GDPR per E-commerce
Gli adempimenti GDPR specifici per i negozi online: informativa, cookie, marketing, gestione ordini e terze parti.
Un e-commerce raccoglie e tratta quotidianamente una quantità elevata di dati personali: anagrafiche dei clienti, indirizzi di spedizione, dati di pagamento (anche tramite terze parti), cronologie degli ordini, comportamenti di navigazione e, spesso, dati per finalità di marketing. Ogni fase del processo — dalla visita al sito fino al post-vendita — comporta obblighi specifici di conformità al GDPR.
Obblighi e adempimenti
Informativa privacy completaPrioritario
L'informativa deve essere facilmente accessibile (di norma nel footer), redatta in linguaggio chiaro e descrivere tutte le finalità di trattamento: gestione ordini, spedizioni, assistenza, marketing, analisi statistiche. Deve indicare i destinatari dei dati (es. corrieri, gateway di pagamento) e i periodi di conservazione.
Cookie banner conformePrioritario
Il banner per il consenso ai cookie deve rispettare le linee guida del Garante del 2021: no pre-spunta, no scrolling come consenso, pari evidenza tra accettare e rifiutare, possibilità di consenso granulare per categoria. I cookie tecnici (sessione, carrello) non richiedono consenso.
Separazione dei consensi marketingPrioritario
Il consenso all'email marketing deve essere separato e distinto dall'accettazione della privacy policy e dall'esecuzione del contratto di acquisto. Non è lecito condizionare l'acquisto alla sottoscrizione alla newsletter.
Nomina dei responsabili del trattamentoPrioritario
Ogni fornitore che tratta dati degli utenti per conto del gestore dell'e-commerce (es. piattaforma e-commerce, corrieri che hanno accesso ai dati, CRM, email marketing provider) deve essere nominato responsabile del trattamento con un DPA ex art. 28 GDPR.
Conservazione dati post-acquisto
I dati degli ordini devono essere conservati per gli adempimenti fiscali (10 anni), ma i dati di marketing possono essere conservati solo per il periodo strettamente necessario. Occorre definire retention policy differenziate per finalità.
Gestione dei diritti degli interessati
Il gestore deve predisporre canali per ricevere e rispondere a richieste di accesso, rettifica, cancellazione e opposizione entro 30 giorni. Occorre formare il personale che gestisce il servizio clienti su questi obblighi.
Rischi specifici del settore
Sanzioni per telemarketing non conforme
Il Garante italiano ha irrogato alcune delle sanzioni più elevate proprio per campagne di email e SMS marketing inviate senza consenso valido o a persone che avevano esercitato il diritto di opposizione.
Data breach da violazione del gateway di pagamento
I dati di pagamento sono tra i più appetibili per i criminali informatici. Anche se il gestore dell'e-commerce non conserva i dati della carta (PCI-DSS), una violazione dell'infrastruttura di un provider terzo può configurare un data breach di cui il titolare è tenuto a rispondere.
Trasferimento dati a piattaforme extra-UE
L'integrazione con piattaforme di analisi, CRM o advertising con server negli USA o in altri paesi terzi comporta obblighi di trasferimento internazionale da gestire con gli strumenti GDPR appropriati (SCCs, DPA specifici).
Domande frequenti
L'e-commerce deve nominare un DPO?
Non obbligatoriamente per dimensione. L'obbligo scatta se l'attività principale consiste nel monitoraggio sistematico degli utenti su larga scala (profilazione avanzata) o nel trattamento di categorie particolari. Molti e-commerce di media dimensione non sono obbligati, ma è opportuno valutare caso per caso.
Posso conservare i dati degli acquirenti per il retargeting pubblicitario?
Solo con consenso specifico e distinto per questa finalità. Il fatto di aver acquistato non legittima di per sé l'uso dei dati per retargeting pubblicitario tramite terze piattaforme.
Come gestisco la cancellazione account di un cliente che ha effettuato acquisti?
La cancellazione dell'account e dei dati di marketing è dovuta, ma i dati degli ordini devono essere conservati per gli obblighi fiscali. Occorre anonimizzare o disassociare i dati identificativi dai dati fiscali ove tecnicamente possibile.