Consulenza legale per ecommerce con un Team di avvocati esperti in privacy e diritto digitale, dal 2011.

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Privacy policy per e-commerce: adegua il tuo sito al GDPR

05/04/2022

Privacy policy per e-commerce: adegua il tuo sito al GDPR

 

Se gestisci un sito di commercio elettronico devi pubblicare una privacy policy per ecommerce a norma GDPR. In questo articolo i nostri legali esperti in privacy ti spiegano come.

Non conosci ancora LegalBlink? Scopri tutte le funzioni di LegalBlink e perchè rappresenza una alternativa a Iubenda e a CookiebotSe dopo la lettura di questa guida vorrai pubblicare l'informativa privacy per il tuo sito di commercio elettronico, approfondisci il tema leggendo la guida sul nostro generatore di privay policy.


 

 

Vuoi genererare documenti legali per il tuo sito web, in modo veloce e professionale?

Con il pacchetto Fast Legal ottieni i documenti tramite un procedimento innovativo.

Mentre con il pacchetto Easy Merchant curano tutto i nostri legali (e ottieni anche un report sulle criticità legali da correggere nelle pagine del sito, es. informazioni mancanti nel footer). 

Ogni pacchetto comprende aggiornamenti automatici e tutte le funzionalità per essere online a norma  (banner cookie, privacy policy, cookie policy, termini e condizioni di vendita per ecommerce e molto altro!).

Inoltre, se hai esigenza di avere assistenza e consulenza legale in ambito ecommerce e digitale, i nostri consulenti sono sempre a tua disposizione!

 

SOMMARIO


Cos'è la privacy policy
Come LegalBlink ti aiuta a generare una informativa privacy a norma
Perchè è importante pubblicare una privacy policy a norma
Indicare il titolare del trattamento
Finalità del trattamento
Periodo di conservazione
Come decidere il periodo di conservazione
Diversi periodi di conservazioni per lo stesso dato
Quali dati conservare
Maggiori informazioni?

 

Cos'è la privacy policy per ecommerce



La privacy policy per ecommerce è il documento che spiega agli utenti come il tuo shop online tratta i loro dati personali.


Infatti, quando un utente accede al tuo sito di commercio elettronico conferisce determinati dati personali. Ad esempio:
 

  • email e password di accesso al sito
  • dati di pagamento
  • dati di spedizione
  • codice fiscale e/o partita iva
  • residenza o domicilio


L'informativa privacy per ecommerce spiega agli utenti come vengono gestiti e conservati queste informazioni.


E' un documento molto importante, obbligatorio per tutti i siti di commercio elettronico. 


La privacy policy per ecommerce deve rispettare quanto indicato dal GDPR.


E' un testo legale da pubblicarsi insieme alla informativa cookie e alle condizioni generali di vendita.


 

Come LegalBlink ti aiuta a pubblicare una privacy policy per ecommerce a norma GDPR



Pubblicare una privacy policy per ecommerce a norma di legge con LegalBlink è molto facile.


Scegli il servizio adatto alle tue esigenze:


FAST LEGAL: genera in autonomia la privacy policy attraverso un procedimento innovativo. Rispondi al questionario preparato dai nostri legali e pubblica l'informativa privacy per il tuo sito ecommerce in pochi minuti.


EASY MERCHANT: l'informativa privacy per ecommerce viene generata direttamente dai nostri legali (insieme a tutti i documenti utili per rispettare la legge). Riceverai anche il report sul nostro checkup legale.


Per entrambi i paccheti, i documenti sono aggiornati automaticamente quando cambia la legge. In questo modo sei sicuro di continuare ad avere una privacy policy per ecommerce a norma.

 

 

privacy policy per ecommerce


 

Perchè è importante pubblicare una privacy policy per ecommerce

 

Un sito di commercio elettronico con una informativa privacy a norma:
 

  • migliora il rapporto con gli utenti
  • evita le sanzioni del Garante Privacy 
  • aumenta la propria reputazione 


Il rapporto con gli utenti


Molte delle informazioni "imposte" dal GDPR (e in futuro dal Regolamento ePrivacy) agevolano la UX dell'utente sul tuo sito. 


Come vedremo, la privacy policy per ecommerce deve indicare:
 

  • i dati del titolare del trattamento
  • il periodo di conservazione dei dati
  • la sede del titolare del trattamento 


Queste informazioni agevolano l'utente nella sua navigazione sul sito.

Infatti, se non fossero presenti egli dovrebbe scrivere al sito per ottenerle.


Inoltre, esporre informazioni chiare e precise aumenta il livello di fiducia dell'utente, il quale sarà maggiormente intenzionato ad acquistare sul sito.


Le sanzioni del Garante Privacy


Il Garante Privacy è l'autorità che controlla se i siti sono conformi al GDPR. Il Garante Privacy avrà competenza anche per valutare la conformità dei siti di commercio elettronico al futuro Regolamento ePrivacy.


I controlli possono essere effettuati "a campione" oppure a seguito della segnalazione degli utenti.


Ovviamente, la privacy policy è uno degli elementi che vengono visionati dal Garante Privacy.


Nel caso di informativa privacy per commercio elettronico non a norma scattano pesanti sanzioni.


Infatti, le multe possono arrivare a 20 milioni di euro, oppure al 4% del fatturato annuo.


La reputazione


Se rispetti il GDPR otterrai la reputazione di sito di commercio elettronico virtuoso e attento ai diritti degli utenti.


Questo è un "valore" molto importante in ambito digitale, in grado di attirare sempre nuovi clienti.


Inoltre, se il tuo sito di commercio elettronico non rispettare il GDPR rischia le sanzioni del Garante Privacy. Queste sanzioni sono spesso pubblicate nella newsletter della Autorità, pubblicate online e condivise sui social. Tutto ciò è in grado di arrecare un pesante danno di immagine al tuo ecommerce.


Se, invece, il tuo sito ecommerce pubblica una privacy policy a norma aumenterà la propria reputazione e non rischierà danni di immagini.


 

L'informativa privacy per sito di commercio elettronico deve indicare il titolare del trattamento

 

 

La prima informazione che deve contenere la privacy policy per ecommerce riguarda il titolare del trattamento.


Il titolare del trattamento è il soggetto che "tratta" i dati degli utenti. In ambito ecommerce, è il proprietario del sito ecommerce.


L'informativa privacy deve quindi indicare tutte le informazioni identificative del caso. Vale a dire:
 

  • denominazione della società/ditta
  • sede legale
  • partita iva
  • capitale sociale
  • Camera di commercio di iscrizione


Nella informativa privacy non è necessario indicare le generalità del legale rappresentante della società. 



Le finalità del trattamento



La tua privacy policy deve spiegare agli utenti anche come vengono trattati i loro dati personali. Queste sono le "finalità" del trattamento.


Per un sito di commercio elettronico, le finalità più frequenti e importanti sono le seguenti:

  • dare esecuzione al contratto di acquisto
  • rispondere alle domande dell'utente
  • difesa in giudizio
  • rispettare la normativa di riferimento (es.: quella fiscale)
  • inviare comunicazioni di marketing 


La privacy policy del tuo sito di commercio elettronico deve spiegare, in modo chiaro e preciso, tutte queste finalità.


In difetto, l'informativa privacy del tuo sito di commercio elettronico non potrà dirsi a norma del GDPR.


 

Perchè la privacy policy per ecommerce deve indicare il periodo di conservazione 



In base a quanto previsto dal Regolamento europeo sulla protezione dei dati personali (GDPR), ogni sito di commercio elettronico deve spiegare agli utenti per quanto conserva i loro dati personali.


E' quindi un importante obbligo legale che se non viene rispettato può costare sanzioni pesanti (es.: fino al 4% del fatturato).


Questo obbligo è ragionevole. Infatti, l'utente che conferisce dati personali sul sito ecommerce (es.: dati di fatturazione) deve sapere che questi dati non verranno conservati all'infinito ma che saranno, prima o poi, cancellati dal titolare del sito ecommerce.


 

Come decidere il periodo di conservazione



In materia di dati personali, non esiste un unico periodo di conservazione.


Infatti, la privacy policy per e-commerce deve indicare, per ogni finalità, il periodo di conservazione del dato personale.


Ad esempio, il periodo di conservazione del dato personale ottenuto per finalità di marketing (es.: email) sarà diverso rispetto allo stesso dato (sempre l'email, per esempio) ottenuto per adempiere al contratto.


Quindi, per decidere il periodo di conservazione da indicare nella privacy policy per ecommerce è necessario sapere per quali finalità vengono conservati i dati personali in un sito di commercio elettronico.
 

Le finalità di trattamento per un sito di commercio elettronico


Un comune sito ecommerce tratta i dati degli utenti per le seguenti finalità:
 

  • dare esecuzione al contratto
  • customer care
  • marketing e invio di newsletter
  • adempiere ad obblighi di legge (es.: fatturazione)
  • difendersi in giudizio


Una informativa privacy a norma GDPR deve sicuramente indicare tutte queste finalità di trattamento.


Per ciascuna finalità, la privacy policy deve indicare per quanto tempo conserva i dati.


 

informativa privacy per ecommerce

 

Privacy policy per sito ecommerce: diversi periodi di conservazione per diverse finalità



Chiarito che una informativa privacy a norma GDPR deve specificare le diverse finalità di trattamento, vediamo nel dettaglio il tema del periodo di conservazione.


Come detto, il periodo di conservazione varia in base alle diverse finalità.


Dare esecuzione al contratto


Una informativa privacy a norma GDPR deve indicare che per questa finalità i dati personali saranno conservati per 10 anni, decorrenti dalla data di conclusione dell'ordine.


Customer care


Per questa finalità i dati personali dell'utente saranno conservati fino a quando non si è conclusa l'attività di assistenza con il cliente.


Infatti, una volta conclusa la corrispondenza con il cliente (il c.d. "ticketing") non ha senso conservare i dati dell'utente.


Pertanto, la tua privacy policy per ecommerce dovrà indicare che i dati verranno cancellati una volta dato seguito alla richiesta dell'utente.


Finalità di marketing  


Con il termine "finalità di marketing" si intende il trattamento dei dati finalizzato ad inviare comunicazioni pubblicitarie e newsletter.


In questo ambito ovviamente l'utente deve aver prestato il consenso all'invio di questo tipo di comunicazioni.


Per quanto tempo puoi conservare l'email degli utenti per questa finalità?


Sul punto ci sono due orientamenti di cui devi tenere conto se vuoi redigere una privacy policy per ecommerce a norma.


Primo orientamento


Prima della entrata in vigore del GDPR, il Garante Privacy imponeva questi termini:

  • 12 mesi per le email ottenute per finalità di profilazione
  • 24 mesi per le email ottenute per finalità di marketing generico


Secondo orientamento


Dopo l'entrata in vigore del GDPR si ritiene che questi termini non siano più obbligatori. Si possono prendere in considerazione come ipotesi di periodo di conservazione, ma la privacy policy per ecommerce potrebbe anche indicare dei termini superiori.


Questa impostazione è giustificata dal fatto che il GDPR lascia una discreta libertà ai siti di commercio elettronico in diversi contesti (es.: le misure di sicurezza), tra cui la decisione del periodo di conservazione.


Ciò posto, come decidere il periodo di conservazione per finalità di marketing e profilazione?


In base a questo orientamento si possono conservare i dati anche per periodi superiori a 12/24 mesi.


L'importante è che il periodo di conservazione sia proporzionato e non eccessivo.


Ad esempio, un periodo di 4 anni potrebbe essere ritenuto sufficiente.


Il suggerimento dei legali di LegalBlink


Entrambi gli orientamenti sono di fatto corretti.


Una informativa privacy a norma GDPR potrà indicare come periodo di conservazione 12/24 mesi (rispettivamente per finalità di marketing o profilazione) oppure decidere un periodo più ampio.


L'importante è che il periodo di conservazione sia indicato nella privacy policy per ecommerce e che sia rispettato dal sito di commercio elettronico.

 

Adempimenti ad obblighi di legge

 

Ogni sito ecommerce ha numerosi obblighi di legge da rispettare.
 

Solo a titolo di esempio obblighi di:
 

  • fatturazione
  • tenuta delle scritture contabili


Il periodo di conservazione dei dati personali degli utenti ovviamente deve tenere conto di questi obblighi.


Per non dover modificare la privacy policy per ecommerce ogni qual volta cambia la normativa, però, è sufficiente indicare nella informativa privacy che i dati saranno conservati per il tempo previsto dalla normativa applicabile.


Ad esempio, ad oggi la normativa fiscale richiede che le fatture siano conservate per 10 anni.


Ebbene, il sito dovrà conservare i dati per tutto questo periodo di tempo. Se però la normativa cambia, il sito dovrà adeguarsi ma non sarà richiesto modificare la privacy policy del sito.


Questo è un importante suggerimento per risparmiare soldi in spese legali connesse alla modifica della privacy policy per ecommerce.

 

Difendersi in giudizio


Concludi l'ordine di acquisto con il tuo cliente. Per quanto tempo puoi conservare i dati personali dell'utente?


Per rispondere a questa domanda è necessario sapere che ogni diritto può essere fatto valere al massimo entro 10 anni.


Pertanto, puoi conservare i dati personali del tuo cliente per tutto questo tempo. Considera poi che se interviene una causa questo periodo è sospeso ... e riprende a decorrente con il c.d. "passaggio in giudicato della sentenza" (la sentenza non può essere oggetto di impugnazione).


