Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
05/04/2022
Se gestisci un sito di commercio elettronico devi pubblicare una privacy policy per ecommerce a norma GDPR. In questo articolo i nostri legali esperti in privacy ti spiegano come.
Non conosci ancora LegalBlink? Scopri tutte le funzioni di LegalBlink e perchè rappresenza una alternativa a Iubenda e a Cookiebot! Se dopo la lettura di questa guida vorrai pubblicare l'informativa privacy per il tuo sito di commercio elettronico, approfondisci il tema leggendo la guida sul nostro generatore di privay policy.
SOMMARIO
La privacy policy per ecommerce è il documento che spiega agli utenti come il tuo shop online tratta i loro dati personali.
Infatti, quando un utente accede al tuo sito di commercio elettronico conferisce determinati dati personali. Ad esempio:
L'informativa privacy per ecommerce spiega agli utenti come vengono gestiti e conservati queste informazioni.
E' un documento molto importante, obbligatorio per tutti i siti di commercio elettronico.
La privacy policy per ecommerce deve rispettare quanto indicato dal GDPR.
E' un testo legale da pubblicarsi insieme alla informativa cookie e alle condizioni generali di vendita.
Pubblicare una privacy policy per ecommerce a norma di legge con LegalBlink è molto facile.
Scegli il servizio adatto alle tue esigenze:
FAST LEGAL: genera in autonomia la privacy policy attraverso un procedimento innovativo. Rispondi al questionario preparato dai nostri legali e pubblica l'informativa privacy per il tuo sito ecommerce in pochi minuti.
EASY MERCHANT: l'informativa privacy per ecommerce viene generata direttamente dai nostri legali (insieme a tutti i documenti utili per rispettare la legge). Riceverai anche il report sul nostro checkup legale.
Per entrambi i paccheti, i documenti sono aggiornati automaticamente quando cambia la legge. In questo modo sei sicuro di continuare ad avere una privacy policy per ecommerce a norma.
Un sito di commercio elettronico con una informativa privacy a norma:
Molte delle informazioni "imposte" dal GDPR (e in futuro dal Regolamento ePrivacy) agevolano la UX dell'utente sul tuo sito.
Come vedremo, la privacy policy per ecommerce deve indicare:
Queste informazioni agevolano l'utente nella sua navigazione sul sito.
Infatti, se non fossero presenti egli dovrebbe scrivere al sito per ottenerle.
Inoltre, esporre informazioni chiare e precise aumenta il livello di fiducia dell'utente, il quale sarà maggiormente intenzionato ad acquistare sul sito.
Il Garante Privacy è l'autorità che controlla se i siti sono conformi al GDPR. Il Garante Privacy avrà competenza anche per valutare la conformità dei siti di commercio elettronico al futuro Regolamento ePrivacy.
I controlli possono essere effettuati "a campione" oppure a seguito della segnalazione degli utenti.
Ovviamente, la privacy policy è uno degli elementi che vengono visionati dal Garante Privacy.
Nel caso di informativa privacy per commercio elettronico non a norma scattano pesanti sanzioni.
Infatti, le multe possono arrivare a 20 milioni di euro, oppure al 4% del fatturato annuo.
Se rispetti il GDPR otterrai la reputazione di sito di commercio elettronico virtuoso e attento ai diritti degli utenti.
Questo è un "valore" molto importante in ambito digitale, in grado di attirare sempre nuovi clienti.
Inoltre, se il tuo sito di commercio elettronico non rispettare il GDPR rischia le sanzioni del Garante Privacy. Queste sanzioni sono spesso pubblicate nella newsletter della Autorità, pubblicate online e condivise sui social. Tutto ciò è in grado di arrecare un pesante danno di immagine al tuo ecommerce.
Se, invece, il tuo sito ecommerce pubblica una privacy policy a norma aumenterà la propria reputazione e non rischierà danni di immagini.
La prima informazione che deve contenere la privacy policy per ecommerce riguarda il titolare del trattamento.
Il titolare del trattamento è il soggetto che "tratta" i dati degli utenti. In ambito ecommerce, è il proprietario del sito ecommerce.
L'informativa privacy deve quindi indicare tutte le informazioni identificative del caso. Vale a dire:
Nella informativa privacy non è necessario indicare le generalità del legale rappresentante della società.
La tua privacy policy deve spiegare agli utenti anche come vengono trattati i loro dati personali. Queste sono le "finalità" del trattamento.
Per un sito di commercio elettronico, le finalità più frequenti e importanti sono le seguenti:
La privacy policy del tuo sito di commercio elettronico deve spiegare, in modo chiaro e preciso, tutte queste finalità.
In difetto, l'informativa privacy del tuo sito di commercio elettronico non potrà dirsi a norma del GDPR.
In base a quanto previsto dal Regolamento europeo sulla protezione dei dati personali (GDPR), ogni sito di commercio elettronico deve spiegare agli utenti per quanto conserva i loro dati personali.
E' quindi un importante obbligo legale che se non viene rispettato può costare sanzioni pesanti (es.: fino al 4% del fatturato).
Questo obbligo è ragionevole. Infatti, l'utente che conferisce dati personali sul sito ecommerce (es.: dati di fatturazione) deve sapere che questi dati non verranno conservati all'infinito ma che saranno, prima o poi, cancellati dal titolare del sito ecommerce.
In materia di dati personali, non esiste un unico periodo di conservazione.
Infatti, la privacy policy per e-commerce deve indicare, per ogni finalità, il periodo di conservazione del dato personale.
Ad esempio, il periodo di conservazione del dato personale ottenuto per finalità di marketing (es.: email) sarà diverso rispetto allo stesso dato (sempre l'email, per esempio) ottenuto per adempiere al contratto.
Quindi, per decidere il periodo di conservazione da indicare nella privacy policy per ecommerce è necessario sapere per quali finalità vengono conservati i dati personali in un sito di commercio elettronico.
Un comune sito ecommerce tratta i dati degli utenti per le seguenti finalità:
Una informativa privacy a norma GDPR deve sicuramente indicare tutte queste finalità di trattamento.
Per ciascuna finalità, la privacy policy deve indicare per quanto tempo conserva i dati.
Chiarito che una informativa privacy a norma GDPR deve specificare le diverse finalità di trattamento, vediamo nel dettaglio il tema del periodo di conservazione.
Come detto, il periodo di conservazione varia in base alle diverse finalità.
Una informativa privacy a norma GDPR deve indicare che per questa finalità i dati personali saranno conservati per 10 anni, decorrenti dalla data di conclusione dell'ordine.
Per questa finalità i dati personali dell'utente saranno conservati fino a quando non si è conclusa l'attività di assistenza con il cliente.
Infatti, una volta conclusa la corrispondenza con il cliente (il c.d. "ticketing") non ha senso conservare i dati dell'utente.
Pertanto, la tua privacy policy per ecommerce dovrà indicare che i dati verranno cancellati una volta dato seguito alla richiesta dell'utente.
Con il termine "finalità di marketing" si intende il trattamento dei dati finalizzato ad inviare comunicazioni pubblicitarie e newsletter.
In questo ambito ovviamente l'utente deve aver prestato il consenso all'invio di questo tipo di comunicazioni.
Per quanto tempo puoi conservare l'email degli utenti per questa finalità?
Sul punto ci sono due orientamenti di cui devi tenere conto se vuoi redigere una privacy policy per ecommerce a norma.
Prima della entrata in vigore del GDPR, il Garante Privacy imponeva questi termini:
Dopo l'entrata in vigore del GDPR si ritiene che questi termini non siano più obbligatori. Si possono prendere in considerazione come ipotesi di periodo di conservazione, ma la privacy policy per ecommerce potrebbe anche indicare dei termini superiori.
Questa impostazione è giustificata dal fatto che il GDPR lascia una discreta libertà ai siti di commercio elettronico in diversi contesti (es.: le misure di sicurezza), tra cui la decisione del periodo di conservazione.
Ciò posto, come decidere il periodo di conservazione per finalità di marketing e profilazione?
In base a questo orientamento si possono conservare i dati anche per periodi superiori a 12/24 mesi.
L'importante è che il periodo di conservazione sia proporzionato e non eccessivo.
Ad esempio, un periodo di 4 anni potrebbe essere ritenuto sufficiente.
Entrambi gli orientamenti sono di fatto corretti.
Una informativa privacy a norma GDPR potrà indicare come periodo di conservazione 12/24 mesi (rispettivamente per finalità di marketing o profilazione) oppure decidere un periodo più ampio.
L'importante è che il periodo di conservazione sia indicato nella privacy policy per ecommerce e che sia rispettato dal sito di commercio elettronico.
Ogni sito ecommerce ha numerosi obblighi di legge da rispettare.
Solo a titolo di esempio obblighi di:
Il periodo di conservazione dei dati personali degli utenti ovviamente deve tenere conto di questi obblighi.
Per non dover modificare la privacy policy per ecommerce ogni qual volta cambia la normativa, però, è sufficiente indicare nella informativa privacy che i dati saranno conservati per il tempo previsto dalla normativa applicabile.
Ad esempio, ad oggi la normativa fiscale richiede che le fatture siano conservate per 10 anni.
Ebbene, il sito dovrà conservare i dati per tutto questo periodo di tempo. Se però la normativa cambia, il sito dovrà adeguarsi ma non sarà richiesto modificare la privacy policy del sito.
Questo è un importante suggerimento per risparmiare soldi in spese legali connesse alla modifica della privacy policy per ecommerce.
Concludi l'ordine di acquisto con il tuo cliente. Per quanto tempo puoi conservare i dati personali dell'utente?
Per rispondere a questa domanda è necessario sapere che ogni diritto può essere fatto valere al massimo entro 10 anni.
Pertanto, puoi conservare i dati personali del tuo cliente per tutto questo tempo. Considera poi che se interviene una causa questo periodo è sospeso ... e riprende a decorrente con il c.d. "passaggio in giudicato della sentenza" (la sentenza non può essere oggetto di impugnazione).
Una informativa privacy per sito ecommerce dovrà pertanto indicare che il sito ecommerce si riserva la facoltà di conservare i dati personali degli utenti per un periodo di 10 anni.
Un concetto molto importante e che deve riflettersi in una informativa privacy a norma GDPR è questo:
lo stesso dato può essere conservato per diversi tempi.
Infatti, l'indirizzo di residenza può essere conservato per il tempo previsto dalla normativa fiscale (finalità di adempiere alla legge) e per 10 anni (finalità di esecuzione del contratto).
L'email può essere conservata per 24 mesi per finalità di marketing e cancellata dopo poco tempo per finalità di customer care.
Abbiamo visto che uno stesso dato può (e in alcuni casi, deve) essere conservato per diversi tempi a seconda delle diverse finalità.
Un dubbio molto frequente tra web agency e siti di commercio elettronico è il seguente:
come comportarsi se l'utente chiede la cancellazione di tutti i suoi dati?
Un errore molto comune è cancellare tutti i dati personali conservati dal sito di commercio elettronico.
Questo comportamento non rispetta i principi del GDPR ed è lesivo per lo stesso ecommerce.
Vediamo come dare seguito alla richiesta dell'utente e rispettare al tempo stesso il GDPR con riferimento alla tua privacy policy per ecommerce.
Il sito ecommerce deve dare seguito alla richiesta dell'utente senza ritardo.
Questo significa che deve "cancellare" i dati che l'utente ha conferito e che abbiano come base giuridica il consenso.
Allo stesso modo, deve cancellare i dati personali per i quali non v'è più alcuna finalità che ne giustifichi la conservazione.
Quali dati possono essere cancellati e che rispettano questi requisiti? Di solito sono i seguenti:
Questi dati di solito possono essere cancellati.
Come rispettare il GDPR e non cancellare tutti i dati
Come abbiamo visto, il sito ecommerce può conservare lo stesso dato per diverse finalità.
Questo significa che può conservare alcuni dati anche se su questi dati l'utente ha chiesto la cancellazione.
Semplicemente, il sito non potrà più utilizzare il dato per la finalità per la quale opera la richiesta di cancellazione, potrà però conservare lo stesso dato per altre finalità.
Un esempio tipico è l'indirizzo di residenza, il quale lo troviamo:
In presenza di una richiesta di cancellazione, il sito ecommerce non dovrà certo distruggere la fattura oppure cancellare l'ordine di acquisto. Se così facesse, non rispetterebbe la normativa fiscale (solo a titolo di esempio).
Infatti, potrà conservare quei dati che sono necessari, ad esempio, per:
Se il sito ecommerce dovesse cancellare tutti i dati, non potrebbe ad esempio difendersi in giudizio o adempiere alla normativa fiscale!
Tieni conto di queste indicazioni per redigere la privacy policy per ecommerce!
Adesso che abbiamo chiarito che lo stesso dato può essere conservato per diverse finalità sappiamo anche quali dati possono essere conservati anche se l'utente chiede una cancellazione totale.
Infatti, il sito ecommerce potrà conservare tutti quei dati personali che sono necessari per adempiere alle diverse finalità (difesa in giudizio, rispetto della normativa fiscale, etc. etc.).
Invece, quei dati che non hanno più una giustificazione, possono essere cancellati (ovviamente se lo richiede l'utente o non sono più in ogni caso necessari).
Ovviamente, anche questo genere di informazioni deve essere illustrato nella privacy policy per sito ecommerce.
Il blog di LegalBlink è specificatamente dedicato alle questioni legal che possono coinvolgere il tuo business.
Per qualsiasi informazione su come ottenere una privacy policy a norma per il tuo sito di commercio elettronico puoi contattarci tramite il form presente sul sito.
Team LegalBlink