L’avvento del GDPR, con la creazione di un unico regime di protezione dei dati nel territorio dell’Unione, ha innovato l’intero mercato europeo e ha dato una nuova impronta ai rapporti tra imprenditori e consumatori a cui si intende garantire la massima trasparenza e il controllo dei dati che li riguardano. In questa nuova visione di business gioca un ruolo fondamentale la figura del titolare del trattamento che responsabilmente dovrà tutelare i dati degli interessati mettendo a punto un approccio e delle attività che assicurino la loro sicurezza.
Concentrando l’attenzione sui siti di e-commerce, vediamo brevemente cosa, nella pratica, devono fare i gestori dei siti per ottenere la compliance al GDPR.
Principali adempimenti delle società di e-commerce ai sensi del GDPR
Il GDPR è il Regolamento Europeo 2016/679 in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali entrato in vigore il 24 maggio 2016 e divenuto direttamente applicabile in tutti gli Stati membri a partire dal 25 maggio 2018. Il GDPR ha abrogato la direttiva 95/46/CE rafforzandone i principi ed introducendo prospettive nuove a garanzia della tutela e della libera circolazione dei dati personali. Gli effetti delle previsioni GDPR si esplicano non solo nei confronti degli utenti/consumatori ma anche nei confronti di aziende, liberi professionisti, associazioni e PA. Le imprese, in particolare, dovrebbero guardare al GDPR come ad una guida alla luce della quale fondare, ancor prima di iniziare a trattare i dati personali, il loro progetto e poi svolgere le proprie attività. La conformità delle imprese al GDPR non vuole rappresentare uno sterile adeguamento alla legge ma uno degli obiettivi primari per creare valore aggiunto non solo in termini privacy ma in termini di business.
La grande novità del GDPR rispetto al passato consiste soprattutto nella accentuazione del concetto di responsabilizzazione (“accountability”) del titolare del trattamento, il quale potrà essere libero di decidere in autonomia le modalità, le garanzie e i limiti del trattamento nel rispetto delle normative e allo stesso tempo dovrà essere capace di attuare e dimostrare concretamente di aver adottato tutte le misure idonee a proteggere i diritti degli interessati.
Le imprese che hanno un sito di e-commerce e che, inevitabilmente, trattano i dati personali dei loro utenti/clienti sono soggetti a una serie di adempimenti ai sensi del GDPR.
I principali sono:
il registro delle attività di trattamento (articolo 30 GDPR)
Il registro delle attività di trattamento è un documento scritto, anche in formato elettronico, da mantenere costantemente aggiornato, che contiene le principali informazioni relative alle operazioni di trattamento svolte dal titolare o dal responsabile del trattamento. Questo adempimento è uno tra i più importanti esempi di accountability in quanto permette di avere una mappa completa dei trattamenti in essere all’interno della propria organizzazione (incluso il trattamento dei dati dei propri dipendenti). Il registro deve essere costituito da diverse sezioni che descrivano le finalità del trattamento, le categorie degli interessati e dei dati personali, le informazioni relative all’eventuale trasferimento dei dati personali verso un paese terzo, i termini di cancellazione dei dati e le misure di sicurezza adottate.
la valutazione d’impatto – Data Protection Impact Assessment – DPIA (articolo 35 GDPR)
La DPIA consiste in un processo che, partendo dall’analisi di un trattamento e la valutazione dei principi di proporzionalità e necessità ad esso correlati, permette di identificare i rischi connessi al trattamento per i diritti e le libertà delle persone fisiche al fine di mitigarli tramite idonee misure tecniche ed organizzative. Si tratta, anche in questo caso, di un tipico strumento di responsabilizzazione del titolare del trattamento che sin dalle prime fasi di ideazione del trattamento deve essere in grado di gestire gli eventuali problemi connessi. Il GDPR richiede la DPIA per i trattamenti che è probabile che presentino rischi elevati per i diritti e le libertà fondamentali della persona (come, per esempio, i trattamenti su larga scala), tuttavia questa è una prassi consigliabile per tutti i trattamenti perché capace di rendere pienamente consapevole il titolare della necessità e della proporzionalità delle attività di trattamento.
