Vendere online in Italia significa gestire quattro flussi di dati personali distinti, ciascuno con la propria base giuridica: l’esecuzione dell’ordine (contratto, art. 6, par. 1, lett. b, GDPR), il marketing post-vendita (soft spam ex art. 130, comma 4, Codice Privacy, oppure consenso), la profilazione per retargeting e raccomandazioni (consenso specifico) e i cookie di tracciamento (consenso ex art. 122 Codice Privacy). L’errore che costa di più è confondere questi binari — per esempio riutilizzare per pubblicità profilata i contatti raccolti per spedire un ordine. Questa guida mappa gli obblighi privacy di un e-commerce italiano, dall’informativa alla catena dei fornitori.
Punti chiave
- L’esecuzione dell’ordine si basa sul contratto; non serve consenso per spedire, fatturare e assistere il cliente.
- Il soft spam (art. 130, comma 4, Codice Privacy) consente email promozionali agli acquirenti per prodotti analoghi, senza consenso, con opt-out sempre disponibile.
- Profilazione e retargeting richiedono un consenso specifico e separato, distinto da quello per il marketing generico.
- I cookie non tecnici richiedono consenso preventivo secondo le Linee guida cookie del Garante (2021) e l’art. 122 Codice Privacy.
- I dati degli ordini vanno conservati fino a 10 anni per obblighi fiscali; i dati marketing seguono termini più brevi.
Le quattro basi giuridiche di un e-commerce
Un negozio online non può poggiare tutto sul consenso: sarebbe sbagliato e fragile. La corretta mappatura è questa:
| Trattamento | Base giuridica | Serve consenso? |
|---|---|---|
| Gestione ordine, spedizione, pagamento | Contratto (art. 6.1.b) | No |
| Fatturazione e obblighi fiscali | Obbligo legale (art. 6.1.c) | No |
| Email promozionali su prodotti analoghi | Soft spam (art. 130.4 Cod. Privacy) | No, con opt-out |
| Newsletter generica, SMS, servizi diversi | Consenso (art. 6.1.a) | Sì |
| Profilazione, retargeting, lookalike | Consenso specifico | Sì |
| Antifrode sui pagamenti | Legittimo interesse | No, con valutazione |
Chi vuole appoggiarsi al legittimo interesse per l’antifrode o la sicurezza deve documentare il test di bilanciamento. Per le altre finalità pubblicitarie il consenso resta la via maestra: si vedano gli esempi di consenso GDPR per formulare correttamente le caselle senza pre-flag né consensi cumulativi.
Soft spam: il vantaggio che quasi tutti sbagliano
L’art. 130, comma 4, del Codice Privacy consente di inviare email promozionali ai propri clienti senza consenso preventivo, ma solo a tre condizioni: i contatti sono stati raccolti nel contesto di una vendita, la promozione riguarda prodotti o servizi analoghi, e il cliente può opporsi gratuitamente fin dalla raccolta e in ogni messaggio. Questa deroga vale solo per l’email: SMS, notifiche push e telefonate richiedono consenso. L’errore tipico è estendere il soft spam a servizi del tutto diversi o a liste acquistate da terzi, che invece esige consenso pieno e documentato.
Cookie e tracciamento pubblicitario
Il tracciamento pubblicitario — pixel di Meta, retargeting di Google, tag di affiliazione — richiede consenso preventivo ai sensi dell’art. 122 del Codice Privacy e delle Linee guida cookie del Garante del giugno 2021. Il banner deve permettere di rifiutare con la stessa facilità con cui si accetta, non deve usare cookie wall e non deve interpretare lo scroll come consenso. La cookie policy va tenuta distinta dall’informativa generale e allineata ai tag effettivamente presenti nel sito.
Profilazione e raccomandazioni prodotto
Suggerire prodotti in base alla cronologia d’acquisto, costruire audience lookalike, personalizzare i prezzi: sono tutte forme di profilazione che richiedono un consenso specifico e separato dal marketing generico. Il consenso deve essere granulare: l’utente deve poter accettare la newsletter senza per questo accettare la profilazione. Quando la profilazione è su larga scala e sistematica, va valutata anche una valutazione d’impatto sulla protezione dei dati (DPIA).