Una informativa privacy per sito ecommerce dovrà pertanto indicare che il sito ecommerce si riserva la facoltà di conservare i dati personali degli utenti per un periodo di 10 anni.


 

Informativa privacy per ecommerce: stesso dato, diversi periodo di conservazione



Un concetto molto importante e che deve riflettersi in una informativa privacy a norma GDPR è questo:
 

lo stesso dato può essere conservato per diversi tempi.


Infatti, l'indirizzo di residenza può essere conservato per il tempo previsto dalla normativa fiscale (finalità di adempiere alla legge) e per 10 anni (finalità di esecuzione del contratto).


L'email può essere conservata per 24 mesi per finalità di marketing e cancellata dopo poco tempo per finalità di customer care.

 

Cosa fare se l'utente chiede la cancellazione dei dati


Abbiamo visto che uno stesso dato può (e in alcuni casi, deve) essere conservato per diversi tempi a seconda delle diverse finalità.
 

Un dubbio molto frequente tra web agency e siti di commercio elettronico è il seguente:
 

come comportarsi se l'utente chiede la cancellazione di tutti i suoi dati?


Un errore molto comune è cancellare tutti i dati personali conservati dal sito di commercio elettronico.


Questo comportamento non rispetta i principi del GDPR ed è lesivo per lo stesso ecommerce.


Vediamo come dare seguito alla richiesta dell'utente e rispettare al tempo stesso il GDPR con riferimento alla tua privacy policy per ecommerce.


Come rispettare la richiesta dell'utente


Il sito ecommerce deve dare seguito alla richiesta dell'utente senza ritardo.


Questo significa che deve "cancellare" i dati che l'utente ha conferito e che abbiano come base giuridica il consenso.


Allo stesso modo, deve cancellare i dati personali per i quali non v'è più alcuna finalità che ne giustifichi la conservazione.


Quali dati possono essere cancellati e che rispettano questi requisiti? Di solito sono i seguenti:
 

  • email utilizzata per effettuare ordini sul sito
  • dati di accesso al sito (email e password)


Questi dati di solito possono essere cancellati.


Come rispettare il GDPR e non cancellare tutti i dati


Come abbiamo visto, il sito ecommerce può conservare lo stesso dato per diverse finalità.


Questo significa che può conservare alcuni dati anche se su questi dati l'utente ha chiesto la cancellazione.


Semplicemente, il sito non potrà più utilizzare il dato per la finalità per la quale opera la richiesta di cancellazione, potrà però conservare lo stesso dato per altre finalità.


Un esempio tipico è l'indirizzo di residenza, il quale lo troviamo:
 

  • nel procedimento di acquisto
  • nella fattura (se emessa)


In presenza di una richiesta di cancellazione, il sito ecommerce non dovrà certo distruggere la fattura oppure cancellare l'ordine di acquisto. Se così facesse, non rispetterebbe la normativa fiscale (solo a titolo di esempio).


Infatti, potrà conservare quei dati che sono necessari, ad esempio, per:
 

  • adempiere alla normativa fiscale
  • difendersi in giudizio
  • dimostra l'esistenza del contatto di acquisto


Se il sito ecommerce dovesse cancellare tutti i dati, non potrebbe ad esempio difendersi in giudizio o adempiere alla normativa fiscale!


Tieni conto di queste indicazioni per redigere la privacy policy per ecommerce!


 

Informativa privacy a norma GDPR: quali dati conservare



Adesso che abbiamo chiarito che lo stesso dato può essere conservato per diverse finalità sappiamo anche quali dati possono essere conservati anche se l'utente chiede una cancellazione totale.


Infatti, il sito ecommerce potrà conservare tutti quei dati personali che sono necessari per adempiere alle diverse finalità (difesa in giudizio, rispetto della normativa fiscale, etc. etc.).


Invece, quei dati che non hanno più una giustificazione, possono essere cancellati (ovviamente se lo richiede l'utente o non sono più in ogni caso necessari).


Ovviamente, anche questo genere di informazioni deve essere illustrato nella privacy policy per sito ecommerce.

 

Vuoi approfondire ulteriori temi legali del tuo ecommerce?



Il blog di LegalBlink è specificatamente dedicato alle questioni legal che possono coinvolgere il tuo business.


Per qualsiasi informazione su come ottenere una privacy policy a norma per il tuo sito di commercio elettronico puoi contattarci tramite il form presente sul sito.

Team LegalBlink