GDPR per Negozi Online: Cosa Devi Fare (e Cosa Puoi Saltare)

Il GDPR è in vigore da maggio 2018, ma molti proprietari di negozi lo trattano ancora come un terrificante campo minato legale o come qualcosa che possono ignorare perché sono „troppo piccoli per contare". Entrambi gli atteggiamenti sono sbagliati. Il GDPR è serio, ma per un tipico negozio PrestaShop i requisiti pratici sono gestibili. Separiamo ciò che devi fare da ciò che puoi ragionevolmente rimandare.

Cosa richiede effettivamente il GDPR

Nella sua essenza, il GDPR dice: informa le persone su quali dati raccogli su di loro, perché li raccogli, mantienili al sicuro e dai loro il controllo sulle loro informazioni. Questo è il principio. I requisiti specifici per i negozi online:

1. Informativa sulla privacy (Obbligatoria)

Hai bisogno di un'informativa sulla privacy che spieghi in un linguaggio chiaro e semplice:

• Quali dati personali raccogli (nomi, e-mail, indirizzi, informazioni di pagamento, dati di navigazione)
• Perché raccogli ogni tipo di dato (elaborazione ordini, marketing, analisi)
• Per quanto tempo li conservi
• Con chi li condividi (processori di pagamento, corrieri, fornitori di analisi)
• Come i clienti possono accedere ai propri dati, modificarli o cancellarli
• I tuoi dati di contatto per le richieste sulla protezione dei dati

Non deve essere scritto da un avvocato, anche se farlo revisionare da uno è utile. Deve essere comprensibile da una persona normale — non nascosto dietro gergo legale.

2. Consenso ai cookie (Obbligatorio)

Se il tuo negozio utilizza cookie oltre a quelli strettamente necessari per il funzionamento del negozio, hai bisogno del consenso prima di impostare quei cookie. Questo significa:

• Cookie strettamente necessari (sessione, carrello, login) — nessun consenso necessario
• Cookie analitici (Google Analytics, Matomo) — consenso necessario
• Cookie di marketing (Facebook Pixel, Google Ads, retargeting) — consenso necessario
• Cookie di preferenza (lingua, valuta) — discutibile, ma generalmente trattati come necessari

Il tuo banner dei cookie deve offrire una scelta reale — un pulsante „Accetta" ben visibile e un'opzione „Rifiuta" o „Gestisci preferenze" altrettanto visibile. I dark pattern (nascondere l'opzione di rifiuto, usare un linguaggio confuso, preselezionare caselle) sono esplicitamente non conformi.

3. Consenso per il marketing (Obbligatorio)

Non puoi aggiungere automaticamente i clienti alla tua lista e-mail di marketing. L'iscrizione alla newsletter deve essere un'azione deliberata e volontaria — una casella non selezionata che il cliente seleziona attivamente, o un modulo di iscrizione separato. Le caselle „iscriviti alla newsletter" preselezionate durante il checkout non sono conformi.

Puoi inviare e-mail ai clienti riguardo ai loro ordini (e-mail transazionali) senza consenso aggiuntivo. Puoi anche inviare e-mail ai clienti esistenti riguardo a prodotti simili sotto il principio del „legittimo interesse" nella maggior parte dei paesi dell'UE — ma devi offrire un'opzione di disiscrizione facile.

4. Diritti di accesso e cancellazione dei dati (Obbligatori)

I clienti hanno il diritto di:

• Accesso: Richiedere una copia di tutti i dati che detieni su di loro
• Rettifica: Chiederti di correggere dati inesatti
• Cancellazione: Chiederti di eliminare i loro dati (il „diritto all'oblio")
• Portabilità: Richiedere i propri dati in un formato leggibile da macchina

PrestaShop 1.7+ include un modulo GDPR che gestisce le richieste base di esportazione e cancellazione dati dall'area account cliente. Assicurati che sia installato e configurato.

5. Sicurezza dei dati (Obbligatoria)

Devi implementare „misure tecniche e organizzative appropriate" per proteggere i dati personali. Per un negozio online, questo significa:

• Crittografia SSL/TLS su tutto il sito (HTTPS ovunque)
• Password forti e accesso amministratore limitato
• Aggiornamenti software regolari (core PrestaShop, moduli, software del server)
• Elaborazione sicura dei pagamenti (conformità PCI DSS — solitamente gestita dal tuo gateway di pagamento)
• Backup del database conservati in modo sicuro

Non hai bisogno di un'infrastruttura di sicurezza di livello enterprise. Hai bisogno di misure ragionevoli appropriate ai dati che gestisci. Per la maggior parte dei negozi, le pratiche base di sicurezza del negozio soddisfano questo requisito.

