Studio Cravero ConsultingPerché un e-commerce ha esigenze GDPR specifiche
Un negozio online è una macchina di raccolta dati. Dal momento in cui un utente atterra sul sito, il suo comportamento viene tracciato: pagine visitate, prodotti visualizzati, tempo di permanenza, carrelli abbandonati. Se si registra, aggiungi anagrafica, storico ordini, preferenze. Se acquista, entrano in gioco dati di pagamento, indirizzo di spedizione, fatturazione. Se si iscrive alla newsletter, apri un canale di marketing diretto.
Ognuno di questi flussi di dati ha una finalità diversa, una base giuridica diversa e spesso un fornitore terzo diverso (piattaforma e-commerce, gateway di pagamento, corriere, CRM, tool di email marketing, analytics). La complessità è strutturale, e senza un sistema documentale specifico il rischio di non conformità è alto.
Gli adempimenti GDPR chiave per un e-commerce
Privacy policy e informativa del sito
La privacy policy di un e-commerce è più complessa di quella di un sito vetrina: deve coprire la raccolta dati durante la navigazione (cookie, analytics), la registrazione utente, il processo di acquisto (contratto), il marketing diretto (consenso o soft spam), la profilazione (se presente), i dati di pagamento (con indicazione del gateway), la spedizione (con indicazione del corriere), e le recensioni.
Cookie e tracciamento
Un e-commerce tipico utilizza decine di cookie: analytics (Google Analytics, Hotjar), marketing (Facebook Pixel, Google Ads), funzionali (carrello, sessione), di profilazione (raccomandazioni personalizzate). Tutti i cookie non strettamente tecnici richiedono il consenso preventivo dell'utente tramite un cookie banner conforme. Il blocco preventivo dei tag è essenziale: nessun pixel deve partire prima del consenso.
Consensi marketing e newsletter
Il trattamento dei dati per finalità di marketing diretto richiede un consenso specifico, separato dal consenso contrattuale, mai preselezionato, documentabile e revocabile. L'eccezione del soft spam (art. 130, comma 4, Codice Privacy) consente di inviare comunicazioni su prodotti o servizi simili a chi ha già acquistato, senza consenso ma con opt-out in ogni comunicazione. Ma attenzione: il soft spam si applica solo a clienti che hanno già acquistato, solo per prodotti analoghi, e solo via email.
Profilazione e raccomandazioni
Se il tuo e-commerce personalizza l'esperienza di acquisto (prodotti consigliati, offerte mirate, segmentazione della clientela), stai facendo profilazione. Il GDPR richiede: informativa specifica, consenso (o legittimo interesse con LIA documentata), diritto di opposizione, e in caso di decisioni automatizzate con effetti significativi, diritto di ottenere l'intervento umano.
Gestione dei fornitori terzi (art. 28)
Un e-commerce si appoggia a molti fornitori che trattano dati per tuo conto: piattaforma (Shopify, WooCommerce, Magento), hosting, gateway di pagamento (Stripe, PayPal, Nexi), corriere (GLS, BRT, Poste), CRM (HubSpot, Mailchimp), analytics, supporto clienti. Ogni fornitore che accede a dati personali deve essere nominato responsabile del trattamento con un contratto conforme all'art. 28 del GDPR.
Checkout e dati di pagamento
I dati delle carte di credito non devono mai transitare sui tuoi server. Usa gateway certificati PCI DSS che gestiscono il pagamento in ambiente sicuro. Nel registro dei trattamenti, mappi il trattamento indicando il gateway come responsabile. Se conservi gli ultimi 4 cifre della carta per comodità del cliente, è un trattamento autonomo che va documentato.
Diritto di cancellazione e portabilità
I clienti dell'e-commerce possono chiedere la cancellazione del proprio account e di tutti i dati associati. Attenzione: non puoi cancellare i dati di fatturazione (obbligo fiscale di conservazione per 10 anni). Serve una procedura interna che distingua i dati cancellabili da quelli soggetti a obblighi legali di conservazione.
La nostra consulenza per e-commerce
- Privacy policy e cookie policy del sito, personalizzate su ogni trattamento reale
- Setup cookie banner con blocco preventivo di analytics, marketing e profilazione
- Registro dei trattamenti con mappatura di tutti i flussi dati dell'e-commerce
- Nomine art. 28 per piattaforma, hosting, gateway, corriere, CRM, newsletter tool
- Gestione consensi marketing: architettura dei consensi, soft spam, opt-out, documentazione
- Informative per clienti, registrati, newsletter, dipendenti
- Procedura diritti degli interessati (cancellazione account, portabilità, accesso)
- DPIA se presente profilazione su larga scala
Domande frequenti
Serve il consenso per le email promozionali?
Per clienti che hanno già acquistato: puoi usare il soft spam per prodotti simili, senza consenso ma con opt-out. Per non clienti o prodotti diversi: consenso esplicito obbligatorio.
Google Analytics è utilizzabile?
GA4 con configurazione corretta e consenso preventivo sì. Alternative europee (Matomo, Plausible) semplificano la compliance.
Come gestire le carte di credito?
Mai sui tuoi server. Usa gateway certificati PCI DSS (Stripe, PayPal, Nexi). Mappali nel registro come responsabili art. 28.
Quanto costa adeguare un e-commerce?
Per un e-commerce medio con 5-10 fornitori terzi: a partire da 2.500-4.000 €. Per piattaforme complesse con profilazione: preventivo su misura. Contattami.
Vuoi adeguare il tuo e-commerce al GDPR?
Contattami per un check gratuito della conformità del tuo shop online.