0

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Registro dei trattamenti: guida per siti web ed ecommerce

11/03/2022

Registro dei trattamenti: guida per siti web ed ecommerce

 

Se gestisci un sito web oppure un ecommerce devi possedere un registro dei trattamenti.

Il registro dei trattamenti è così importante che l’8 settembre 2018 il Garante Privacy ha pubblicato delle FAQ che hanno spiegato come redigere questo documento richiesto dal GDPR. 
 

Le FAQ sono pensate anche per i siti web ed ecommerce. Questo perchè il registro dei trattamenti mappa il modo di trattare i dati personali degli utenti. 


E’ quindi un documento che deve essere sempre redatto dai titolari di siti web e siti di commercio elettronico. 

La presente guida è stata pubblicata poco dopo la pubblicazione delle FAQ del Garante Privacy.  


Il documento si è poi arricchito con le risposte alle domande pervenute negli ultimi due anni al nostro Team di legali.


Vuoi rimanere aggiornato sulle novità legali del mondo e-commerce e digitale? Seguici sui nostri gruppi social: FacebookYouTube e LinkedIn!
 

Cos’è il registro dei trattamenti. Chi deve redigerlo

 

Il registro dei trattamenti “mappa” le operazioni di trattamento dei dati personali effettuate dal titolare del trattamento e dal responsabile del trattamento, se presente.

Ricordiamo che il titolare del sito web agisce in qualità di titolare del trattamento (in quanto decide i mezzi e le finalità del trattamento).

Diversamente, la web agency (che tratta i dati personali dei clienti del sito web), agisce in qualità di responsabili del trattamento.

Ciò posto, vi sono ambiti dove anche la  web agency può agire anche come titolare del trattamento. 

Ciò avviene quando tratta, per esempio, i dati personali dei suoi dipendenti o consulenti. Pertanto, la web agency deve redigere due registri del trattamento, uno in qualità di responsabile, l’altro in qualità di titolare del trattamento.

Il registro dei trattamenti deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

La forma più comune di conservazione del registro dei trattamenti è un foglio excel

In particolare, sono obbligati a redigere il registro dei trattamenti i titolari di siti web (e-commerce o “vetrina”) e le web agency:

a. con almeno 250 dipendenti

b. che effettuano trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’utente.

c. che effettuino trattamenti non occasionali.


Il trattamento “non occasionale

 

Quale sito web o web agency tratta dati personali in modo occasionale? Probabilmente solamente il sito che è stato aperto e chiuso in pochi giorni.


Pertanto, se il sito web è online, è necessario dotarsi di un registro dei trattamenti.


Stesso discorso vale per la web agency. Se una web agency è operativa e tratta i dati personali dei clienti del sito web, deve dotarsi di un registro dei trattamenti.


Quanto sopra ci permette di comprendere che il registro dei trattamenti serve praticamente sempre.


L’unica esclusione in ambito digitale può riguardare il sito rimasto offline e che, pertanto, non tratta dati personali degli utenti.

 

Molte App per generare il registro dei trattamenti non sono corrette

 

Il GDPR ha rappresentato una importante novità in ambito digitale ed ecommerce. Purtroppo è stata l’occasione per proporre servizi non sempre necessari per rispettare il Regolamento. Servizi molto spesso costosi o non riferiti alla concreta situazione del singolo sito web.
 

Questo è avvenuto anche per il registro dei trattamenti.


Infatti, su internet si possono vedere molti servizi che, con quanto stabilito dalle FAQ del Garante Privacy, c’entrano poco o nulla.


Molto spesso sono app per generare il registro dei trattamenti complesse e difficile da usare. 


Come avrai invece modo di scoprire in questo articolo, generare il registro dei trattamenti per la tua attività può essere facile e veloce!
 

Il contenuto del registro dei trattamenti


Il registro dei trattamenti deve contenere sempre almeno le seguenti informazioni:


Finalità del trattamento


Quali sono le tipiche finalità di trattamento per un sito di ecommerce o un sito web?

Di solito sono (almeno) queste:

(i) esecuzione del contratto;

(ii) adempimento di obblighi di legge (contabili e amministrativi);

(iii)  customer care;

(iv) difesa in giudizio (eh sì, a volte gli utenti del sito possono fare causa …).


Base giuridica


Inoltre, è necessario indicare nel registro dei trattamenti la base giuridica del trattamento, che in ambito digitale ed e-commerce può essere:

a. il consenso dell’utente (ad esempio, rilasciato per ricevere newsletter dal Merchant)

b. l’esecuzione di un contratto (l’ordine di acquisto)

c. l’adempimento di un obbligo di legge (si pensi a tutti gli obblighi fiscali che gravano sul Merchant …)

d. il legittimo interesse (ad esempio, per rispondere alle richieste dell’utente pervenute tramite il sito). Il Garante Privacy ha suggerito di indicare una descrizione del legittimo interesse concretamente perseguito.


Descrizione delle categorie di interessati e delle categorie di dati personali


Per “interessato” si deve intendere l’utente del sito web.

