GDPR per i negozi PrestaShop: Cosa serve davvero

Avvertenza: Questa guida fornisce informazioni generali sulla conformità al GDPR per i proprietari di negozi PrestaShop. Non costituisce consulenza legale. La normativa sulla protezione dei dati varia a seconda della giurisdizione ed è soggetta all’interpretazione di autorità di regolamentazione e tribunali. Consultate un professionista legale qualificato per una consulenza specifica alla vostra situazione, al vostro paese e al vostro modello di business.

Cosa richiede realmente il GDPR (in parole semplici)

Il Regolamento Generale sulla Protezione dei Dati sembra terrificante. Il documento è lungo 88 pagine, pieno di linguaggio giuridico, e le sanzioni arrivano fino a 20 milioni di euro. Non c’è da stupirsi che i proprietari di negozi vadano nel panico.

Ma ecco il punto — la maggior parte di ciò che il GDPR richiede è semplicemente trattare i dati dei clienti con rispetto basilare. Se siete già un proprietario di negozio responsabile che non abusa delle informazioni dei clienti, probabilmente siete già conformi al 70% senza sforzo. Questa guida copre il restante 30% — i passaggi pratici che dovete compiere per rendere il vostro negozio PrestaShop conforme.

L’idea fondamentale

Il GDPR si riduce a un principio: le persone sono proprietarie dei loro dati personali, non voi. Voi li state prendendo in prestito per gestire la vostra attività, e dovete trattarli in modo responsabile. Ciò significa:

• Informate le persone su cosa raccogliete e perché — nessun tracciamento nascosto, nessuna raccolta segreta di dati
• Raccogliete solo ciò di cui avete realmente bisogno — se non vi serve la data di nascita di qualcuno per vendergli delle scarpe, non chiedetela
• Ottenete un consenso adeguato — “Usiamo i cookie, clicca OK” non è più sufficiente
• Lasciate che le persone vedano, correggano e cancellino i loro dati — se qualcuno vuole uscire, lasciateglielo fare
• Mantenete i dati al sicuro — se li raccogliete, proteggeteli
• Non conservate i dati più del necessario — conservare i dati dei carrelli abbandonati dal 2018 non è necessario

Il GDPR si applica a voi?

Sì. Quasi certamente sì.

Il GDPR si applica se:

• La vostra attività ha sede nell’UE o nello SEE
• Vendete prodotti o servizi a persone nell’UE (anche se la vostra attività è negli USA, in Brasile, in India o in qualsiasi altro luogo)
• Monitorate il comportamento di persone nell’UE (analytics, tracciamento, profilazione)

Se accettate euro, offrite spedizioni verso paesi dell’UE, o il vostro sito web è disponibile in una lingua dell’UE — il GDPR si applica a voi. Il regolamento riguarda la protezione dei dati dei residenti dell’UE, indipendentemente da dove si trovi l’azienda che elabora quei dati.

Non perdete tempo cercando di capire se il GDPR si applica a voi. Se gestite un negozio online accessibile dall’Europa, semplicemente conformatevi. Il costo della conformità è molto inferiore al costo della non conformità — e la maggior parte dei requisiti sono comunque buone pratiche commerciali.

Cosa conta come dato personale?

I dati personali sono qualsiasi informazione che può identificare una persona, direttamente o indirettamente. Nel contesto di un negozio PrestaShop, questo include:

• Dati ovvi: nome, indirizzo email, numero di telefono, indirizzo postale, data di nascita
• Dati degli ordini: cosa hanno comprato, quando, quanto hanno pagato, metodo di pagamento utilizzato
• Dati dell’account: password (anche quelle con hash), data di creazione dell’account, cronologia degli accessi
• Dati tecnici: indirizzi IP, impronte digitali del browser, informazioni sul dispositivo
• Dati comportamentali: pagine visitate, prodotti visualizzati, contenuti del carrello, ricerche effettuate
• Dati dei cookie: ID di sessione, cookie di tracciamento, cookie di preferenza

La parola chiave è “identifica”. Un indirizzo IP da solo potrebbe non identificare qualcuno, ma combinato con un timestamp e i log del server, può farlo. Quella combinazione lo rende un dato personale ai sensi del GDPR.

Le sei basi giuridiche per il trattamento dei dati

Non potete semplicemente raccogliere dati perché vi va. Avete bisogno di una giustificazione legale — una di queste sei:

• Consenso: La persona ha accettato esplicitamente (iscrizione alla newsletter, email di marketing)
• Contratto: Avete bisogno dei dati per evadere un ordine (indirizzo di spedizione per consegnare i prodotti)
• Obbligo legale: La legge vi obbliga a conservarli (fatture ai fini fiscali)
• Interessi vitali: Raramente si applica all’e-commerce
• Interesse pubblico: Non si applica all’e-commerce
• Interesse legittimo: Avete una ragione commerciale genuina che non prevale sui diritti della persona (prevenzione delle frodi, analytics di base)

Per la maggior parte dei negozi PrestaShop, utilizzerete tre di queste: contratto (elaborazione degli ordini), consenso (marketing e cookie) e obbligo legale (conservazione delle fatture).

Cosa raccoglie il vostro negozio PrestaShop (e dove viene archiviato)

Prima di poter essere trasparenti sulla raccolta dei dati, dovete sapere esattamente cosa raccoglie il vostro negozio. I negozi PrestaShop accumulano più dati di quanto la maggior parte dei proprietari si renda conto.

Account dei clienti

La tabella ps_customer memorizza tutto sui clienti registrati:

• Nome, cognome, indirizzo email
• Password (con hash tramite bcrypt o il metodo legacy md5+cookie_key)
• Data di nascita (se la richiedete — valutate se ne avete realmente bisogno)
• Genere / titolo sociale
• Flag newsletter e opt-in
• Data di creazione dell’account, data dell’ultimo accesso
• Indirizzo IP alla registrazione
• Ragione sociale e numeri SIRET/APE associati (campi B2B)

Ordini e indirizzi

Ogni ordine crea record in più tabelle:

• ps_orders — dettagli dell’ordine, totali, metodo di pagamento, stato attuale
• ps_order_detail — singoli prodotti in ogni ordine
• ps_order_payment — riferimenti delle transazioni di pagamento
• ps_order_history — cambiamenti di stato con timestamp
• ps_address — indirizzi di consegna e fatturazione (collegati al cliente)
• ps_order_carrier — metodo di spedizione e numeri di tracciamento
• ps_message — messaggi del servizio clienti allegati agli ordini

Notate che ps_address può contenere indirizzi postali completi, numeri di telefono e persino un numero di identificazione nazionale (campo DNI) a seconda del paese.

Dati degli ospiti e connessioni

Anche i visitatori che non creano mai un account lasciano tracce:

• ps_guest — identificazione browser/sistema operativo per ogni visitatore
• ps_connections — ogni visita registrata con indirizzo IP e timestamp
• ps_connections_source — HTTP referer (da dove sono arrivati)
• ps_connections_page — ogni pagina visualizzata durante la visita
• ps_page e ps_page_viewed — statistiche delle visualizzazioni di pagina

Queste tabelle crescono rapidamente. Un negozio moderatamente attivo può accumulare milioni di righe in ps_connections in un anno. Questi sono dati personali (indirizzi IP + comportamento di navigazione), e la maggior parte dei negozi li conserva indefinitamente senza rendersene conto.

Dati del carrello

PrestaShop crea un record del carrello (ps_cart) nel momento in cui un visitatore aggiunge qualcosa al carrello — anche se non completa mai l’acquisto. Questo include:

• Prodotti selezionati (con combinazioni/attributi)
• ID cliente o ID ospite associato
• Riferimenti agli indirizzi di consegna e fatturazione
• Selezione del corriere
• Timestamp di creazione e ultimo aggiornamento del carrello

I carrelli abbandonati sono dati personali se sono collegati a un account cliente o contengono informazioni sufficienti per identificare qualcuno. La maggior parte dei negozi non li pulisce mai.

Iscrizioni alla newsletter

Il modulo newsletter predefinito memorizza gli indirizzi email in ps_emailsubscription (o ps_newsletter nelle versioni precedenti). Questo include l’email, la data di iscrizione e talvolta l’indirizzo IP. Se utilizzate un servizio di email marketing di terze parti, i dati sono memorizzati anche lì.

