L’8 settembre 2018 il Garante Privacy ha pubblicato (finalmente) delle FAQ che spiegano come redigere il Registro delle attività di trattamento (o, più semplicemente, “Registro dei trattamenti”) e che coinvolgono anche l’attività di web agency e merchant.
Il documento del Garante ha un contenuto abbastanza tecnico e per questo motivo abbiamo ritenuto pubblicare un articolo che chiarisse gli obblighi per chi vende online o comunque opera nel digital.
Come sempre, per qualsiasi dubbio potete poi scriverci! Ma cominciamo con ordine …
E’ un documento che contiene le principali informazioni sulle operazioni di trattamento dei dati personali svolte dal titolare e, se nominato, dal responsabile del trattamento.
Ricordiamo che in ambito ecommerce, il merchant agisce in qualità di titolare del trattamento (in quanto decide i mezzi e le finalità del trattamento), mentre le web agency (che trattano i dati personali dei clienti del merchant, vale a dire gli utenti del sito), agiscono in qualità di responsabili del trattamento. Le web agency, inoltre, agisco anche loro in qualità di titolari del trattamento. Ciò avviene quando trattano, per esempio, i dati personali dei loro dipendenti o consulenti. Pertanto, le web agency devono redigere due registri del trattamento, uno in qualità di responsabili, l’altro in qualità di titolari del trattamento.
Il registro dei trattamenti deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
In particolare, sono obbligati a redigere questo trattamento:
a. i siti ecommerce e le web agency con almeno 250 dipendenti
Per sito ecommerce” si intende la società che vende attraverso l’ecommerce che, se ha più di 250 dipendenti, dovrà appunto redigere questo registro in qualità di titolare del trattamento.
b. i siti ecommerce e le web agency (anche se hanno meno di 250 dipendenti) che effettuano trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’utente.
Un esempio tipico di web agency che effettua questo tipo di trattamenti è quella che gestisce siti di ospedali e che tratta dati sanitari dei clienti (ad esempio, conservando nel proprio server questi dati).
c. qualunque merchant o web agency (anche se hanno meno di 250 dipendenti) che effettui trattamenti non occasionali
Quale sito di ecommerce o web agency tratta dati in modo … occasione? Probabilmente solamente il sito che è stato aperto e chiuso in pochi giorni …
Posto che qualsiasi merchant e web agency tratta dati in modo non occasione, è ragionevole ritenere che qualcuno sito di ecommerce e web agency debba dotarsi di un registro dei trattamenti.
d. [questa casistica non rileva molto per il settore ecommerce, ma per completezza abbiamo ritenuto opportuno inserirla]: qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 del GDPR (quelli che una volta si chiamano “dati sensibili”) o di dati personali relativi a condanne penali.
Il registro dei trattamenti deve contenere SEMPRE almeno le seguenti informazioni:
(a) “finalità del trattamento”
Quali sono le tipiche finalità di trattamento per un sito di ecommerce? Di solito sono (almeno) queste: (i) esecuzione del contratto; (ii) adempimento di obblighi di legge (contabili e amministrativi); (iii) customer care; (iv) difesa in giudizio (eh sì, a volte gli utenti del sito possono fare causa …).
Inoltre, è necessario indicare la base giuridica del trattamento, che in ambito ecommerce può essere:
a. il consenso dell’utente (ad esempio, rilasciato per ricevere newsletter dal merchant)
b. l’esecuzione di un contratto (l’ordine di acquisto)
c. l’adempimento di un obbligo di legge (si pensi a tutti gli obblighi fiscali che gravano sul merchant …)
d. il legittimo interesse (ad esempio, per rispondere alle richieste dell’utente pervenute tramite il sito). Il Garante Privacy ha suggerito di indicare una descrizione del legittimo interesse concretamente perseguito.
(b) la “descrizione delle categorie di interessati e delle categorie di dati personali”
In ambito ecommerce, per il merchant gli “interessati” sono gli utenti del sito. I dati personali sono quelli conferiti tramite il sito (es.: dati anagrafici, indirizzo di residenza, codice fiscale, email, sesso).
(c) le “categorie di destinatari a cui i dati sono stati o saranno comunicati”
I destinatari possono essere indicati anche semplicemente per categoria di appartenenza.
(d) i “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale”
I merchant (e le web agency che li assistono) trasferiscono dati in paesi non appartenenti all’Unione europea molto spesso (e nella maggior parte delle volte senza nemmeno saperlo). Un esempio tipico? Sito ecommerce che utilizza una società americana per l’invio di newsletter: 9 volte su 10 la piattaforma che ospita i dati personali degli utenti (le email) è allocata su server statunitensi: questo significa che i dati personali vengono trasferiti in USA per essere trattati al fine dell’invio di newsletter.
(e) i “termini ultimi previsti per la cancellazione delle diverse categorie di dati”
Per quanto tempo il sito conserva i dati in base ad ogni singola finalità? Questa informazione deve essere indicata nel registro dei trattamenti!
Se non è possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi.
(f) la “descrizione generale delle misure di sicurezza”
Le misure possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).
Come abbiamo visto all’inizio di questo articolo, le web agency agiscono in qualità di responsabili del trattamento nei confronti dei merchant (che invece agiscono in qualità di titolari del trattamento).
Di solito, però, una web agency non svolge la propria attività solo per un ecommerce, ma per diversi altri siti … come deve comportarsi nei confronti del registro dei trattamenti?
Ebbene, il Garante Privacy ha chiarito che in questi casi il responsabile (nel nostro caso, appunto, la web agency) deve suddividere il registro dei trattamenti in tante sezioni quanti sono i titolari per conto dei quali agisce (i merchant).
Se, a causa dell’ingente numero di titolari per cui si operi, l’attività di puntuale indicazione e di continuo aggiornamento dei nominativi degli stessi nonché di correlazione delle categorie di trattamenti svolti per ognuno di essi risulti eccessivamente difficoltosa, il registro del responsabile può riportare il rinvio, ad es., a schede o banche dati anagrafiche dei merchant, contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste per la corretta compilazione del registro.
Cliccando qui potete visionare il modello semplificato di registro dei trattamenti predisposto dal Garante per il titolare del trattamento; mentre in questa pagina potete visionare il modello per il responsabile.
Questi modelli, seppur dimostrano l’apprezzabile sforzo del Garante di venire incontro alle esigenze delle piccole e medie imprese, sembrano un pò troppo “scarni” nel loro contenuto.
Inoltre, i modelli rappresentano una “traccia” di quello che può essere un registro dei trattamenti. Non si può ovviamente mai prescindere dal caso concreto e, inoltre, è sempre meglio farsi assistere da un professionista competente in grado di aiutare la web agency e il merchant nella corretta compilazione di questo registro.
Team LegalBlink