilità del DPO verranno descritte con
specifico riferimento all'ambito ecommerce.
Seguici sui nostri social:
Facebook,
LinkedIn e
YouTube.
Ovviamente, la nomina del DPO è solo una delle tante attività che un ecommerce deve valutare per rispettare la legge. Leggi il nostro approfondimento su
come vendere online a norma.
Chi è e cosa fa il DPO
Il DPO (Data Protection Officer) è una figura introdotta con il
GDPR.
E' un "professionista" della
privacy che
aiuta l'ecommerce a rispettare il GDPR e la privacy degli utenti.
Non è obbligatorio che sia un avvocato. Inoltre, ad oggi
non esiste un "albo" dei DPO.
E' ovviamente molto importante che
conosca nel modo più approfondito possibile il GDPR e le implicazioni del
trattamento dei dati personali effettuato dall'ecommerce per il quale opera.
I compiti del DPO per ecommerce
Il
DPO per siti di commercio elettronico deve svolgere diverse attività.
Sono tutte importanti per
rispettare il GDPR ed
evitare sanzioni.
Vediamole nel dettaglio.
Il DPO deve informare l'ecommerce
Il Data Protection Office deve
informare e fornire consulenza al titolare del sito ecommerce sugli obblighi imposti al sito dal GDPR.
L'obbligo di informazione e consulenza vale anche per i dipendenti dell'ecommerce.
Controllare il sito di commercio elettronico
Per adempire questo obbligo il DPO che lavora per un ecommerce deve verificare in modo continuativo che il cliente rispetti il GDPR.
Questo significa che l'operatività del sito di commercio elettronico rispetti, ad esempio:
- la privacy policy
- la cookie policy
- la gestione dei cookie
- l'invio di newsletter e la raccolta del consenso.
Parere sulla valutazione d'impatto
La valutazione d'impatto è costituita da tutte quelle attività che descrivono il trattamento dei dati personali effettuato dal sito di ecommerce.
Inoltre, la valutazione di impatto valuta se il trattamento dei dati personali del sito di commercio elettronico è proporzionata in rapporto ai diritti e alle libertà degli utenti.
La valutazione di impatto viene di solito effettuata per ecommerce che trattano una massa rilevante di dati personali. Ad esempio, un sito di commercio elettronico che gestisce un data base di 500.000 email potrebbe necessitare di una valutazione di impatto.
La valutazione si sostanzia poi in un documento, che il DPO deve conservare e mostrare al Garante Privacy in caso di controlli.
Il Data Protection Officer per ecommerce deve cooperare con il Garante Privacy
I controlli del Garante Privacy sui siti di commercio elettronico sono sempre più frequenti.
Questi controlli posso partire da controlli "a campione".
Possono però iniziare anche da segnalazioni di utenti che hanno subìto violazioni della loro privacy (es.: per spam).
In ogni caso, il
DPO che assiste l'ecommerce deve essere pronto a fornire al Garante Privacy tutte le informazioni richieste dalla Autorità.
Quando è obbligatorio nominare il DPO per un e-commerce?
Il GDPR prevede dei casi in cui la nomina del DPO è obbligatoria.
Con riferimento a un sito di commercio elettronico, sussistono
due casi dove l'ecommerce potrebbe essere obbligato a nominare un DPO.
Gestione dei dati personali degli utenti dell'ecommerce su larga scala
Il GDPR prevede l'obbligo della nomina di un DPO quando le attività principali del sito ecommerce
consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.
Per valutare il requisito della "larga scale" si prendono a parametro alcuni fattori:
- il numero di utenti coinvolti (in termini assoluti o in percentuale);
- la quantità dei dati personali trattati;
- l'estenzione temporale e geografica del trattamento.
Questa casistita si verifica ad esempio quando un sito ecommerce profila una massa rilevante di utenti (es.: 500.000 utenti) per finalità pubblicitarie.
Sito ecommerce che tratta "dati particolari"
Questo scenario è meno frequente in ambito ecommerce, ma vogliamo in ogni caso segnalarvelo.
Riguarda il
sito ecommerce che tratta "dati particolari" ai sensi del GDPR.
Esempi tipici di "dati particolari" sono i dati che rivelano l'orientamento sessuale dell'utente oppure le sue convinzioni politiche o culturali.
E' raro che ciò avvenga in un sito ecommece. Se ciò però dovesse verificarsi,
il sito di commercio elettronico è obbligato a nominare un DPO.
Violazione del GDPR: è responsabile il sito oppure il DPO dell'ecommerce?
Una domanda molto comune quando si parla di DPO per ecommerce è questa: chi è responsbile nel caso violazione del GDPR?
La prima considerazione da svolgere è che il DPO risponde della violazione delle obbligazioni riferite al suo ruolo di esperto privacy.
Pertanto, potrà essere chiamato a rispondere solo se non ha effettuato una o più delle attività sopra descritte.
Il titolare del sito web o del sito di commercio elettronico sarà invece sanzionato se avrà effettuato dei trattamenti di dati in violazione del GDPR o delle indicazioni del proprio DPO.
Quanto costa un DPO per ecommerce?
Non esiste un tariffario per i DPO. In questo contesto è innanzitutto molto importante considerare questi fattori:
- esperienza del DPO
- percorso formativo
- dimensione del sito ecommerce
E' altresì da considerare che i
compiti del DPO richiamano una responsabilità rilevante. Pertanto, è giusto corrispondere un importo commisurato a questa responsabilità.
Hai un e-commerce e hai bisogno di un DPO?
Il Team di
avvocati dell'e-commerce può esserti di supporto!
Infatti, i nostri
legali sono tutti esperti di privacy e GDPR e possono aiutarti a rispettare la legge e ad evitare sanzioni.
Scrivi a legalblink@legalblink.it per fissare una call conoscitiva!
Team LegalBlink