Cookie

PrestaShop imposta diversi cookie per impostazione predefinita:

• Cookie di sessione PrestaShop — identifica la sessione dell’utente (essenziale per il funzionamento del negozio)
• Cookie del carrello — ricorda i contenuti del carrello
• Cookie dipendente/admin — autenticazione del back-office

Questi sono cookie funzionali. La preoccupazione relativa al GDPR riguarda principalmente i cookie non essenziali aggiunti da moduli di terze parti — Google Analytics, Facebook Pixel, tag di remarketing, widget di chat e strumenti di tracciamento simili.

Log del server

Il vostro server web (Apache o Nginx) registra ogni richiesta per impostazione predefinita. Questi log contengono indirizzi IP, timestamp, URL richiesti, user agent e HTTP referer. Sono memorizzati come file di testo semplice sul server e costituiscono dati personali ai sensi del GDPR.

La maggior parte dei provider di hosting conserva questi log per 30-90 giorni. Informatevi su cosa fa la vostra configurazione di hosting — e configurate la rotazione dei log se gestite il vostro server.

Dati specifici dei moduli

I moduli di terze parti spesso creano le proprie tabelle nel database. Esempi comuni:

• Moduli di recensioni/valutazioni: nome del cliente, email, contenuto della recensione, indirizzo IP
• Moduli di lista dei desideri: prodotti salvati, collegamenti ai clienti
• Moduli di live chat: trascrizioni complete delle chat, nomi dei clienti, email
• Moduli di analytics: comportamento di navigazione dettagliato, tracciamento delle conversioni
• Moduli fedeltà/premi: saldi dei punti, cronologia delle transazioni
• Moduli di recupero carrelli abbandonati: indirizzi email, contenuti del carrello, cronologia dei promemoria

Controllate ogni modulo che avete installato. Verificate quali tabelle del database creano (cercate le tabelle con il prefisso del modulo in phpMyAdmin). Non potete essere trasparenti sulla raccolta dei dati se non sapete cosa raccolgono i vostri moduli.

Consenso ai cookie: come farlo correttamente

Il consenso ai cookie è il punto in cui la maggior parte dei negozi PrestaShop non riesce a rispettare il GDPR. L’asticella è più alta di quanto la maggior parte delle persone pensi.

Cosa richiede realmente la legge

La Direttiva ePrivacy (che opera insieme al GDPR) richiede che:

• I cookie essenziali (sessione, carrello, sicurezza) possono essere impostati senza consenso — sono necessari per il funzionamento del sito
• I cookie non essenziali (analytics, marketing, social media, personalizzazione) richiedono un consenso esplicito, informato e attivo prima di essere impostati
• Il consenso deve essere dato liberamente — non potete renderlo una condizione per l’utilizzo del sito
• Il consenso deve essere specifico — gli utenti devono poter accettare gli analytics ma rifiutare i cookie di marketing
• Il consenso deve essere informato — gli utenti devono sapere quali cookie impostate e perché
• Deve essere altrettanto facile revocare il consenso quanto è stato darlo

Cosa non conta come consenso valido

Questi approcci comuni non sono conformi al GDPR:

• “Continuando a navigare, accetti i cookie” — il consenso implicito non è consenso
• Un banner con solo un pulsante “OK” — non viene offerta una scelta reale
• Caselle di consenso pre-selezionate — il consenso deve essere opt-in, non opt-out
• Cookie wall (accetta tutto o vai via) — è contestato, ma la maggior parte delle autorità di regolamentazione lo considera non conforme
• Un banner dei cookie che viene visualizzato ma carica comunque gli script di tracciamento — il banner deve effettivamente bloccare i cookie non essenziali fino a quando il consenso non viene dato

Cookie predefiniti di PrestaShop

Di default, PrestaShop imposta questi cookie:

• PrestaShop-[hash] — cookie di sessione principale (essenziale)
• PHPSESSID — ID di sessione PHP (essenziale)
• PrestaShop_admin — sessione del back-office (essenziale, solo admin)

Questi sono tutti cookie strettamente necessari. Un’installazione PrestaShop standard senza moduli di terze parti non ha bisogno di un banner di consenso ai cookie per questi. I problemi iniziano quando aggiungete Google Analytics, Facebook Pixel, Hotjar, strumenti di live chat o qualsiasi modulo di marketing che rilascia cookie di tracciamento.

