Avv. Antonino Ingoglia - Diritto IT e Privacy
Aziende2026-03-209 min read

GDPR Checklist per E-commerce: 15 Adempimenti Obbligatori in Italia

Checklist operativa degli adempimenti GDPR obbligatori per siti e-commerce italiani. Privacy policy, cookie, DPA, marketing: tutto quello che serve per essere a norma.

Gestire un e-commerce in Italia significa trattare dati personali su larga scala: anagrafiche clienti, dati di pagamento, indirizzi di spedizione, preferenze di acquisto, cookie di tracciamento. Ogni singolo trattamento è soggetto al GDPR (Reg. UE 2016/679) e alla normativa italiana in materia di privacy (D.Lgs. 196/2003, aggiornato dal D.Lgs. 101/2018).

Questa checklist elenca i 15 adempimenti obbligatori che ogni e-commerce italiano deve rispettare, con i riferimenti normativi precisi.

La Checklist: 15 Adempimenti GDPR per E-commerce

1. Privacy Policy conforme (Art. 13-14 GDPR)

L'informativa privacy deve essere chiara, completa e facilmente accessibile da ogni pagina del sito. Deve indicare:

  • Identità e dati di contatto del titolare del trattamento
  • Dati di contatto del DPO (se nominato)
  • Finalità e base giuridica di ogni trattamento
  • Categorie di dati trattati
  • Destinatari o categorie di destinatari dei dati
  • Trasferimenti extra-UE e relative garanzie
  • Tempi di conservazione per ciascuna finalità
  • Diritti dell'interessato e modalità di esercizio
  • Diritto di reclamo al Garante Privacy

Errore comune: usare template generici copiati da altri siti. Ogni informativa deve essere specifica per i trattamenti effettivamente svolti dal titolare.

2. Cookie Banner e Cookie Policy (Linee Guida Garante 10/06/2021)

Dal 10 gennaio 2022 sono operative le Linee Guida Cookie del Garante per la protezione dei dati personali. Le regole sono stringenti:

  • Il banner deve presentare un pulsante "Rifiuta tutti" con pari evidenza rispetto ad "Accetta tutti"
  • Lo scrolling non vale come consenso
  • Il cookie wall è vietato: non si può subordinare l'accesso al sito all'accettazione dei cookie
  • I cookie tecnici/necessari non richiedono consenso
  • I cookie di profilazione e analytics di terze parti richiedono consenso preventivo
  • Il consenso ai cookie di profilazione deve essere rinnovato ogni 6 mesi
  • La cookie policy deve elencare ogni cookie con finalità, durata e titolare

Normativa di riferimento: Direttiva ePrivacy 2002/58/CE + Art. 122 D.Lgs. 196/2003 + GDPR.

3. Consenso Marketing (Art. 130 D.Lgs. 196/2003)

Per inviare comunicazioni commerciali via email è necessario il consenso esplicito e preventivo (opt-in). Il GDPR richiede che il consenso sia:

  • Libero: non condizionato all'acquisto
  • Specifico: separato per marketing generico, profilazione, cessione a terzi
  • Informato: l'utente deve sapere cosa sta accettando
  • Documentato: conservare la prova del consenso (timestamp, IP, testo mostrato)

Eccezione — Soft opt-in (Art. 130, comma 4, D.Lgs. 196/2003): è possibile inviare comunicazioni commerciali su prodotti o servizi analoghi a quelli già acquistati, a condizione che:

  • Il cliente sia informato al momento della raccolta dei dati
  • Possa opporsi in modo semplice e gratuito in ogni comunicazione (link di unsubscribe)
  • Non abbia inizialmente rifiutato tale utilizzo

4. Gestione Consensi Granulare

Non è sufficiente un unico checkbox "accetto tutto". I consensi devono essere:

  • Separati per finalità: marketing diretto, profilazione, comunicazione a terzi, newsletter
  • Non preselezionati: i checkbox devono essere vuoti di default
  • Facilmente revocabili: l'utente deve poter revocare il consenso con la stessa facilità con cui lo ha prestato

5. Data Processing Agreement con ogni fornitore (Art. 28 GDPR)

Ogni fornitore terzo che tratta dati personali per conto dell'e-commerce è un Responsabile del trattamento e necessita di un DPA (Data Processing Agreement). Fornitori tipici:

| Fornitore | Trattamento | DPA Necessario | |-----------|-------------|:--------------:| | Payment processor (Stripe, PayPal) | Dati di pagamento | Sì | | Piattaforma e-commerce (Shopify, WooCommerce hosting) | Tutti i dati del negozio | Sì | | Email marketing (Mailchimp, Brevo) | Email, nome, preferenze | Sì | | Analytics (Google Analytics 4) | IP, comportamento navigazione | Sì | | Corriere / spedizioniere | Nome, indirizzo, telefono | Sì | | CRM / helpdesk | Dati clienti, storico interazioni | Sì | | Cloud hosting (AWS, Vercel) | Tutti i dati ospitati | Sì |

L'assenza di un DPA è sanzionabile (Art. 83, par. 4: fino a 10 milioni EUR o 2% del fatturato).

6. Registro dei Trattamenti (Art. 30 GDPR)

Il registro è obbligatorio per chi effettua trattamenti non occasionali, tratta dati particolari o ha più di 250 dipendenti. In pratica, ogni e-commerce dovrebbe mantenerlo perché il trattamento di dati clienti non è mai "occasionale". Il registro deve indicare:

  • Finalità del trattamento
  • Categorie di interessati e di dati
  • Destinatari dei dati
  • Trasferimenti extra-UE
  • Termini di cancellazione
  • Misure di sicurezza

7. Tempi di Conservazione Definiti

I dati non possono essere conservati a tempo indeterminato. Per un e-commerce italiano:

| Tipologia di Dati | Tempo di Conservazione | Base Normativa | |-------------------|:----------------------:|----------------| | Dati fiscali e contabili (fatture, ordini) | 10 anni | Art. 2220 Codice Civile | | Dati contrattuali | 10 anni dalla cessazione del rapporto | Prescrizione ordinaria (Art. 2946 c.c.) | | Dati per marketing diretto (con consenso) | 24 mesi dall'ultima interazione | Indicazione Garante Privacy | | Dati per profilazione | 12 mesi | Indicazione Garante Privacy | | Log di accesso e sicurezza | 6 mesi | Indicazione generale Garante |

8. Diritti degli Interessati: Processo Operativo (Art. 12-22 GDPR)

L'e-commerce deve avere un processo per gestire le richieste dei clienti relative ai loro diritti (accesso, rettifica, cancellazione, portabilità, opposizione). Elementi operativi:

  • Canale dedicato: email o form per le richieste privacy
  • Tempi di risposta: 30 giorni dalla ricezione (prorogabili di 60 giorni)
  • Verifica identità: prima di comunicare dati, verificare l'identità del richiedente
  • Cancellazione account: il cliente può chiedere la cancellazione, ma i dati necessari per obblighi legali (fiscali, contrattuali) possono essere conservati

9. Sicurezza dei Dati (Art. 32 GDPR)

Misure tecniche e organizzative adeguate al rischio:

  • HTTPS obbligatorio su tutto il sito (TLS 1.2 o superiore)
  • Cifratura dei dati sensibili a riposo e in transito
  • Autenticazione forte per l'accesso al pannello di amministrazione
  • Backup regolari con procedure di ripristino testate
  • Aggiornamento costante di CMS, plugin e dipendenze
  • Accesso limitato: solo il personale autorizzato accede ai dati dei clienti

10. Notifica Data Breach (Art. 33-34 GDPR)

In caso di violazione dei dati personali:

  • Notifica al Garante entro 72 ore dalla scoperta (Art. 33)
  • Se la violazione comporta un rischio elevato per gli interessati, notifica anche a loro senza ingiustificato ritardo (Art. 34)
  • Documentare ogni violazione nel registro interno dei data breach, anche se non notificata

11. Trasferimenti Extra-UE (Art. 44-49 GDPR)

Se si utilizzano servizi con server o sub-responsabili fuori dallo Spazio Economico Europeo:

