GDPR Checklist per E-commerce: Adempimenti in Italia
Checklist GDPR per e-commerce in Italia: privacy policy, cookie banner, DPA, email marketing e retention. Adempimenti obbligatori verificati articolo per articolo.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law
1. Cos'è la conformità GDPR per un E-commerce?
Cosa significa essere conformi al GDPR per uno shop online? La conformità GDPR per un e-commerce significa strutturare l'intero processo di vendita, dal tracciamento iniziale al checkout fino alle email promozionali, rispettando i requisiti del Regolamento (UE) 2016/679 sulla protezione dei dati personali.
La Relazione Annuale 2024 del Garante Privacy (luglio 2025) evidenzia come il settore e-commerce e marketing sia il più colpito dalle attività ispettive, con circa 24 milioni di euro di sanzioni irrogate e oltre 4.090 reclami gestiti (una media di 11 al giorno).
Gestire uno shop online in Italia comporta il trattamento massivo di anagrafiche e abitudini di acquisto. Ogni omissione agli adempimenti del GDPR (Reg. UE 2016/679) espone lo store a rischi concreti. Questa checklist verifica punto per punto i 15 requisiti normativi inderogabili.
In sintesi: (1) Gli e-commerce devono esporre un cookie banner conforme con opzione preventiva di negazione totale. (2) Ogni fornitore integrato (Stripe, Shopify, Mailchimp) necessita della stipula in calce di un Data Processing Agreement. (3) Omettere una data breach massiva di carte di credito comporta responsabilità penale e amministrativa fino al 2% sul globale. (4) L'email marketing richiede un Double Opt-In tracciato e conservato.
Fonti normative: Reg. UE 2016/679 (GDPR) - EUR-Lex · Garante Privacy - Relazione Annuale 2024 · Codice del Consumo D.Lgs. 206/2005 - Normattiva
La Checklist: 15 Adempimenti GDPR per E-commerce
1. Come redigere una Privacy Policy realmente conforme agli Articoli 13-14 del GDPR?
L'informativa privacy deve essere chiara, completa e facilmente accessibile da ogni pagina del sito. Deve indicare:
- Identità e dati di contatto del titolare del trattamento
- Dati di contatto del DPO (se nominato)
- Finalità e base giuridica di ogni trattamento
- Categorie di dati trattati
- Destinatari o categorie di destinatari dei dati
- Trasferimenti extra-UE e relative garanzie
- Tempi di conservazione per ciascuna finalità
- Diritti dell'interessato e modalità di esercizio
- Diritto di reclamo al Garante Privacy
Assistenza Professionale: Per evitare sanzioni del Garante ed errori nel copia-incolla, puoi richiedere la redazione di Privacy Policy e Termini e Condizioni su misura per il tuo shop online.
Errore comune: usare template generici copiati da altri siti. Ogni informativa deve essere specifica per i trattamenti effettivamente svolti dal titolare.
2. Cookie Banner e Cookie Policy (Linee Guida Garante 10/06/2021)
Dal 10 gennaio 2022 sono operative le Linee Guida Cookie del Garante per la protezione dei dati personali. Le regole sono stringenti:
- Il banner deve presentare un pulsante "Rifiuta tutti" con pari evidenza rispetto ad "Accetta tutti"
- Lo scrolling non vale come consenso
- Il cookie wall è vietato: non si può subordinare l'accesso al sito all'accettazione dei cookie
- I cookie tecnici/necessari non richiedono consenso
- I cookie di profilazione e analytics di terze parti richiedono consenso preventivo
- Il consenso ai cookie di profilazione deve essere rinnovato ogni 6 mesi
- La cookie policy deve elencare ogni cookie con finalità, durata e titolare
Normativa di riferimento: Direttiva ePrivacy 2002/58/CE + Art. 122 D.Lgs. 196/2003 + GDPR.
