Protezione dei dati

GDPR e-commerce: obblighi privacy per vendere online

GDPR e-commerce in Italia: informativa e cookie, soft spam post-vendita, consenso alla profilazione, responsabili del trattamento e tempi di conservazione.

Also available in:English·Français·Español·Deutsch

Vendere online in Italia significa gestire quattro flussi di dati personali distinti, ciascuno con la propria base giuridica: l’esecuzione dell’ordine (contratto, art. 6, par. 1, lett. b, GDPR), il marketing post-vendita (soft spam ex art. 130, comma 4, Codice Privacy, oppure consenso), la profilazione per retargeting e raccomandazioni (consenso specifico) e i cookie di tracciamento (consenso ex art. 122 Codice Privacy). L’errore che costa di più è confondere questi binari — per esempio riutilizzare per pubblicità profilata i contatti raccolti per spedire un ordine. Questa guida mappa gli obblighi privacy di un e-commerce italiano, dall’informativa alla catena dei fornitori.

Punti chiave

  • L’esecuzione dell’ordine si basa sul contratto; non serve consenso per spedire, fatturare e assistere il cliente.
  • Il soft spam (art. 130, comma 4, Codice Privacy) consente email promozionali agli acquirenti per prodotti analoghi, senza consenso, con opt-out sempre disponibile.
  • Profilazione e retargeting richiedono un consenso specifico e separato, distinto da quello per il marketing generico.
  • I cookie non tecnici richiedono consenso preventivo secondo le Linee guida cookie del Garante (2021) e l’art. 122 Codice Privacy.
  • I dati degli ordini vanno conservati fino a 10 anni per obblighi fiscali; i dati marketing seguono termini più brevi.

Le quattro basi giuridiche di un e-commerce

Un negozio online non può poggiare tutto sul consenso: sarebbe sbagliato e fragile. La corretta mappatura è questa:

Trattamento Base giuridica Serve consenso?
Gestione ordine, spedizione, pagamento Contratto (art. 6.1.b) No
Fatturazione e obblighi fiscali Obbligo legale (art. 6.1.c) No
Email promozionali su prodotti analoghi Soft spam (art. 130.4 Cod. Privacy) No, con opt-out
Newsletter generica, SMS, servizi diversi Consenso (art. 6.1.a)
Profilazione, retargeting, lookalike Consenso specifico
Antifrode sui pagamenti Legittimo interesse No, con valutazione

Chi vuole appoggiarsi al legittimo interesse per l’antifrode o la sicurezza deve documentare il test di bilanciamento. Per le altre finalità pubblicitarie il consenso resta la via maestra: si vedano gli esempi di consenso GDPR per formulare correttamente le caselle senza pre-flag né consensi cumulativi.

Soft spam: il vantaggio che quasi tutti sbagliano

L’art. 130, comma 4, del Codice Privacy consente di inviare email promozionali ai propri clienti senza consenso preventivo, ma solo a tre condizioni: i contatti sono stati raccolti nel contesto di una vendita, la promozione riguarda prodotti o servizi analoghi, e il cliente può opporsi gratuitamente fin dalla raccolta e in ogni messaggio. Questa deroga vale solo per l’email: SMS, notifiche push e telefonate richiedono consenso. L’errore tipico è estendere il soft spam a servizi del tutto diversi o a liste acquistate da terzi, che invece esige consenso pieno e documentato.

Il tracciamento pubblicitario — pixel di Meta, retargeting di Google, tag di affiliazione — richiede consenso preventivo ai sensi dell’art. 122 del Codice Privacy e delle Linee guida cookie del Garante del giugno 2021. Il banner deve permettere di rifiutare con la stessa facilità con cui si accetta, non deve usare cookie wall e non deve interpretare lo scroll come consenso. La cookie policy va tenuta distinta dall’informativa generale e allineata ai tag effettivamente presenti nel sito.

Profilazione e raccomandazioni prodotto

Suggerire prodotti in base alla cronologia d’acquisto, costruire audience lookalike, personalizzare i prezzi: sono tutte forme di profilazione che richiedono un consenso specifico e separato dal marketing generico. Il consenso deve essere granulare: l’utente deve poter accettare la newsletter senza per questo accettare la profilazione. Quando la profilazione è su larga scala e sistematica, va valutata anche una valutazione d’impatto sulla protezione dei dati (DPIA).