la designazione degli incaricati di trattamento (articolo 4, paragrafo 10 e articolo 29 del GDPR)
La figura dell’incaricato del trattamento di cui all’ex articolo 30 del Codice privacy non è espressamente prevista dal GDPR che però, similmente, fa riferimento alle persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile. L’individuazione degli incaricati al trattamento rappresenta una misura atta a garantire e a dimostrare la conformità alla legge per cui non può non essere che pienamente compatibile con la struttura e lo spirito del GDPR.
La predisposizione di lettere con cui si autorizzano ciascuno dei soggetti che operano con i dati personali è vivamente consigliata nello spirito di una maggiore responsabilizzazione condivisa del personale interno ad una organizzazione. Le autorizzazioni al trattamento dovrebbero essere redatte con disposizioni ad hoc tenendo conto, in base all’organigramma aziendale, delle effettive funzioni svolte e dei relativi compiti attribuiti.
l’adozione di specifiche misure di sicurezza (articolo 32 GDPR)
In linea con l’esigenza di osservare il GDPR nella sua interezza è obbligatorio predisporre delle misure tecniche ed organizzative idonee per la protezione dei dati. La valutazione di quali misure adottare deve essere fatta caso per caso in base ai trattamenti effettuati ed ai rischi connessi.
In un sito di e-commerce potrebbe essere di fondamentale importanza prevedere, per esempio, una procedura per la gestione/concessione degli accessi ai gestionali tra gli operatori, l’assegnazione e la idonea conservazione di credenziali sicure e riservate a ciascuno di essi, l’eventuale utilizzo di tecniche di pseudonimizzazione se dovesse essere necessario conservare dei dati o semplicemente per limitare la loro visibilità. In linea generale è prioritario coprire ogni ramo dell’infrastruttura IT applicando le migliori misure tecniche.
la creazione del registro per le violazioni (articolo 33 GDPR)
Indipendentemente dal fatto che il titolare del trattamento sia tenuto a effettuare o meno la notifica al Garante Privacy delle violazioni dei dati personali, è obbligatorio che predisponga un apposito registro in caso di successive verifiche sul rispetto del GDPR. Tale documento deve registrare i dettagli relativi alla violazione, le cause che l’hanno generata, i dati personali coinvolti, le conseguenze e i rimedi adottati. Inoltre, è consigliabile, sia per il titolare che per il responsabile del trattamento, disporre di una procedura per individuare e reagire al meglio alle violazioni e notificarle.
la predisposizione di accordi relativi al trattamento dei dati personali (articolo 28 GDPR)
Qualora per il trattamento dei dati personali, anche solo in parte, si ricorra a un soggetto esterno è necessario predisporre un contratto o un accordo che disciplini il rapporto tra titolare e responsabile del trattamento, i loro diritti e obblighi e tutte le informazioni relative all’attività di trattamento effettuate per conto del titolare del trattamento.
Un sito di e-commerce può avvalersi di fornitori che, tipicamente in qualità di responsabili del trattamento (i ruoli privacy vanno valutati caso per caso), elaborano i dati al fine di fornire alcuni servizi.
Per esempio, in un sito di e-commerce, il servizio di invio delle newsletter può essere gestito esternamente come di solito viene esternalizzato anche il servizio di trasporto della merce affidata via corriere. In questi casi, dunque, è necessario prima di tutto scegliere un fornitore capace di garantire in termini di competenza, affidabilità e risorse tecniche l’osservanza del GDPR e, in secondo luogo, predisporre con lui un accordo che lo vincoli a rispettare le istruzioni ed il GDPR stesso.
