Indice dei contenuti
Gdpr per e-commerce: incarichi del titolare del trattamento dati
Il Reg. Ue 2016/679 sposa il principio di accountability, per cui il titolare del trattamento dei dati ha l’onere di dimostrare di avere redatto e attuato processi conformi per la registrazione e la successiva gestione dei dati personali, quindi:
- informative e conseguente raccolta e gestione dei consensi per registrazione, newsletter, delivery, oltre ad eventuali ulteriori finalità quali marketing e profilazione;
- gestione di una eventuale revoca/modifica dei consensi;
- gestione dei dati del personale che opera sul canale B2C, personale, email, fatturazione ecc.
Tali misure sono a carico del titolare del trattamento, l’impresa che tramite la piattaforma B2C realizza il proprio business, il quale identifica i Responsabili del trattamento, tra i quali, ad esempio l’agenzia Web, gli sviluppatori e i gestori della piattaforma.
Adeguamento Gdpr per e-commerce: differenze fra obblighi dell’agenzia marketing e azienda titolare
Tali responsabili hanno di conseguenza i propri adempimenti specifici, distinti da quelli dell’imprenditore.
Gli adempimenti sopra descritti devono essere documentati redigendo il registro dei trattamenti e nominando i soggetti autorizzati (es. collaboratori e dipendenti), ai quali erogare adeguata formazione.
Deve, inoltre, essere effettuata l’analisi dei rischi del Sistema Informativo interno/esterno (ivi compresa l’eventuale gestione in cloud) e devono essere attuate dall’azienda idonee misure di sicurezza utili ad abbassare il rischio di trattamento dei dati illecito o non conforme, prevedendo anche un processo e un sistema di registrazione per la gestione dei data breach.
Gdpr compliance per negozi online: rischi in caso di mancato adeguamento
Inoltre, in questi casi si deve nominare il DPO/Responsabile Protezione Dati che funge da raccordo con l’autorità di controllo e ha il compito di verificare l’efficace attuazione degli adempimenti e rispondere alle richieste di esercizio dei diritti degli interessati/clienti, nonchè redigere report periodici dell’attività di controllo. Per maggiori informazioni, è possibile visitare la sezione dedicata alla consulenza in privacy e GDPR.
In alcuni casi, infine, è necessario predisporre un Privacy Impact Assessment (PIA) prima di iniziare il trattamento dei dati personali.
Le sanzioni non hanno un minimo, ma possono arrivare fino al 4% del fatturato o fino a 20 milioni di €.