La catena dei fornitori: chi è responsabile

Un e-commerce si appoggia a una filiera tecnologica che tratta dati per suo conto: piattaforma (Shopify, WooCommerce hosting), gateway di pagamento, corriere, provider email, CRM, analytics. Ciascuno di questi fornitori va inquadrato e, dove tratta dati per conto del negozio, va formalizzato con un atto ex art. 28 GDPR. La guida alla nomina del responsabile del trattamento ex art. 28 elenca le clausole obbligatorie. Tutti i flussi vanno poi mappati nel registro delle attività di trattamento.

Conservazione: ordini e marketing seguono termini diversi

I dati degli ordini (fatture, documenti fiscali) vanno conservati fino a 10 anni per obblighi civilistici e fiscali. I dati marketing — consensi, cronologia newsletter — seguono termini più brevi, legati alla persistenza del consenso e alla effettiva attività dell’utente. Non si tiene tutto per dieci anni: la tabella dei tempi di conservazione va costruita per categoria. Il Garante ha sanzionato più volte la gestione illecita dei database marketing e la profilazione senza base valida; le decisioni sono pubblicate su garanteprivacy.it e il testo del Regolamento è su EUR-Lex. Per gestire consensi, registro e nomine senza fogli sparsi, un software GDPR per PMI tiene insieme la documentazione al crescere del catalogo.

Diritti degli interessati: prepararsi prima delle richieste

Un e-commerce riceve richieste degli interessati con frequenza crescente: accesso ai propri dati, cancellazione dell’account, opposizione al marketing, portabilità. L’art. 12 GDPR impone di rispondere entro un mese (prorogabile di due in casi complessi), gratuitamente e in forma comprensibile. Un negozio ben organizzato predispone un flusso interno: chi riceve la richiesta, come si verifica l’identità del richiedente, come si estraggono i dati dai vari sistemi (piattaforma, CRM, provider email), come si documenta la risposta. Ignorare o gestire male queste richieste è una fonte frequente di reclami al Garante, spesso più insidiosa delle violazioni sostanziali perché facilmente dimostrabile dall’interessato.

Sicurezza e violazioni: cosa fare quando i dati escono

Un e-commerce è un bersaglio: carte, indirizzi, credenziali. L’art. 32 GDPR impone misure di sicurezza adeguate al rischio — cifratura, controlli di accesso, aggiornamenti, backup. Quando si verifica una violazione (attacco, esfiltrazione del database clienti, errore che espone gli ordini), scatta la valutazione del rischio: se c’è rischio per gli interessati, occorre la notifica al Garante entro 72 ore e, nei casi gravi, la comunicazione ai clienti. Predisporre in anticipo una procedura di gestione delle violazioni evita di improvvisare sotto pressione e riduce sia il danno reputazionale sia l’esposizione sanzionatoria. La preparazione documentale — registro, informative, procedure — è ciò che distingue un negozio che supera un controllo da uno che lo subisce.

FAQ

Posso mandare email promozionali a chi ha già comprato senza consenso?

Sì, entro i limiti del soft spam (art. 130, comma 4, Codice Privacy): solo email, solo per prodotti o servizi analoghi a quelli acquistati, con opt-out disponibile fin dalla raccolta e in ogni messaggio. Per SMS, push o servizi diversi serve il consenso.

Il retargeting richiede il consenso?

Sì. Il retargeting e la profilazione pubblicitaria richiedono un consenso specifico e separato dal marketing generico, oltre al consenso per i relativi cookie di tracciamento ex art. 122 Codice Privacy. Non basta l’accettazione della newsletter.

Quanto devo conservare i dati degli ordini?

Fino a 10 anni per gli obblighi fiscali e civilistici legati a fatture e documenti contabili. I dati usati per il marketing, invece, seguono termini più brevi e vanno cancellati o anonimizzati quando la finalità cessa o il consenso è revocato.

Serve la nomina a responsabile per il corriere e il gateway di pagamento?

Dipende dal ruolo. Quando trattano dati seguendo le istruzioni del negozio (es. la piattaforma cloud, il provider email) sono responsabili ex art. 28 e serve l’atto di nomina. Alcuni soggetti, come i gateway di pagamento, agiscono in parte come titolari autonomi: il rapporto va valutato caso per caso.

Vedi anche: il GDPR per le strutture ricettive che vendono online, per le banche sul fronte pagamenti e per le agenzie immobiliari.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →