0

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

DPO per ecommerce

16/06/2022

DPO per ecommerce


In questo articolo analizziamo le attività che deve svolgere il DPO per ecommerce.

Vedremo i compiti del DPO, il suo ruolo aziendale e per quali siti di commercio elettronico serve il DPO.

Come tradizione delle guide del nostro blog, le responsabilità del DPO verranno descritte con specifico riferimento all'ambito ecommerce.
 

Chi è e cosa fa il DPO


Il DPO (Data Protection Officer) è una figura introdotta con il GDPR.

E' un "professionista" della privacy che aiuta l'ecommerce a rispettare il GDPR e la privacy degli utenti.

Non è obbligatorio che sia un avvocato. Inoltre, ad oggi non esiste un "albo" dei DPO.

E' ovviamente molto importante che conosca nel modo più approfondito possibile il GDPR e le implicazioni del trattamento dei dati personali effettuato dall'ecommerce per il quale opera.


I compiti del DPO per ecommerce


Il DPO per siti di commercio elettronico deve svolgere diverse attività.

Sono tutte importanti per rispettare il GDPR ed evitare sanzioni.

Vediamole nel dettaglio.
 

Il DPO deve informare l'ecommerce


Il Data Protection Office deve informare e fornire consulenza al titolare del sito ecommerce sugli obblighi imposti al sito dal GDPR.

L'obbligo di informazione e consulenza vale anche per i dipendenti dell'ecommerce.


DPO per ecommerce

Controllare il sito di commercio elettronico

 

Per adempire questo obbligo il DPO che lavora per un ecommerce deve verificare in modo continuativo che il cliente rispetti il GDPR.

Questo significa che l'operatività del sito di commercio elettronico rispetti, ad esempio:
 

  • la privacy policy
  • la cookie policy
  • la gestione dei cookie
  • l'invio di newsletter e la raccolta del consenso.
 

Parere sulla valutazione d'impatto


La valutazione d'impatto è costituita da tutte quelle attività che descrivono il trattamento dei dati personali effettuato dal sito di ecommerce. 

Inoltre, la valutazione di impatto valuta se il trattamento dei dati personali del sito di commercio elettronico è proporzionata in rapporto ai diritti e alle libertà degli utenti.

La valutazione di impatto viene di solito effettuata per ecommerce che trattano una massa rilevante di dati personali. Ad esempio, un sito di commercio elettronico che gestisce un data base di 500.000 email potrebbe necessitare di una valutazione di impatto.

La valutazione si sostanzia poi in un documento, che il DPO deve conservare e mostrare al Garante Privacy in caso di controlli.
 

Il Data Protection Officer per ecommerce deve cooperare con il Garante Privacy


I controlli del Garante Privacy sui siti di commercio elettronico sono sempre più frequenti. 

Questi controlli posso partire da controlli "a campione".

Possono però iniziare anche da segnalazioni di utenti che hanno subìto violazioni della loro privacy (es.: per spam).

In ogni caso, il DPO che assiste l'ecommerce deve essere pronto a fornire al Garante Privacy tutte le informazioni richieste dalla Autorità.
 

compiti del DPO per ecommerce

Quando è obbligatorio nominare il DPO per un e-commerce?


Il GDPR prevede dei casi in cui la nomina del DPO è obbligatoria.

Con riferimento a un sito di commercio elettronico, sussistono due casi dove l'ecommerce potrebbe essere obbligato a nominare un DPO.
 

Gestione dei dati personali degli utenti dell'ecommerce su larga scala


Il GDPR prevede l'obbligo della nomina di un DPO quando le attività principali del sito ecommerce consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.

Per valutare il requisito della "larga scale" si prendono a parametro alcuni fattori:
 
  • il numero di utenti coinvolti (in termini assoluti o in percentuale); 
  • la quantità dei dati personali trattati; 
  • l'estenzione temporale e geografica del trattamento.

Questa casistita si verifica ad esempio quando un sito ecommerce profila una massa rilevante di utenti (es.: 500.000 utenti) per finalità pubblicitarie.
 

Sito ecommerce che tratta "dati particolari"


Questo scenario è meno frequente in ambito ecommerce, ma vogliamo in ogni caso segnalarvelo.

Riguarda il sito ecommerce che tratta "dati particolari" ai sensi del GDPR.

Esempi tipici di "dati particolari" sono i dati che rivelano l'orientamento sessuale dell'utente oppure le sue convinzioni politiche o culturali.

E' raro che ciò avvenga in un sito ecommece. Se ciò però dovesse verificarsi, il sito di commercio elettronico è obbligato a nominare un DPO.
 

Violazione del GDPR: è responsabile il sito oppure il DPO dell'ecommerce?

 

Una domanda molto comune quando si parla di DPO per ecommerce è questa: chi è responsbile nel caso violazione del GDPR?

La prima considerazione da svolgere è che il DPO risponde della violazione delle obbligazioni riferite al suo ruolo di esperto privacy.

Pertanto, potrà essere chiamato a rispondere solo se non ha effettuato una o più delle attività sopra descritte.

Il titolare del sito web o del sito di commercio elettronico sarà invece sanzionato se avrà effettuato dei trattamenti di dati in violazione del GDPR o delle indicazioni del proprio DPO.
 

Quanto costa un DPO per ecommerce?


Non esiste un tariffario per i DPO. In questo contesto è innanzitutto molto importante considerare questi fattori:
  • esperienza del DPO
  • percorso formativo
  • dimensione del sito ecommerce
E' altresì da considerare che i compiti del DPO richiamano una responsabilità rilevante. Pertanto, è giusto corrispondere un importo commisurato a questa responsabilità.

Data Protection Officer e sito di commercio elettronico
 

Hai un e-commerce e hai bisogno di un DPO?


Il Team di avvocati dell'e-commerce può esserti di supporto!

Infatti, i nostri legali sono tutti esperti di privacy e GDPR e possono aiutarti a rispettare la legge e ad evitare sanzioni.

Scrivi a legalblink@legalblink.it per fissare una call conoscitiva!

Team LegalBlink