La catena dei fornitori: chi è responsabile
Un e-commerce si appoggia a una filiera tecnologica che tratta dati per suo conto: piattaforma (Shopify, WooCommerce hosting), gateway di pagamento, corriere, provider email, CRM, analytics. Ciascuno di questi fornitori va inquadrato e, dove tratta dati per conto del negozio, va formalizzato con un atto ex art. 28 GDPR. La guida alla nomina del responsabile del trattamento ex art. 28 elenca le clausole obbligatorie. Tutti i flussi vanno poi mappati nel registro delle attività di trattamento.
Conservazione: ordini e marketing seguono termini diversi
I dati degli ordini (fatture, documenti fiscali) vanno conservati fino a 10 anni per obblighi civilistici e fiscali. I dati marketing — consensi, cronologia newsletter — seguono termini più brevi, legati alla persistenza del consenso e alla effettiva attività dell’utente. Non si tiene tutto per dieci anni: la tabella dei tempi di conservazione va costruita per categoria. Il Garante ha sanzionato più volte la gestione illecita dei database marketing e la profilazione senza base valida; le decisioni sono pubblicate su garanteprivacy.it e il testo del Regolamento è su EUR-Lex. Per gestire consensi, registro e nomine senza fogli sparsi, un software GDPR per PMI tiene insieme la documentazione al crescere del catalogo.
Diritti degli interessati: prepararsi prima delle richieste
Un e-commerce riceve richieste degli interessati con frequenza crescente: accesso ai propri dati, cancellazione dell’account, opposizione al marketing, portabilità. L’art. 12 GDPR impone di rispondere entro un mese (prorogabile di due in casi complessi), gratuitamente e in forma comprensibile. Un negozio ben organizzato predispone un flusso interno: chi riceve la richiesta, come si verifica l’identità del richiedente, come si estraggono i dati dai vari sistemi (piattaforma, CRM, provider email), come si documenta la risposta. Ignorare o gestire male queste richieste è una fonte frequente di reclami al Garante, spesso più insidiosa delle violazioni sostanziali perché facilmente dimostrabile dall’interessato.
Sicurezza e violazioni: cosa fare quando i dati escono
Un e-commerce è un bersaglio: carte, indirizzi, credenziali. L’art. 32 GDPR impone misure di sicurezza adeguate al rischio — cifratura, controlli di accesso, aggiornamenti, backup. Quando si verifica una violazione (attacco, esfiltrazione del database clienti, errore che espone gli ordini), scatta la valutazione del rischio: se c’è rischio per gli interessati, occorre la notifica al Garante entro 72 ore e, nei casi gravi, la comunicazione ai clienti. Predisporre in anticipo una procedura di gestione delle violazioni evita di improvvisare sotto pressione e riduce sia il danno reputazionale sia l’esposizione sanzionatoria. La preparazione documentale — registro, informative, procedure — è ciò che distingue un negozio che supera un controllo da uno che lo subisce.
FAQ
Posso mandare email promozionali a chi ha già comprato senza consenso?
Sì, entro i limiti del soft spam (art. 130, comma 4, Codice Privacy): solo email, solo per prodotti o servizi analoghi a quelli acquistati, con opt-out disponibile fin dalla raccolta e in ogni messaggio. Per SMS, push o servizi diversi serve il consenso.
Il retargeting richiede il consenso?
Sì. Il retargeting e la profilazione pubblicitaria richiedono un consenso specifico e separato dal marketing generico, oltre al consenso per i relativi cookie di tracciamento ex art. 122 Codice Privacy. Non basta l’accettazione della newsletter.
Quanto devo conservare i dati degli ordini?
Fino a 10 anni per gli obblighi fiscali e civilistici legati a fatture e documenti contabili. I dati usati per il marketing, invece, seguono termini più brevi e vanno cancellati o anonimizzati quando la finalità cessa o il consenso è revocato.
Serve la nomina a responsabile per il corriere e il gateway di pagamento?
Dipende dal ruolo. Quando trattano dati seguendo le istruzioni del negozio (es. la piattaforma cloud, il provider email) sono responsabili ex art. 28 e serve l’atto di nomina. Alcuni soggetti, come i gateway di pagamento, agiscono in parte come titolari autonomi: il rapporto va valutato caso per caso.
Vedi anche: il GDPR per le strutture ricettive che vendono online, per le banche sul fronte pagamenti e per le agenzie immobiliari.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial