DPIA per gli e-commerce?

Risposta di

Barbara Weisz

scritto il

Marco chiede

Mi chiedo se gli e-commerce debbano fare il Protection Impact Assessment (DPIA): la cosa è legata anche al numero di clienti che si ha?

Barbara Weisz risponde

Credo proprio di sì, gli e-commerce utilizzano nuove tecnologie e quindi rientrano fra i soggetti obbligati alla valutazione d’impatto del rischio di violazioni sulla protezione dei dati.

Il riferimento normativo è l’articolo 35 del GDPR, che prevede l’obbligo di DPIA:

quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

L’e-commerce per sua natura prevede l’uso delle nuove tecnologie legate al web, e (sempre per sua natura) raccoglie dati su larga scala.

I clienti inseriscono i propri dati personali ed effettuano pagamenti online, quindi il titolare del trattamento deve assicurarsi che le procedure garantiscano la protezione dei dati. Di conseguenza, indipendentemente dal numero di clienti, credo debba effettuare la valutazione.