  • Verificare se il paese terzo ha una decisione di adeguatezza della Commissione UE (es. USA con EU-US Data Privacy Framework dal luglio 2023)
  • In assenza, utilizzare Standard Contractual Clauses (SCCs) aggiornate
  • Effettuare un Transfer Impact Assessment (TIA) documentato
  • Google Analytics: dopo la decisione di adeguatezza USA, GA4 è utilizzabile — ma verificare la configurazione (IP anonymization, data retention settings)

12. Privacy by Design e by Default (Art. 25 GDPR)

Ogni nuova funzionalità dell'e-commerce deve integrare la protezione dei dati fin dalla progettazione:

  • Form di checkout: raccogliere solo i dati strettamente necessari
  • Account utente: non obbligare la registrazione per acquistare (guest checkout)
  • Impostazioni privacy: le opzioni più protettive devono essere attive di default

13. Nomina DPO — Quando Serve (Art. 37 GDPR)

Il DPO è obbligatorio se l'e-commerce effettua un monitoraggio regolare e sistematico degli interessati su larga scala (es. profilazione comportamentale, retargeting) o tratta dati particolari su larga scala. Anche se non obbligatorio, la nomina è raccomandata per e-commerce di medie-grandi dimensioni.

14. Termini e Condizioni di Vendita

Distinti dalla privacy policy, i T&C regolano il rapporto commerciale. Per il GDPR è rilevante:

  • La base giuridica "esecuzione del contratto" (Art. 6, par. 1, lett. b) è valida solo se il trattamento è effettivamente necessario per l'esecuzione del contratto
  • Le email transazionali (conferma ordine, spedizione, assistenza post-vendita) si basano sull'esecuzione del contratto, non sul consenso

15. Formazione del Personale (Art. 29 + Art. 39, par. 1, lett. b)

Tutto il personale che accede ai dati dei clienti deve essere formato sugli obblighi GDPR e sulle procedure interne. La formazione deve essere documentata e aggiornata periodicamente.

Errori Più Comuni negli E-commerce Italiani

  1. Cookie banner non conforme: manca il pulsante "Rifiuta tutti" o non ha pari evidenza
  2. DPA assenti: si usano decine di servizi terzi senza alcun contratto di nomina a responsabile
  3. Consenso marketing non documentato: si inviano newsletter senza poter dimostrare quando e come è stato raccolto il consenso
  4. Privacy policy generica: copia-incolla da altri siti, senza riflettere i trattamenti reali
  5. Nessun tempo di conservazione definito: i dati dei clienti restano nel database a tempo indeterminato
  6. Data breach non gestito: assenza di procedure per la rilevazione e notifica delle violazioni

Domande Frequenti

Serve il consenso per inviare la conferma d'ordine via email? No. Le email transazionali (conferma ordine, aggiornamenti spedizione, assistenza) hanno come base giuridica l'esecuzione del contratto (Art. 6, par. 1, lett. b), non il consenso.

Google Analytics 4 è conforme al GDPR? Dopo la decisione di adeguatezza USA (EU-US Data Privacy Framework, luglio 2023), GA4 è utilizzabile. Tuttavia: richiede consenso preventivo per i cookie analytics (se non anonimizzati) secondo le Linee Guida Cookie del Garante.

Devo cancellare tutti i dati se un cliente chiede la cancellazione dell'account? No. I dati necessari per adempiere obblighi legali (fiscali: 10 anni; contrattuali: 10 anni) possono essere conservati anche dopo la cancellazione dell'account, ma solo per quelle specifiche finalità.

Quanto costa una sanzione GDPR per un e-commerce? Le sanzioni arrivano fino a 20 milioni di euro o il 4% del fatturato mondiale per violazioni gravi (Art. 83, par. 5). Il Garante valuta caso per caso: natura della violazione, numero di interessati coinvolti, misure adottate, grado di cooperazione.

Nota Informativa: I contenuti di questo articolo hanno finalità puramente divulgative e informative. Non costituiscono parere legale né instaurano un rapporto professionale. Ogni caso concreto richiede una valutazione specifica.
Torna agli articoli

Serve assistenza per il tuo caso?

Prenota un assessment online in videochiamata da tutta Italia. Analizzeremo la situazione e definiremo i passi operativi in totale sicurezza.