Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
23/04/2025
Se gestisci un ecommerce, sai già quanto sia importante essere trasparente con i clienti. Ma forse non ti è ancora chiaro quanto il GDPR influenzi ogni fase della gestione di un sito di vendita online.
Con questo articolo ti spieghiamo, punto per punto, cosa prevede il Regolamento (UE) 2016/679 (GDPR) e come applicarlo al tuo ecommerce con esempi pratici e riferimenti alla normativa. Così potrai evitare sanzioni, tutelare i tuoi utenti e trasmettere professionalità.
SOMMARIO
Informativa privacy
Cookie e tracciamento
Moduli di contatto e newsletter
Checkout e registrazione utenti
Responsabili esterni
Diritti degli interessati
Sicurezza
DPIA, DPO e Registro dei Trattamenti
Dati degli utenti "ospiti"
A/B Test
Remarketing cross-device
Programma fedeltà
Conclusioni
Secondo l’articolo 13 del GDPR, quando raccogli dati personali, devi fornire all’interessato un’informativa chiara, completa e facilmente accessibile.
Ogni modulo del tuo sito (registrazione, checkout, iscrizione newsletter, form contatti) deve essere accompagnato da un link all’informativa privacy, che indichi in particolare:
Chi è il titolare del trattamento (art. 13, par. 1, lett. a)
Le finalità del trattamento (art. 13, par. 1, lett. c)
Le basi giuridiche (es. contratto, consenso) – art. 6 GDPR
I destinatari dei dati – art. 13, par. 1, lett. e
Se i dati saranno trasferiti fuori dall’UE – art. 13, par. 1, lett. f
Il tempo di conservazione – art. 13, par. 2, lett. a
I diritti dell’utente – art. 13, par. 2, lett. b-d
Quando un utente acquista un prodotto, raccogli nome, cognome, indirizzo e-mail, indirizzo di spedizione e dati di pagamento. Questi dati vanno trattati per finalità contrattuali (art. 6, par. 1, lett. b GDPR) e devono essere descritti nella tua privacy policy.
Il consenso per l’uso dei cookie non strettamente necessari deriva dalla Direttiva 2002/58/CE (ePrivacy), recepita in Italia con l’art. 122 del D.lgs. 196/2003 (Codice Privacy). Il consenso deve essere preventivo, libero, specifico, informato e documentabile.
Mostrare un cookie banner alla prima visita
Bloccare i cookie non tecnici finché l’utente non sceglie
Offrire una gestione granulare delle preferenze
Conservare la prova del consenso (per almeno 6 mesi, secondo le Linee guida del Garante del 2021)
Se installi Google Analytics o il pixel di Meta, devi bloccarli finché l’utente non dà il consenso. Anche la semplice integrazione di un video YouTube può comportare l’uso di cookie di profilazione.
Devi anche pubblicare una informativa sull'uso dei cookie, che spieghi in modo dettagliato come gestisci i cookie sul tuo sito di commercio elettronico.
L’articolo 6 del GDPR indica le basi giuridiche per trattare dati. Nel caso di moduli contatto o iscrizione newsletter, la base può essere:
Il consenso (art. 6, par. 1, lett. a)
Il legittimo interesse (art. 6, par. 1, lett. f), ma solo se non prevalgono i diritti dell’utente
Per iscrivere qualcuno a una newsletter, serve un consenso esplicito
Per rispondere a un messaggio dal form contatti, puoi usare il legittimo interesse ma devi informare comunque
Inserisci una checkbox non pre-selezionata con la dicitura: “Acconsento a ricevere comunicazioni promozionali da [Nome Ecommerce] via email”. Solo chi la spunta potrà essere iscritto alla newsletter.
Quando l’utente acquista o si registra, i dati servono per gestire il contratto. In questo caso, non serve il consenso, ma è obbligatorio informare il cliente (art. 13 GDPR).
Il cliente inserisce indirizzo e codice fiscale per la fatturazione. Questi dati vanno trattati per finalità fiscali e contabili, in base alla normativa nazionale (es. D.P.R. 633/1972) e conservati per 10 anni.
Quando affidi dati personali a un fornitore (es. hosting, CRM, software email marketing), devi:
Scegliere fornitori che garantiscano misure adeguate
Firmare un contratto di nomina del Responsabile del trattamento
Tenere traccia dei fornitori e degli accessi
Usi Mailchimp per inviare newsletter? Allora devi firmare il DPA (Data Processing Agreement) disponibile nel loro account. E devi verificare che Mailchimp abbia clausole contrattuali standard per il trasferimento di dati verso gli USA (art. 46 GDPR).
Devi offrire ai tuoi utenti la possibilità di:
Accedere ai dati
Correggerli
Cancellarli (“diritto all’oblio”)
Revocare il consenso
Opporsi al trattamento
Richiedere la portabilità
E devi rispondere entro 30 giorni alle richieste degli utenti.
Ricevi una mail da un cliente che chiede la cancellazione del suo account e dei suoi dati. Devi:
Verificare la sua identità
Rimuovere i dati ove possibile (eccetto quelli necessari per obblighi legali, es. fatture)
Confermare l’esito entro 30 giorni
Il GDPR richiede misure tecniche e organizzative adeguate. Non esiste una lista fissa, ma ecco cosa non dovrebbe mancare:
Certificato SSL (HTTPS)
Backup regolari
Password complesse e MFA
Log di accesso e monitoraggio
Procedure per data breach
Se subisci un attacco hacker e vengono esfiltrati dati personali, devi notificare l’accaduto al Garante Privacy entro 72 ore (art. 33 GDPR) e, in alcuni casi, anche agli utenti (art. 34 GDPR).
Se fai profilazione su larga scala
Se elabori categorie particolari di dati (es. salute)
Se monitori sistematicamente i comportamenti online
Se sei una grande realtà o tratti dati su larga scala
Se il trattamento richiede monitoraggio regolare e sistematico
Leggi la nostra guida di approfondimento che spiega quando è necessario un DPO per ecommerce.
Obbligatorio se hai più di 250 dipendenti, oppure se tratti dati in modo non occasionale (come in un ecommerce). Pertanto, visto che il tuo ecommerce sarà sempre online, un registro dei trattamenti sarà sempre necessario.
Molti ecommerce permettono di acquistare senza creare un account, con la modalità “guest”. È comoda per l’utente, ma non ti esonera dagli obblighi del GDPR. Anche in assenza di registrazione, i dati raccolti (es. nome, email, indirizzo, telefono) sono personali e vanno trattati per finalità contrattuali (art. 6, par. 1, lett. b GDPR), solo per il tempo necessario all’evasione dell’ordine.
Attenzione: non puoi usare questi dati per inviare newsletter, a meno che l’utente non dia un consenso esplicito e separato.
Vuoi capire quale versione del tuo sito converte di più? Benissimo, ma se analizzi il comportamento degli utenti tramite A/B test, potresti star facendo un trattamento di dati personali. Se i test usano cookie o ID persistenti per monitorare scelte e percorsi, serve il consenso dell’utente, oppure devi dimostrare che rientri in una base giuridica legittima (es. interesse legittimo, art. 6, par. 1, lett. f GDPR) e che hai fatto una valutazione dei rischi (DPIA). Il confine con la profilazione è sottile, quindi meglio specificare tutto nell’informativa e usare solo dati aggregati, se possibile.
Se usi strumenti di remarketing (come Google Ads o Meta) per mostrare annunci a chi ha visitato il sito da smartphone e poi si collega da desktop, stai facendo un trattamento particolarmente delicato. Il tracciamento cross-device si basa su identificatori univoci, sincronizzazione dei dati tra piattaforme e può sfociare nella profilazione comportamentale. In questi casi, il consenso esplicito è obbligatorio (art. 22 GDPR e Linee guida EDPB). Devi anche spiegare chiaramente questa attività nella cookie policy e nella privacy policy, indicando le tecnologie usate e i soggetti terzi coinvolti.
I programmi fedeltà sembrano innocui, ma in realtà raccolgono e incrociano molti dati: storico acquisti, frequenza, preferenze, inviti ad amici.
Se assegni punti in base al comportamento, invii offerte personalizzate o analizzi i dati per capire chi spende di più, stai facendo profilazione.
In questo caso, serve il consenso esplicito e separato (art. 22 GDPR) rispetto a quello per le normali comunicazioni promozionali.
Ricorda: l’utente deve poter aderire al programma anche senza accettare la profilazione, e deve poter revocare il consenso in qualsiasi momento.
Il GDPR non è un ostacolo, ma uno strumento per rafforzare la fiducia degli utenti. Un ecommerce in regola vende di più e si protegge da sanzioni che possono arrivare fino a 20 milioni di euro o il 4% del fatturato globale (art. 83 GDPR).
Mettere in regola un ecommerce con il GDPR può sembrare complicato, ma non sei da solo.
Con LegalBlink hai a disposizione strumenti legali pronti all’uso, pensati proprio per chi vende online:
Privacy policy e cookie policy personalizzate in base al tuo sito e alle funzionalità che utilizzi (es. newsletter, remarketing, analytics)
Banner cookie conforme alle Linee guida del Garante Privacy del 2021, con gestione granulare dei consensi e blocco preventivo dei cookie
Contratti con i responsabili esterni (hosting, CRM, fornitori tech) già pronti da usare
Checklist di conformità per verificare se il tuo ecommerce è davvero a norma
Supporto legale continuativo, con risposta ai tuoi dubbi e aggiornamenti quando cambia la normativa
Che tu stia aprendo ora un ecommerce o voglia mettere in regola un sito già attivo, con LegalBlink puoi farlo in modo semplice, veloce e professionale.
Team LegalBlink