Cosa puoi probabilmente saltare

Responsabile della protezione dei dati (DPO)

Un DPO è richiesto solo se elabori dati personali su larga scala come attività principale o elabori categorie speciali di dati (salute, convinzioni religiose, ecc.). Un tipico negozio online che vende prodotti di consumo non ha bisogno di un DPO. Dovresti avere qualcuno responsabile della protezione dei dati, ma non deve essere un ruolo formale di DPO.

Valutazione d'impatto sulla protezione dei dati (DPIA)

Le DPIA sono richieste per elaborazioni che probabilmente comportano un rischio elevato per gli individui — profilazione su larga scala, monitoraggio sistematico di aree pubbliche o elaborazione di dati sensibili. Un negozio e-commerce standard che elabora ordini e invia e-mail di marketing non necessita tipicamente di una DPIA.

Consenso esplicito per ogni cookie

C'è un malinteso che serva un consenso individuale per ogni singolo cookie. In pratica, raggruppare i cookie per finalità (necessari, analitici, marketing) e ottenere il consenso per categoria è accettato dalla maggior parte delle autorità per la protezione dei dati. Non hai bisogno di una casella di spunta per ogni singolo cookie.

Cancellare tutti i dati immediatamente su richiesta

Il diritto alla cancellazione ha delle eccezioni. Puoi conservare i dati necessari per:

• Completare un ordine aperto
• Obblighi legali (documenti fiscali — tipicamente 7-10 anni a seconda del paese)
• L'affermazione o la difesa di pretese legali

Quando un cliente richiede la cancellazione, elimini i suoi dati di marketing e le informazioni personali dell'account, ma puoi conservare dati degli ordini anonimizzati per scopi contabili e fiscali.

Malintesi comuni

„Il GDPR si applica solo alle aziende dell'UE"

Sbagliato. Il GDPR si applica a qualsiasi azienda che elabora dati di residenti dell'UE, indipendentemente da dove ha sede l'azienda. Se vendi a clienti dell'UE da un negozio con sede negli USA, il GDPR si applica a quelle transazioni.

„I piccoli negozi sono esenti"

Non esiste un'esenzione per dimensione. Alcuni obblighi (come il registro delle attività di trattamento) possono essere semplificati per le piccole organizzazioni, ma i principi fondamentali — consenso, trasparenza, sicurezza, diritti degli interessati — si applicano a tutti.

„Abbiamo bisogno del consenso ai cookie prima di caricare qualsiasi pagina"

I cookie strettamente necessari (gestione della sessione, funzionalità del carrello, token di sicurezza) non richiedono consenso. Il tuo negozio può caricarsi e funzionare prima che l'utente faccia una scelta sui cookie. Quello che non puoi fare è caricare script di analisi o marketing prima che il consenso sia dato.

„Gli indirizzi IP non sono dati personali"

La CGUE (Corte di giustizia dell'Unione europea) ha stabilito che gli indirizzi IP sono dati personali. Questo significa che la registrazione degli indirizzi IP, inclusa quella per scopi analitici, è un trattamento di dati personali ai sensi del GDPR.

Lista di controllo pratica per la conformità

1. Scrivi o aggiorna la tua informativa sulla privacy. Rendila accessibile da ogni pagina (link nel footer).
2. Implementa un banner di consenso ai cookie appropriato con vere opzioni di accettazione/rifiuto.
3. Assicurati che l'iscrizione alla newsletter sia opt-in (non preselezionata).
4. Installa e configura il modulo GDPR di PrestaShop per l'esportazione e la cancellazione dei dati.
5. Verifica che il tuo negozio utilizzi HTTPS ovunque.
6. Controlla quali terze parti ricevono dati dei clienti (analisi, pagamento, spedizione) e elencale nella tua informativa sulla privacy.
7. Stabilisci periodi di conservazione dei dati — non conservare i dati a tempo indeterminato senza motivo.
8. Crea un processo semplice per gestire le richieste di accesso e cancellazione dei dati.
9. Controlla i tuoi termini e condizioni per assicurarti che facciano riferimento alla tua informativa sulla privacy.

Questa lista di controllo copre il 90% di ciò che un tipico negozio e-commerce di piccole e medie dimensioni necessita per la conformità al GDPR. Se elabori dati insoliti, vendi prodotti con restrizioni d'età o operi in settori altamente regolamentati (salute, finanza), potresti aver bisogno di misure aggiuntive — ed è qui che la consulenza legale vale l'investimento.

Il GDPR non scomparirà, e l'applicazione sta aumentando. Ma la conformità per la maggior parte dei negozi online non è il peso opprimente che viene spesso descritto. Gestisci i dati personali in modo responsabile, sii trasparente con i tuoi clienti e dai loro il controllo sulle loro informazioni. Questa è sia una buona pratica commerciale che conformità al GDPR.