la nomina del responsabile della protezione dei dati (articolo 37 GDPR)
Il titolare e il responsabile del trattamento ai sensi dell’articolo 37, paragrafo 1, lettera b), devono designare (e comunicarne la designazione al Garante Privacy) un responsabile della protezione dei dati (“DPO”) quando le loro attività principali consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala. Un sito di e-commerce potrebbe ricadere in questa ipotesi e quindi il gestore sarà obbligato a nominare un DPO interno od esterno che, in piena indipendenza, possa sorvegliare il rispetto del GDPR, informare e supportare il titolare/responsabile e cooperare con il Garante.
formazione del personale e predisposizione di procedure (articolo 29 GDPR)
Aspetti che meritano particolare attenzione sono la formazione del personale e la predisposizione di procedure che siano d’aiuto pratico per la corretta gestione dei dati personali.
La formazione del personale coinvolto nel trattamento dei dati personali è fondamentale per diverse ragioni: fornisce gli strumenti per gestire i dati, sollecita domande che possono rilevare problematicità non ancora scoperte, evita condotte inconsapevoli e disattente che possono compromettere la sicurezza dei dati, stimola proattività nel garantire il corretto funzionamento di strutture informatiche e accresce la cultura aziendale.
Tra le procedure si possono segnalare quelle di data retention o quelle che riguardano la gestione delle richieste degli interessati che esercitano i propri diritti ai sensi del GDPR e che consentono ai dipendenti incaricati di avere una guida a portata di mano per dare un celere riscontro nelle diverse ipotesi che si possono prospettare.
Requisiti per un sito di e-commerce a norma GDPR
Al fine di adeguare un sito di e-commerce al GDPR, il gestore deve necessariamente prevedere la presenza sul sito di alcune informazioni. In particolare deve:
rendere all’interessato l’Informativa sulla privacy (articolo 13 GDPR)
Il gestore di un sito prima di raccogliere dati personali e di effettuarne il trattamento deve fornire una serie di informazioni all’utente/consumatore anche in modo da consentirgli di esercitare i diritti elencati dall’articolo 15 all’articolo 22 del GDPR.
L’informativa sulla privacy deve contenere tassativamente alcune indicazioni che sono elencate al paragrafo 1 dell’articolo 13 del GDPR. Tra le informazioni più importanti possiamo ricordare: l’identità del titolare del trattamento, i dati di contatto del DPO, il presupposto giuridico su cui si basa il trattamento, l’eventuale indicazione sul trasferimento dei dati in Paesi terzi. Altre informazioni utili a garantire un trattamento corretto e trasparente riguardano: il periodo di conservazione dei dati incluso il criterio usato per stabilirlo, il diritto di presentare un reclamo all’Autorità di controllo, l’eventuale utilizzo di processi decisionali automatizzati compresa la profilazione.
L’informativa svolge una funzione molto importante in quanto è il documento che presenta all’interessato per la prima volta tutti i dettagli relativi trattamento e sulla base del quale egli forma la sua conoscenza e decisione. Per questa ragione, l’Informativa deve essere in grado di spiegare in maniera concisa, trasparente, intellegibile e facilmente accessibile tutto ciò che riguarda la gestione dei dati personali.
Se il sito di e-commerce si rivolge anche a soggetti minori d’età, il gestore del sito deve prevedere un’idonea Informativa sulla privacy, eventualmente una a loro dedicata nella quale venga usato un linguaggio ancora più chiaro e semplice. E’ anche possibile avvalersi di video e materiali multimediali in combinazione con l’Informativa estesa come nell’idea dell’Istituto italiano per la privacy che ha proposto una informativa a fumetti per renderla più efficace in termini di comprensibilità e accessibilità.
rivedere la politica sui cookie in conformità al GDPR
Il GDPR cita i cookie al Considerando 30 prevedendo che le persone fisiche possono essere associate agli identificativi on line prodotti dai cookie e che il loro contenuto, se combinato con altre informazioni, può condurre all’identificazione di un individuo e fornire una visione approfondita delle sue attività e preferenze. Di conseguenza, i cookie che sono utilizzati in modo da poter identificare l’utente sono soggetti al GDPR.
Si tratta, in particolare ma non solo, dei cookie di profilazione (soprattutto quelli di terze parti) che vengono utilizzati per monitorare e creare profili degli utenti durante la navigazione, studiare i loro movimenti e abitudini di consultazione del web o di consumo, anche allo scopo di inviare pubblicità di servizi mirati e personalizzati.
Queste tipologie di cookie sono considerate particolarmente invasive della sfera privata degli utenti e, per questa ragione, la normativa europea e italiana prevede che l’utente debba essere adeguatamente informato (tramite un banner nella home del sito e una cookie policy) e messo nelle condizioni di esprimere attivamente il proprio consenso all’utilizzo di tali cookie e di ritirarlo in qualsiasi momento.
Caratteristiche per un valido consenso dell’interessato
Il consenso rappresenta uno dei sei presupposti legittimi per trattare i dati personali ai sensi dell’articolo 6, paragrafo 1, del GDPR. Il trattamento che si basa sul consenso dell’interessato è consentito e valido nella misura in cui l’interessato sia concretamente in grado di scegliere e controllare il trattamento dei propri dati per una o più specifiche finalità senza subire alcun pregiudizio. Alla luce di ciò, l’invito ad accettare il trattamento dei propri dati personali deve necessariamente essere soggetto a criteri rigorosi e deve ammettere il rifiuto o la revoca da parte dell’interessato, pena l’illiceità del trattamento stesso.
La manifestazione di assenso dell’interessato al trattamento dei propri dati deve infatti risultare libera, specifica, informata ed inequivocabile ed espressa mediante una dichiarazione o un’azione positiva inequivocabile.
Il consenso è prestato liberamente se l’interessato non si sente in alcun modo obbligato o influenzato ad acconsentire o non subirà conseguenze negative in mancanza del suo consenso. A tal proposito è bene tenere sempre distinto il consenso rispetto all’esecuzione di un contratto che è un’altra base legittima per la liceità del trattamento dei dati personali. Ciò significa che il consenso non deve mai assumere il valore di una controprestazione contrattuale e per questo il GDPR mira a garantire che la finalità del trattamento dei dati personali non sia mascherata né accorpata all’esecuzione di un contratto o alla prestazione di un servizio per il quale i dati personali non sono necessari.
Nel caso di un sito di e-commerce, il consenso non potrà essere il presupposto idoneo su cui basare il trattamento dei dati quando questi sono effettivamente necessari per l’esecuzione del contratto o la prestazione di un servizio. Dal momento che il trattamento è necessario per poter dare esecuzione al contratto o al servizio richiesto non siamo più di fronte ad una reale libera scelta in merito al trattamento dei propri dati. Il trattamento dei dati necessari, dunque, si baserà sull’esecuzione del contratto ed, invece, gli eventuali trattamenti che rispondono ad altre finalità si potranno basare sul consenso dell’interessato.
Il consenso deve poi essere specifico ossia richiesto separatamente in relazione a ciascuna delle finalità di trattamento per assicurare all’interessato di ottenere informazioni più chiare sulle tipologie di attività di trattamento e di mantenere un certo grado di controllo sui propri dati personali.
Prima di ottenere il consenso è necessario fornire informazioni chiare e semplici che consentano all’interessato di capire chi è il titolare del trattamento, quali attività verranno svolte sui dati e a quale scopo, e quindi prendere una decisione informata ed inequivocabilmente riferita a quel trattamento specifico.
Il concetto di consenso però si è evoluto con il GDPR che all’articolo 4, punto 11, richiede per la sua validità una dichiarazione o un’azione positiva inequivocabile da parte dell’interessato.
In altre parole ai sensi del GDPR il consenso deve essere espresso attraverso una dichiarazione oppure in modo attivo intraprendendo un’azione deliberata per acconsentire allo specifico trattamento. Il consenso implicito, come quello espresso attraverso caselle preselezionate, non è valido nell’Unione, anche se si dovessero trattare solo dati personali comuni.
In un contesto digitale e on line il titolare del trattamento è obbligato quindi a progettare dei meccanismi di consenso chiari e non ambigui (come per esempio la tecnica del radio button che rende subito evidente all’interessato che si trova dinanzi ad una opzione che può accettare o rifiutare a sua completa discrezione) senza, allo stesso tempo, eccedere con il numero di richieste rischiando così di vanificare l’effetto di avvertimento e accessibilità.
I dati personali da (non) chiedere
Una delle domande fondamentali che il titolare del trattamento deve porsi prima di iniziare le attività di trattamento riguarda il numero e la tipologia di dati da richiedere agli interessati.
La risposta dovrà essere formulata alla luce del principio di minimizzazione di cui all’articolo 5 paragrafo 1, lettera c), del GDPR che richiede che i dati siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
È dunque necessario escludere qualsiasi dato che ecceda rispetto alla finalità preposta.
A mero titolo esemplificativo, al gestore di un sito di e-commerce che si propone di vendere libri, vinili e cd musicali non sarà necessario conoscere il sesso, il luogo e la data di nascita, il titolo di studio o i generi letterari e musicali preferiti del cliente per poter adempiere correttamente al proprio contratto; così come al gestore di un sito che offre servizi di consegna a domicilio di prodotti alimentari a km zero non serve chiedere ai consumatori informazioni personali quali lo stato di famiglia, l’indicazione del supermercato nel quale ci si rifornisce abitualmente, della professione svolta o delle scelte alimentari per poter eseguire il servizio.
Si noti che il principio di minimizzazione si può estendere anche in relazione alle autorizzazioni di accesso ai dati da parte degli incaricati del titolare del trattamento. All’interno di una organizzazione, obblighi di riservatezza a parte, è inopportuno che l’intero personale abbia accesso ai dati personali dei propri clienti o che, per esempio, agli operatori di customer care siano rese visibili tutte le informazioni personali dei consumatori. Non tutti i dati dei clienti sono necessari per poter svolgere la propria prestazione lavorativa ed, in quest’ottica, possono tornare utili misure di sicurezza quali le tecniche di anonimizzazione o pseudonimizzazione che permettono di evitare il più possibile di esporre a rischi di violazione i dati dei consumatori.
La profilazione degli interessati
Per profilazione, ai sensi dell’articolo 4, punto 4, del GDPR, si intende qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.
La profilazione è caratterizzata quindi da tre aspetti.
Il primo è relativo al fatto che l’attività di profilazione implica qualche forma, anche parziale, di trattamento automatizzato. Il secondo aspetto è che tale attività deve essere effettuata su dati personali. E l’ultimo è che la profilazione ha come scopo la valutazione e il giudizio in merito a una persona fisica.
Tipicamente la profilazione si sviluppa, di conseguenza, passando da tre fasi: i) la raccolta dei dati personali i quali possono provenire da diverse fonti, ii) l’analisi automatizzata per individuare correlazioni e fare deduzioni eventualmente anche in base alle qualità di altre persone che sembrano statisticamente simili, iii) l’applicazione della correlazione e/o della deduzione a una persona fisica per individuare caratteristiche di comportamento presenti o future.
Quando, in definitiva, un’attività di trattamento si può definire profilazione?
Per rispondere a questa domanda è utile pensare alla finalità per cui si svolge il trattamento. Se la finalità del trattamento è la valutazione di caratteristiche individuali, lo sviluppo di un profilo di una persona specifica e l’inserimento in una determinata categoria per effettuare previsioni e trarre conclusioni in merito a questa, allora siamo di fronte a profilazione.
In altre parole, la semplice classificazione di persone basata su caratteristiche note quali età, sesso e altezza non determina necessariamente una profilazione. Una società che ha un sito di e-commerce potrebbe, per esempio, procedere ad una classificazione dei propri clienti per ragioni statistiche e per acquisire una panoramica aggregata senza l’intenzione di valutare le caratteristiche personali e i modelli di comportamento dell’individuo per poi analizzare e/o fare previsioni in merito ai suoi interessi o alle sue scelte.
Quando il titolare del trattamento intende fare profilazione è fondamentale un approccio trasparente ed equo nei confronti dell’interessato che nella maggior parte dei casi non può avere consapevolezza del processo e delle complesse tecniche con cui si giunge a creare dati personali nuovi, derivati o desunti.
Innanzitutto, quindi, il titolare del trattamento deve fornire agli interessati informazioni concise, chiare e facilmente accessibili, spiegando che intende svolgere profilazione e facendo comprendere a sufficienza la logica di tali processi, le finalità e le conseguenze del trattamento.
In secondo luogo, il titolare del trattamento, deve garantire all’interessato un trattamento corretto e che non abbia come conseguenza delle preclusioni, delle discriminazioni o degli svantaggi che, come sottolineato dal Gruppo di lavoro ex articolo 29, la profilazione potrebbe comportare, per esempio, negando ingiustamente l’accesso a opportunità di lavoro, credito o assicurazione oppure offrendo prodotti finanziari eccessivamente costosi o rischiosi.
Relativamente alla scelta della base giuridica che giustifica la profilazione, anche in questo caso, il titolare del trattamento deve guardare alla finalità effettiva che intende conseguire. La finalità potrebbe essere legata ad un obbligo di legge o all’esecuzione di un contratto o ad attività di marketing e in base a queste deve essere individuato il presupposto che legittima la profilazione. Il consenso, ricordiamo, è necessario solo se la finalità per la quale si effettua la profilazione lo richiede.
Le sanzioni pecuniarie se si viola il GDPR
La portata della responsabilità dei titolari e dei responsabili del trattamento nel garantire l’efficace tutela dei dati personali delle persone fisiche risulta evidente se si guarda al regime sanzionatorio introdotto dal GDPR.
Le sanzioni amministrative pecuniarie rappresentano una componente importante tra gli strumenti a disposizione delle Autorità di controllo per l’effettiva applicazione del GDPR.
Come tutte le misure correttive individuate dalle Autorità di controllo per affrontare la violazione del GDPR ai sensi dell’articolo 58 del GDPR, anche le sanzioni pecuniarie devono essere “effettive, proporzionate e dissuasive” e quindi tenere conto della natura, della gravità, della durata e delle conseguenze della violazione.
L’Autorità, valutate le circostanze del singolo caso in maniera coerente e oggettivamente giustificate, può imporre l’irrogazione di una sanzione pecuniaria fissata in due diversi massimali in base al tipo di violazione: fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente; fino a 20 milioni di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
I criteri per l’applicazione delle sanzioni e per la definizione del loro ammontare sono enunciati al paragrafo 2 dell’articolo 83 del GDPR che attribuisce all’Autorità il compito di disporre caso per caso le misure più appropriate. La sanzione pecuniaria può essere associata ad altre misure correttive, che a loro volta possono essere cumulate perché destinate a finalità diverse, oppure essere autonoma se è ritenuta sufficiente a ripristinare la conformità al GDPR e ad esplicare il suo effetto dissuasivo.
Qualora vengano violate diverse disposizioni del GDPR in relazione allo stesso trattamento o a trattamento collegati, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave.
Infine, occorre tenere presente che oltre questo importante regime sanzionatorio, la violazione del GDPR comporta anche un considerevole danno di immagine a carico del titolare o del responsabile del trattamento che non sono stati capaci di gestire e proteggere i dati personali.
Il GDPR: un’opportunità
Aderire al GDPR può significare molto più che essere semplicemente conformi alla legge, può innescare in ogni impresa un cambiamento benefico e duraturo se accompagnato da una sentita cultura della privacy. Coloro che fanno della privacy un elemento chiave della loro organizzazione possono sperimentare anche l’impatto commerciale positivo che questa genera.
L’imprenditore che inverte la propria prospettiva sul GDPR e non si pone come obiettivo quello di osservare la legge bensì quello di raggiungere risultati di successo integrando la privacy nei propri processi, nei propri sistemi e nelle proprie tecnologie, smetterà di vivere la privacy come un limite e un onere e finirà per creare una struttura organizzativa che protegge la privacy di default e che è già conforme alle normative.
L’imprenditore che trasformerà la comprensione della privacy in valore culturale sarà capace di ottenere il vantaggio più grande: il massimo e migliore utilizzo dei dati personali.
Certamente non si tratta di una sfida semplice e che si vince da un giorno all’altro, si richiede al contrario un impegno costante in termini soprattutto di educazione e formazione e il coinvolgimento di tutti coloro che lavorano all’interno dell’organizzazione, compresi coloro che hanno obiettivi strategici apparentemente in conflitto con la protezione dei dati personali.
Un’autentica cultura della privacy condivisa da tutti consente di suggerire modalità corrette e soluzioni ancora inesplorate (che possono anche superare il livello di protezione richiesto dalla legge) con cui utilizzare i dati per sostenere obiettivi strategici più ampi e sfruttare al massimo il loro potenziale a favore dell’impresa stessa e dei singoli individui.
I vantaggi, in questo modo, si potrebbero irradiare in diverse direzioni dell’attività imprenditoriale quali:
- la soddisfazione dei consumatori che si sentono al sicuro quando condividono i loro dati personali e sono consapevoli di riuscire a mantenere un certo grado di controllo sul trattamento dei propri dati. L’instaurazione di un rapporto trasparente farà in modo che i consumatori siano portati a condividere più dati così da accrescere il valore imprenditoriale;
- la fiducia dei dipendenti e dei collaboratori che saranno ancora più leali;
- la maggiore capacità di adattarsi ai cambiamenti normativi senza dover valutare l’impatto di ogni singola proposta di legge;
- l’incremento di rapporti commerciali sia in qualità di titolare del trattamento sia in qualità di responsabile del trattamento dei dati personali.
In poche parole, una strategia imprenditoriale che investe sull’implementazione di una cultura della privacy otterrà certamente un ritorno positivo in termini di redditività, efficienza economica e rendita del capitale investito.
Il GDPR: uno strumento per aumentare la brand reputation
Come già sottolineato in precedenza, la privacy può essere senza dubbio un fattore di differenziazione aziendale. Tra gli altri vantaggi, l’allineamento al GDPR potrebbe permettere alle aziende di aumentare la propria brand reputation e di posizionarsi in maniera duratura nel mercato come un marchio affidabile. Un’impresa potrebbe anche decidere di migliorare strategicamente la privacy andando oltre i requisiti legali e contrattuali proprio con l’intenzione di emergere nel mercato.
La reputazione e il livello di popolarità di un’azienda dipende da come vengono percepite, soprattutto dai consumatori, le azioni che questa intraprende quotidianamente e da quanto siano sentiti condivisi i valori che ispirano l’azienda e i prodotti e/o servizi che offre.
In quest’ottica l’etica, la responsabilità e la capacità comunicativa di un’impresa rappresentano una parte fondamentale.
Etica, trasparenza, accessibilità, lealtà, come noto, sono i principi che caratterizzano le disposizioni a protezione dei dati personali che primariamente tendono alla tutela dei diritti e degli interessi legittimi degli utenti/consumatori. Inevitabilmente, dunque, l’applicazione concreta da parte del titolare e del responsabile del trattamento di tutti questi principi a beneficio dei consumatori comporterà un accrescimento reputazionale e una capacità di differenziazione positiva. In fondo, l’aspetto probabilmente più importante per l’imprenditore è la soddisfazione e la fidelizzazione del consumatore che, se avrà un esperienza positiva, oltre a continuare ad essere un devoto cliente, diventerà lui stesso portavoce volontario del valore dell’azienda.
Nel caso di un sito di e-commerce, quanto le politiche e la gestione dei dati personali incideranno sull’esperienza e la fidelizzazione del consumatore? Posto che forse il potenziale dell’e-commerce non si è ancora completamente espresso, quali sono gli aspetti della privacy sui quali il gestore di un sito può lavorare per creare una interazione positiva con il consumatore nel tempo?
Alcuni degli elementi che si possono sottolineare riguardano:
le modalità con cui vengono presentate le informazioni sul trattamento dei dati:
L’utente quando interagisce con un sito non ha la possibilità (o la voglia) di dedicare molto tempo alla lettura delle policy, quindi il gestore potrebbe pensare di affiancare all’Informativa estesa relativa al trattamento dei dati personali delle informative brevi, nelle rispettive sezioni pertinenti del sito, focalizzate sulle singole finalità di trattamento, quali, per esempio per l’invio di newsletter che nella maggior parte dei casi è un servizio scisso da tutti gli altri servizi offerti su un sito. Un’altra modalità utile a rendere la comunicazione di informazioni importanti più comoda e immediata, sempre in associazione all’Informativa estesa sulla privacy, potrebbe essere l’utilizzo di guide, banner informativi o help contestuali che spieghino, per esempio, per quale motivo effettivo serve quello specifico dato richiesto.
Un secondo aspetto che merita attenzione, quando vengono rese le informazioni sul trattamento dei dati, è il linguaggio utilizzato che deve consentire una lettura scorrevole e quanto più possibile comprensibile. A volte costituisce una vera e propria impresa trasformare un temine o un concetto tecnico in un messaggio facilmente leggibile per tutti e coniugare la formalità e completezza di un documento con la sua reale accessibilità, ma lo sforzo, anche se può sembrar strano, gioverà alla consapevolezza interna e ai processi aziendali.
le finalità del trattamento:
Un fattore determinante per la percezione dei consumatori riguarda la chiarezza rispetto alle finalità per cui si trattano i dati. Anche in questo caso, fornire al consumatore, informazioni “di qualità” e dettagliate, lo predisporranno ad una maggiore disponibilità a concederle perché sicuro di aver capito come effettivamente verranno usate le sue informazioni. Se si lasciano delle zone oscure, tra la scelta di accettare e non accettare il servizio, preferirà nel dubbio non accettare.
il numero e la tipologia dei dati richiesti:
In linea generale il consumatore può trovare fastidiose le richieste di cedere informazioni personali che non sono strettamente necessarie in funzione dell’esecuzione del servizio richiesto. Per evitare questo disagio e la possibilità che nei campi obbligatori vengano inseriti dati falsi è necessario, in linea con il principio di minimizzazione, richiedere solo i dati che servono effettivamente.
le misure di sicurezza adottate:
L’utente di un sito, comunemente, non è in grado di capire a pieno il significato e il funzionamento delle misure tecniche e organizzative per la sicurezza previste dal gestore del sito e leggere che sono state messe a punto potrebbe non bastare. Il gestore del sito, per esempio, potrebbe ritenere scontata l’esigenza di garantire un elevato livello di sicurezza per le transazioni monetarie; tuttavia renderlo chiaro ai consumatori potrebbe fare la differenza soprattutto nei confronti dei più scettici.
la decisione del gestore di condividere i dati con terze parti e il grado di condivisione con queste.
Più i dati personali raccolti vengono ceduti a terze parti, maggiore sarà la diffidenza dell’utente.
Allora, quando la condivisione dei dati con soggetti terzi è necessaria, diviene di primaria importanza esplicitare chi sono esattamente i soggetti terzi (con i rispettivi riferimenti) e cosa questi terzi andranno a fare con i dati. Citare terze parti in maniera approssimativa o rinviare semplicemente alle loro policy sulla privacy potrebbe far diffidare il consumatore e far ritenere il sito poco serio.