3. Come ottenere liceamente il Consenso per il Marketing Elettronico o Newsletter?
Per inviare comunicazioni commerciali via email è necessario il consenso esplicito e preventivo (opt-in). Il GDPR richiede che il consenso sia:
- Libero: non condizionato all'acquisto
- Specifico: separato per marketing generico, profilazione, cessione a terzi
- Informato: l'utente deve sapere cosa sta accettando
- Documentato: conservare la prova del consenso (timestamp, IP, testo mostrato)
Eccezione - Soft opt-in (Art. 130, comma 4, D.Lgs. 196/2003): è possibile inviare comunicazioni commerciali su prodotti o servizi analoghi a quelli già acquistati, a condizione che:
- Il cliente sia informato al momento della raccolta dei dati
- Possa opporsi in modo semplice e gratuito in ogni comunicazione (link di unsubscribe)
- Non abbia inizialmente rifiutato tale utilizzo
4. Gestione Consensi Granulare
Non è sufficiente un unico checkbox "accetto tutto". I consensi devono essere:
- Separati per finalità: marketing diretto, profilazione, comunicazione a terzi, newsletter
- Non preselezionati: i checkbox devono essere vuoti di default
- Facilmente revocabili: l'utente deve poter revocare il consenso con la stessa facilità con cui lo ha prestato
5. Data Processing Agreement con ogni fornitore (Art. 28 GDPR)
Ogni fornitore terzo che tratta dati personali per conto dell'e-commerce è un Responsabile del trattamento e necessita di un DPA (Data Processing Agreement). Fornitori tipici:
| Fornitore | Trattamento | DPA Necessario |
|---|---|---|
| Payment processor (Stripe, PayPal) | Dati di pagamento | Sì |
| Piattaforma e-commerce (Shopify, WooCommerce hosting) | Tutti i dati del negozio | Sì |
| Email marketing (Mailchimp, Brevo) | Email, nome, preferenze | Sì |
| Analytics (Google Analytics 4) | IP, comportamento navigazione | Sì |
| Corriere / spedizioniere | Nome, indirizzo, telefono | Sì |
| CRM / helpdesk | Dati clienti, storico interazioni | Sì |
| Cloud hosting (AWS, Vercel) | Tutti i dati ospitati | Sì |
L'assenza di un DPA è sanzionabile (Art. 83, par. 4: fino a 10 milioni EUR o 2% del fatturato).
6. Registro dei Trattamenti (Art. 30 GDPR)
Il registro è obbligatorio per chi effettua trattamenti non occasionali, tratta dati particolari o ha più di 250 dipendenti. In pratica, ogni e-commerce dovrebbe mantenerlo perché il trattamento di dati clienti non è mai "occasionale". Il registro deve indicare:
- Finalità del trattamento
- Categorie di interessati e di dati
- Destinatari dei dati
- Trasferimenti extra-UE
- Termini di cancellazione
- Misure di sicurezza
7. Tempi di Conservazione Definiti
I dati non possono essere conservati a tempo indeterminato. Per un e-commerce italiano:
| Tipologia di Dati | Tempo di Conservazione | Base Normativa |
|---|---|---|
| Dati fiscali e contabili (fatture, ordini) | 10 anni | Art. 2220 Codice Civile |
| Dati contrattuali | 10 anni dalla cessazione del rapporto | Prescrizione ordinaria (Art. 2946 c.c.) |
| Dati per marketing diretto (con consenso) | 24 mesi dall'ultima interazione | Indicazione Garante Privacy |
| Dati per profilazione | 12 mesi | Indicazione Garante Privacy |
| Log di accesso e sicurezza | 6 mesi | Indicazione generale Garante |
8. Come implementare il protocollo di risposta ai Diritti degli Interessati entro 30 giorni?
L'e-commerce deve avere un processo per gestire le richieste dei clienti relative ai loro diritti (accesso, rettifica, cancellazione, portabilità, opposizione). Elementi operativi:
- Canale dedicato: email o form per le richieste privacy
- Tempi di risposta: 30 giorni dalla ricezione (prorogabili di 60 giorni)
- Verifica identità: prima di comunicare dati, verificare l'identità del richiedente
- Cancellazione account: il cliente può chiedere la cancellazione, ma i dati necessari per obblighi legali (fiscali, contrattuali) possono essere conservati
9. Sicurezza dei Dati (Art. 32 GDPR)
Misure tecniche e organizzative adeguate al rischio:
- HTTPS obbligatorio su tutto il sito (TLS 1.2 o superiore)
- Cifratura dei dati sensibili a riposo e in transito
- Autenticazione forte per l'accesso al pannello di amministrazione
- Backup regolari con procedure di ripristino testate
- Aggiornamento costante di CMS, plugin e dipendenze
- Accesso limitato: solo il personale autorizzato accede ai dati dei clienti
10. Notifica Data Breach (Art. 33-34 GDPR)
In caso di violazione dei dati personali:
- Notifica al Garante entro 72 ore dalla scoperta (Art. 33)
- Se la violazione comporta un rischio elevato per gli interessati, notifica anche a loro senza ingiustificato ritardo (Art. 34)
- Documentare ogni violazione nel registro interno dei data breach, anche se non notificata
11. Trasferimenti Extra-UE (Art. 44-49 GDPR)
Se si utilizzano servizi con server o sub-responsabili fuori dallo Spazio Economico Europeo:
- Verificare se il paese terzo ha una decisione di adeguatezza della Commissione UE (es. USA con EU-US Data Privacy Framework dal luglio 2023)
- In assenza, utilizzare Standard Contractual Clauses (SCCs) aggiornate
- Effettuare un Transfer Impact Assessment (TIA) documentato
- Google Analytics: dopo la decisione di adeguatezza USA, GA4 è utilizzabile - ma verificare la configurazione (IP anonymization, data retention settings)
12. Privacy by Design e by Default (Art. 25 GDPR)
Ogni nuova funzionalità dell'e-commerce deve integrare la protezione dei dati fin dalla progettazione:
- Form di checkout: raccogliere solo i dati strettamente necessari
- Account utente: non obbligare la registrazione per acquistare (guest checkout)
- Impostazioni privacy: le opzioni più protettive devono essere attive di default
13. Nomina DPO - Quando Serve (Art. 37 GDPR)
Il DPO è obbligatorio se l'e-commerce effettua un monitoraggio regolare e sistematico degli interessati su larga scala (es. profilazione comportamentale, retargeting) o tratta dati particolari su larga scala. Anche se non obbligatorio, la nomina è raccomandata per e-commerce di medie-grandi dimensioni.
