Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
11/03/2022
Per rispettare il GDPR, se gestisci un sito web oppure un ecommerce devi possedere un registro dei trattamenti. Il registro dei trattamenti è così importante che l’8 settembre 2018 il Garante Privacy ha pubblicato delle FAQ che hanno spiegato come redigere questo documento richiesto dal GDPR.
Le FAQ sono pensate anche per i siti web ed ecommerce. Questo perchè il registro dei trattamenti mappa il modo di trattare i dati personali degli utenti.
E’ quindi un documento che deve essere sempre redatto dai titolari di siti web e siti di commercio elettronico.
La presente guida è stata pubblicata poco dopo la pubblicazione delle FAQ del Garante Privacy.
Il documento si è poi arricchito con le risposte alle domande pervenute negli ultimi due anni al nostro Team di legali, tutti avvocati esperti in privacy e diritto digitale.
Vuoi rimanere aggiornato sulle novità legali del mondo e-commerce e digitale? Seguici sui nostri gruppi social: Facebook, YouTube e LinkedIn!
SOMMARIO
Cos'è il registro dei trattamenti. Chi deve redigerlo
Molte App per generare il registro dei trattamenti non sono corrette
Il contenuto del registro dei trattamenti
Quanti registri dei trattamenti deve avere una web agency?
Modelli semplificati di registro dei trattamenti
Ogni quanto aggiornare il registro dei trattamenti
Come redigere il registro dei trattameni con LegalBlink
LegalBlink è anche assistenza legale per web agency e siti web
Il registro dei trattamenti “mappa” le operazioni di trattamento dei dati personali effettuate dal titolare del trattamento e dal responsabile del trattamento, se presente.
Ricordiamo che il titolare del sito web agisce in qualità di titolare del trattamento (in quanto decide i mezzi e le finalità del trattamento).
Diversamente, la web agency (che tratta i dati personali dei clienti del sito web), agisce in qualità di responsabili del trattamento.
Ciò posto, vi sono ambiti dove anche la web agency può agire anche come titolare del trattamento.
Ciò avviene quando tratta, per esempio, i dati personali dei suoi dipendenti o consulenti. Pertanto, la web agency deve redigere due registri del trattamento, uno in qualità di responsabile, l’altro in qualità di titolare del trattamento.
Il registro dei trattamenti deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
La forma più comune di conservazione del registro dei trattamenti è un foglio excel.
In particolare, sono obbligati a redigere il registro dei trattamenti i titolari di siti web (e-commerce o “vetrina”) e le web agency:
a. con almeno 250 dipendenti
b. che effettuano trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’utente.
c. che effettuino trattamenti non occasionali.
Quale sito web o web agency tratta dati personali in modo occasionale? Probabilmente solamente il sito che è stato aperto e chiuso in pochi giorni.
Pertanto, se il sito web è online, è necessario dotarsi di un registro dei trattamenti.
Stesso discorso vale per la web agency. Se una web agency è operativa e tratta i dati personali dei clienti del sito web, deve dotarsi di un registro dei trattamenti.
Quanto sopra ci fa capire che il registro dei trattamenti serve praticamente sempre.
L’unica esclusione in ambito digitale può riguardare il sito rimasto offline e che, pertanto, non tratta dati personali degli utenti.
Il GDPR ha rappresentato una importante novità in ambito digitale ed ecommerce. Purtroppo è stata l’occasione per proporre servizi non sempre necessari per rispettare il Regolamento. Servizi molto spesso costosi o non riferiti alla concreta situazione del singolo sito web.
Questo è avvenuto anche per il registro dei trattamenti.
Infatti, su internet si possono vedere molti servizi che, con quanto stabilito dalle FAQ del Garante Privacy, c’entrano poco o nulla.
Molto spesso sono app per generare il registro dei trattamenti complesse e difficile da usare.
Come avrai invece modo di scoprire in questo articolo, generare il registro dei trattamenti per la tua attività può essere facile e veloce!
Il registro dei trattamenti deve contenere sempre almeno le seguenti informazioni:
Quali sono le tipiche finalità di trattamento per un sito di ecommerce o un sito web?
Di solito sono (almeno) queste:
(i) esecuzione del contratto;
(ii) adempimento di obblighi di legge (contabili e amministrativi);
(iii) customer care;
(iv) difesa in giudizio (eh sì, a volte gli utenti del sito possono fare causa …).
Inoltre, è necessario indicare nel registro dei trattamenti la base giuridica del trattamento, che in ambito digitale ed e-commerce può essere:
a. il consenso dell’utente (ad esempio, rilasciato per ricevere newsletter dal Merchant)
b. l’esecuzione di un contratto (l’ordine di acquisto)
c. l’adempimento di un obbligo di legge (si pensi a tutti gli obblighi fiscali che gravano sul Merchant …)
d. il legittimo interesse (ad esempio, per rispondere alle richieste dell’utente pervenute tramite il sito). Il Garante Privacy ha suggerito di indicare una descrizione del legittimo interesse concretamente perseguito.
Per “interessato” si deve intendere l’utente del sito web.
Per il sito di commercio elettronico è anche il cliente o potenziale cliente.
Le categorie di dati personali sono quelli conferiti direttamente sul sito. Ad esempio:
a. dati anagrafici
b. indirizzo di residenza
c. codice fiscale
d. email.
I destinatari possono essere indicati anche semplicemente per categoria di appartenenza.
Sono quei soggetti ai quali vengono comunicati i dati personali degli utenti del sito web.
Tra questi soggetti possono figurare:
a. lo spedizioniere
b. il commercialista
c. la web agency
d. le autorità pubbliche, su loro richiesta.
E’ molto frequente che un sito web trasferisca dati personali fuori dall’Unione europea.
Molto spesso, ciò accade senza saperlo. O senza prestarci particolare attenzione.
Stesso discorso vale per la web agency. Molto spesso i dati sono conservati in server allocati fuori dall’Unione europea.
Un tipico esempio? Sito web oppure sito di ecommerce che utilizza una società americana per l’invio di newsletter: 9 volte su 10 la piattaforma che ospita i dati personali degli utenti (le email) è allocata su server statunitensi: questo significa che i dati personali vengono trasferiti in USA per essere trattati al fine dell’invio di newsletter.
Ebbene, se i dati personali degli utenti sono conservati presso server allocati fuori dall’Unione europea, questa è una informazione da inserire nel registro dei trattamenti.
Medesimo discorso vale se i dati vengono comunicati a soggetti fuori dall’UE: informazione da indicare nel registro del trattamento.
Il registro dei trattamenti deve indicare anche le misure di sicurezza applicate.
Le misure possono essere descritte in forma riassuntiva e sintetica.
L’importante è fornire un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte. E’ possibile anche fare rinvio a documenti esterni che descrivano in modo dettagliato le misure di sicurezza implementate (es. procedure organizzative interne; security policy ecc.).
Verso i propri clienti, la web agency agisce in qualità di responsabile del trattamento.
Ebbene, quanti registri dei trattamenti deve possedere la web agency? Uno per ogni cliente?
Sotto questo profilo, il Garante Privacy ha chiarito che il responsabile del trattamento deve avere tante sezioni del registro dei trattamenti per quanti sono i titolari del trattamento (clienti della web agency.)
Se, a causa dell’ingente numero di titolari per cui si operi, l’attività di puntuale indicazione e di continuo aggiornamento dei nominativi degli stessi nonché di correlazione delle categorie di trattamenti svolti per ognuno di essi risulti eccessivamente difficoltosa, il registro del responsabile può riportare il rinvio, ad es., a schede o banche dati anagrafiche siti web, contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste per la corretta compilazione del registro.
Cliccando qui puoi visionare il modello semplificato di registro dei trattamenti predisposto dal Garante Privacy per il titolare del trattamento.
Mentre in questa pagina accedi al modello di registro dei trattamenti per il responsabile (es.: la web agency).
Questi modelli di registro dei trattamenti rappresentano una utile “traccia” per qualsiasi sito web o web agency.
Non si può ovviamente mai prescindere dal caso concreto. Inoltre, è sempre meglio farsi assistere da un professionista competente in grado di aiutare la web agency e il titolare del sito web nella corretta compilazione di questo registro.
Anche la gestione del registro dei trattamenti è più semplice di quanto si possa pensare.
Infatti, il registro dei trattamenti deve essere modificato quando si modificano uno o più degli elementi in esso indicati.
Pertanto, è molto importante conservare nel tempo le diverse versioni del registro. Ciò anche per dimostrare al Garante Privacy di aver monitorato nel tempo la gestione della privacy.
In ogni caso suggeriamo di effettuare un check al registro dei trattamenti almeno 1 volta all'anno, possibilmente con l'assistenza di un avvocato esperto in privacy digitale.
Con LegalBlink puoi generare il registro dei trattamenti in modo facile e intuitivo. Infatti, in ogni pacchetto è stato inserito il template per poter generare:
Inoltre, tramite il nostro innovativo servizio di assistenza legale, puoi ottenere consulenza legale specifica in ambito ecommerce e digitale. I nostri legali, coordinati dall’avvocato Lorenzo Grassano, sono tutti esperti nel diritto delle nuove tecnologie. Sono quindi in grado di assistere il tuo business digitale a 360°.
LegalBlink è anche un innovativo generatore di documenti legali:
pacchetto Fast Legal. Genera in autonomia i documenti legali per il tuo sito web
pacchetto Easy Merchant. I nostri legali generano tutti i documenti per vendere online in sicurezza.
Per progetti più strutturati è possibile avvalersi di una consulenza legale specifica.
Team LegalBlink