Chi e il titolare del trattamento?
Nel contesto della WhatsApp Business API, la tua azienda e il titolare del trattamento dei dati dei tuoi clienti: sei tu che decidi perche e come vengono trattati. Il provider BSP (Chat API) e un responsabile del trattamento che agisce per conto tuo. Meta e un ulteriore responsabile del trattamento per l'infrastruttura WhatsApp.
Questa catena di responsabilita deve essere formalizzata tramite DPA (Data Processing Agreement) con ogni soggetto. Chat API fornisce un DPA standard conforme al GDPR che regola il trattamento dei dati da parte del BSP. Meta ha il proprio DPA disponibile nei Termini di Servizio di WhatsApp Business.
Aggiorna il tuo registro dei trattamenti (richiesto per aziende con piu di 250 dipendenti, raccomandato per tutte) con una nuova voce per il trattamento dati tramite WhatsApp Business API, specificando finalita, categorie di dati, destinatari, tempi di conservazione e misure di sicurezza.
Base giuridica per i diversi tipi di comunicazione
Per le comunicazioni transazionali (conferme ordine, aggiornamenti spedizione, OTP), la base giuridica piu appropriata e l'esecuzione del contratto (art. 6.1.b GDPR): il trattamento e necessario per l'esecuzione del contratto di vendita o servizio.
Per le comunicazioni di marketing e promozionali via WhatsApp, la base giuridica e il consenso esplicito (art. 6.1.a GDPR). Il consenso deve essere libero, specifico, informato e documentato. Non puoi basarti sul legittimo interesse per comunicazioni WhatsApp marketing in quanto il bilanciamento degli interessi e difficilmente soddisfatto per comunicazioni commerciali su canali personali.
Per il recupero carrello abbandonato via WhatsApp, la base giuridica e dibattuta: alcuni DPO considerano accettabile il legittimo interesse per i clienti che hanno iniziato un processo di acquisto; altri richiedono il consenso esplicito. La scelta piu prudente e raccogliere il consenso specifico al checkout.
Informativa privacy e trasparenza
Aggiorna la tua informativa privacy per includere l'uso di WhatsApp Business API come strumento di comunicazione, specificando: il provider BSP utilizzato (Chat API by Roxpay), le finalita del trattamento, i tipi di dati trattati, i tempi di conservazione, e i diritti dell'interessato (accesso, cancellazione, portabilita).
Misure tecniche e organizzative
Le misure tecniche minime richieste dal GDPR per il trattamento di dati via WhatsApp Business API includono: accesso ai pannelli di gestione solo per personale autorizzato con credenziali personali, log degli accessi e delle operazioni sensibili, cifratura dei dati in transito e a riposo (garantita dall'infrastruttura WhatsApp e da Chat API), e procedure di incident response in caso di data breach.
Definisci una politica di conservazione dei dati: per quanto tempo conservi i log delle conversazioni WhatsApp? Per la maggior parte delle finalita, 12-24 mesi e un periodo ragionevole. Implementa processi automatici di cancellazione dei dati scaduti.