Per il sito di commercio elettronico è anche il cliente o potenziale cliente.

Le categorie di dati personali sono quelli conferiti direttamente sul sito. Ad esempio:

a. dati anagrafici

b. indirizzo di residenza

c. codice fiscale

d. email.


Categorie di destinatari a cui i dati sono stati o saranno comunicati


I destinatari possono essere indicati anche semplicemente per categoria di appartenenza.

Sono quei soggetti ai quali vengono comunicati i dati personali degli utenti del sito web.

Tra questi soggetti possono figurare:

a. lo spedizioniere

b. il commercialista

c. la web agency

d. le autorità pubbliche, su loro richiesta.


Trasferimenti di dati personali verso un paese terzo


E’ molto frequente che un sito web trasferisca dati personali fuori dall’Unione europea.

Molto spesso, ciò accade senza saperlo. O senza prestarci particolare attenzione.

Stesso discorso vale per la web agency. Molto spesso i dati sono conservati in server allocati fuori dall’Unione europea.

Un tipico esempio? Sito web oppure sito di ecommerce che utilizza una società americana per l’invio di newsletter: 9 volte su 10 la piattaforma che ospita i dati personali degli utenti (le email) è allocata su server statunitensi: questo significa che i dati personali vengono trasferiti in USA per essere trattati al fine dell’invio di newsletter.

Ebbene, se i dati personali degli utenti sono conservati presso server allocati fuori dall’Unione europea, questa è una informazione da inserire nel registro dei trattamenti.

Medesimo discorso vale se i dati vengono comunicati a soggetti fuori dall’UE: informazione da indicare nel registro del trattamento.
 

Misure di sicurezza da indicare nel registro dei trattamenti

 

Il registro dei trattamenti deve indicare anche le misure di sicurezza applicate.

Le misure possono essere descritte in forma riassuntiva e sintetica. 

L’importante è fornire un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte. E’ possibile anche fare rinvio a documenti esterni che descrivano in modo dettagliato le misure di sicurezza implementate  (es. procedure organizzative interne; security policy ecc.).
 


Quanti registri dei trattamenti deve avere una web agency


Verso i propri clienti, la web agency agisce in qualità di responsabile del trattamento.

Ebbene, quanti registri dei trattamenti deve possedere la web agency? Uno per ogni cliente?

Sotto questo profilo, il Garante Privacy ha chiarito che il responsabile del trattamento deve avere tante sezioni del registro dei trattamenti per quanti sono i titolari del trattamento (clienti della web agency.)

Se, a causa dell’ingente numero di titolari per cui si operi, l’attività di puntuale indicazione e di continuo aggiornamento dei nominativi degli stessi nonché di correlazione delle categorie di trattamenti svolti per ognuno di essi risulti eccessivamente difficoltosa, il registro del responsabile può riportare il rinvio, ad es., a schede o banche dati anagrafiche siti web, contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste per la corretta compilazione del registro.

 

Modelli semplificati di registro dei trattamenti


Cliccando qui puoi visionare il modello semplificato di registro dei trattamenti predisposto dal Garante Privacy per il titolare del trattamento.

Mentre in questa pagina accedi al modello di registro dei trattamenti per il responsabile (es.: la web agency).

Questi modelli di registro dei trattamenti rappresentano una utile “traccia” per qualsiasi sito web o web agency.

Non si può ovviamente mai prescindere dal caso concreto. Inoltre, è sempre meglio farsi assistere da un professionista competente in grado di aiutare la web agency e il titolare del sito web  nella corretta compilazione di questo registro.


Ogni quanto aggiornare il registro dei trattamenti


Anche la gestione del registro dei trattamenti è più semplice di quanto si possa pensare.

Infatti, il registro dei trattamenti deve essere modificato quando si modificano uno o più degli elementi in esso indicati.

Pertanto, è molto importante conservare nel tempo le diverse versioni del registro. Ciò anche per dimostrare al Garante Privacy di aver monitorato nel tempo la gestione della privacy.
 

Come redigere il registro dei trattamenti con LegalBlink


Contattaci per redigere un registro dei trattamenti a norma!


E’ facile e veloce:

  • call con legale esperto in privacy
  • redazione e invio del registro dei trattamenti
  • call finale con te.

 

LegalBlink è anche consulenza legale per ecommerce e siti web

 

Inoltre, tramite il nostro innovativo servizio di assistenza legale, puoi ottenere consulenza legale specifica in ambito ecommerce e digitale.

I nostri legali, coordinati dall’avvocato Lorenzo Grassano, sono tutti esperti nel diritto delle nuove tecnologie. Sono quindi in grado di assistere il tuo business digitale a 360°.
 

Genera i documenti legali con LegalBlink

 

LegalBlink è anche un innovativo generatore di documenti legali:

pacchetto Fast Legal. Genera in autonomia i documenti legali per il tuo sito web

pacchetto Easy Merchant. I nostri legali generano tutti i documenti per vendere online in sicurezza.
 

Team LegalBlin