14. Termini e Condizioni di Vendita
Distinti dalla privacy policy, i T&C regolano il rapporto commerciale. Per il GDPR è rilevante:
- La base giuridica "esecuzione del contratto" (Art. 6, par. 1, lett. b) è valida solo se il trattamento è effettivamente necessario per l'esecuzione del contratto
- Le email transazionali (conferma ordine, spedizione, assistenza post-vendita) si basano sull'esecuzione del contratto, non sul consenso
15. Formazione del Personale (Art. 29 + Art. 39, par. 1, lett. b)
Tutto il personale che accede ai dati dei clienti deve essere formato sugli obblighi GDPR e sulle procedure interne. La formazione deve essere documentata e aggiornata periodicamente.
Errori Più Comuni negli E-commerce Italiani
Dall'esperienza professionale. Assistendo in ambito legale store Shopify, WooCommerce e piattaforme custom in Italia, ho riscontrato che i problemi si concentrano non tanto sui moduli pre-impostati, quanto sui meccanismi "invisibili". Quasi l'80% degli e-commerce che ho verificato prima dell'adeguamento presentava lacune letali sulla catena dei DPA (Assenza contratti Stripe/Mailchimp) e sui consensi marketing.
- Cookie banner non conforme: manca il pulsante "Rifiuta tutti" o non ha pari evidenza
- DPA assenti: si usano decine di servizi terzi senza alcun contratto di nomina a responsabile
- Consenso marketing non documentato: si inviano newsletter senza poter dimostrare quando e come è stato raccolto il consenso
- Privacy policy generica: copia-incolla da altri siti, senza riflettere i trattamenti reali
- Nessun tempo di conservazione definito: i dati dei clienti restano nel database a tempo indeterminato
- Data breach non gestito: assenza di procedure per la rilevazione e notifica delle violazioni
Domande Frequenti (FAQ)
Serve il consenso per inviare la mail di conferma dell'ordine? No. Le email transazionali (conferma ordine, spedizione, assistenza post-vendita) hanno come base giuridica l'esecuzione del contratto (Art. 6.1.b GDPR). Non richiedono quindi un consenso preventivo, ma devono comunque contenere un riferimento all'informativa privacy.
Google Analytics 4 è conforme alle direttive del Garante italiano? GA4 è utilizzabile a condizione che sia configurato per l'anonimizzazione degli IP (ove possibile) e che il trasferimento dati verso gli USA sia coperto dal Data Privacy Framework o dalle SCCs. Secondo le Linee Guida 2021, l'attivazione dei cookie analytics richiede un opt-in preventivo nel banner.
Quanto tempo si possono conservare i dati dei clienti? Secondo il Codice Civile (Art. 2220), i dati fiscali e contrattuali vanno conservati per 10 anni. Per finalità di marketing, il Garante indica solitamente un limite di 24 mesi dall'ultimo contatto o acquisto, oltre il quale il dato deve essere anonimizzato o cancellato.
Cosa rischia un e-commerce in caso di sanzione GDPR? Le sanzioni possono raggiungere i 20 milioni di euro o il 4% del fatturato mondiale per violazioni gravi dei principi (Art. 83.5). Per le PMI, l'Autorità segue parametri di proporzionalità, ma le multe medie per marketing non richiesto nel 2024 sono state comunque significative.
Devo nominare un DPO per il mio shop online? Il DPO è obbligatorio se l'e-commerce effettua un monitoraggio regolare e sistematico su "larga scala" (es. profilazione comportamentale massiva per advertising). Anche quando non obbligatorio, è una figura chiave per gestire data breach e ispezioni, tutelando legalmente l'azienda.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze