La conservazione dei dati delle carte di credito al solo scopo di agevolare ulteriori operazioni online è sempre possibile oppure ci sono delle condizioni da rispettare?
Ridurre i click che separano l’acquirente dalla conclusione dell’acquisto è una delle principali soluzioni per scongiurare il rischio del carrello abbandonato. Diverse statistiche, infatti, dimostrano che inserire troppi step per chiudere l’ordine possa far desistere l’acquirente e quindi incidere sulla possibilitĂ di conclusione dell’ordine.
Fra questi step, vi è chiaramente l’inserimento dei dati relativi al metodo di pagamento. Tale fase rappresenta certamente una lungaggine se paragonata, ad esempio, all’esperienza di alcune notissime piattaforme che registrano tali dati nell’area personale dell’utente. Attraverso tale registrazione, infatti, il passaggio sparisce e viene assorbito nell’unico click finale che separa l’utente dall’acquisto.
Un click in meno e (forse) un ordine in piĂą.
Sembra tutto perfetto ma c’è un problema: siamo sicuri che questa scelta sia solo una questione di marketing? Siamo davvero legittimati a conservare questo dato senza conseguenze sul piano legale?
Conservazione dati personali di pagamento: le raccomandazioni del EDPB
Per rispondere a questa domanda, richiamiamo le indicazioni contenute nella raccomandazione 2/2021 del EDPB, il Comitato Europeo per la Protezione dei Dati Personali, che affronta specificamente tale aspetto.
Secondo quanto indicato, mentre la raccolta di tale dato è indispensabile al momento della vendita, poichĂ© contrattualmente senza i dati di pagamento non può concludersi l’ordine, non può dirsi altrettanto dell’ulteriore conservazione finalizzata a facilitare le ulteriori operazioni future.
E allora, a quali condizioni possiamo conservare i dati di pagamento per agevolare gli acquisti futuri?
La risposta del Comitato è univoca: affinchĂ© il merchant possa legittimamente trattare quel dato occorre il consenso dell’interessato.
Secondo le indicazioni del GDPR, per trattare legittimamente quel dato e non rischiare sanzioni fino a € 20.000.000.
Come conservare i dati di pagamento: la raccolta del consenso
Pertanto prima di implementare questo sistema occorre mettere a norma il flusso di raccolta del consenso come ad esempio si dovrĂ :
- rendere l’informativa con il dettaglio, fra l’altro, di tale finalità ;
- raccogliere tale consenso in maniera specifica, granulare, libera ed inequivocabile e quindi in maniera separata da qualsiasi altro consenso eventualmente raccolto;
- progettare tale percorso in maniera tale che i consensi raccolti siano legittimamente dimostrabili.
In aggiunta, conservare tutti i dati di pagamento comporta un’ulteriore attenzione dal punto di vista della sicurezza del sito e l’adozione di adeguate misure di sicurezza, poiché ciò comporta un aumento del rischio per gli interessati. - In conclusione, implementare questo meccanismo può sicuramente avere dei risvolti positivi, ma è fondamentale che venga accolto con le dovute cautele, nel rispetto di tutte le prescrizioni del GDPR.
avv. Manuela Borgese
Vicepresidente
AICEL