Come implementare un consenso ai cookie corretto

Un’implementazione del consenso ai cookie conforme deve:

1. Bloccare tutti i cookie non essenziali per impostazione predefinita — Google Analytics, Facebook Pixel e script simili non devono essere caricati fino a quando il consenso non viene dato
2. Mostrare un chiaro banner di consenso alla prima visita con opzioni per accettare, rifiutare o personalizzare
3. Offrire un controllo granulare — come minimo, categorie separate: Necessari, Analytics, Marketing, Preferenze
4. Ricordare la scelta — non chiedere di nuovo ad ogni caricamento di pagina (memorizzare il consenso in un cookie — sì, l’ironia)
5. Consentire la revoca — fornire un modo per modificare le preferenze dei cookie in seguito (tipicamente un link nel footer)
6. Tenere un registro — registrare quando il consenso è stato dato e per quali categorie

L’implementazione tecnica funziona tipicamente così:

<!-- Instead of loading Google Analytics directly: -->
<script src="https://www.googletagmanager.com/gtag/js?id=GA_ID"></script>

<!-- Load it conditionally based on consent: -->
<script type="text/plain" data-cookieconsent="statistics">
  // This script only executes after the user consents to statistics cookies
  (function(){ /* GA code here */ })();
</script>

L’attributo type="text/plain" impedisce al browser di eseguire lo script. Il vostro strumento di gestione del consenso lo sostituisce con type="text/javascript" dopo che il consenso viene dato.

Il problema di Google Analytics

Google Analytics è il più grande grattacapo del consenso ai cookie per i proprietari di negozi. Ecco perché:

• GA imposta più cookie (_ga, _gid, _gat) che sono classificati come cookie di analytics/statistiche
• Questi richiedono un consenso esplicito ai sensi del GDPR
• Se la maggior parte dei visitatori rifiuta i cookie di analytics (e molti lo fanno), i vostri dati di analytics diventano inaffidabili
• Google Analytics 4 trasferisce comunque i dati ai server statunitensi di Google, il che solleva ulteriori preoccupazioni sul trasferimento dei dati nell’ambito del EU-US Data Privacy Framework

Opzioni da considerare:

• Mantenere GA con consenso adeguato: Accettate che perderete dati dai visitatori che rifiutano. I vostri analytics saranno comunque utili per le tendenze, solo meno completi.
• Usare analytics lato server: Strumenti come Matomo (self-hosted) o Plausible possono essere configurati per funzionare senza cookie, il che potrebbe consentirne l’uso sotto “interesse legittimo” senza consenso. Consultate il vostro consulente legale su questo approccio.
• Usare la Consent Mode di Google: GA4 supporta la consent mode, che invia ping senza cookie quando il consenso viene negato e utilizza dati modellati per colmare le lacune. È un compromesso.

Il modulo GDPR ufficiale di PrestaShop

PrestaShop fornisce un modulo GDPR ufficiale (psgdpr) che gestisce alcune funzionalità di consenso ai cookie. Esso:

• Visualizza un banner di consenso ai cookie
• Consente ai clienti di richiedere l’esportazione e la cancellazione dei dati dal loro account
• Vi permette di configurare quali moduli sono rilevanti per il GDPR
• Fornisce un registro dei consensi

Tuttavia, il modulo ufficiale ha delle limitazioni. Potrebbe non bloccare tutti i cookie prima del consenso (a seconda del vostro tema e degli altri moduli), e la personalizzazione del banner è basilare. Molti negozi lo integrano con una piattaforma di consenso ai cookie più robusta o lo sostituiscono interamente con una Consent Management Platform (CMP) dedicata come Cookiebot, Complianz o CookieYes.

Qualunque soluzione di consenso utilizziate, testatela. Aprite il vostro negozio in una finestra di navigazione privata, aprite DevTools (F12 > Application > Cookies) e controllate quali cookie vengono impostati prima di interagire con il banner di consenso. Se vedete cookie di Google Analytics o Facebook lì, la vostra implementazione è difettosa — il consenso viene aggirato.

La vostra pagina di Informativa sulla Privacy

Ogni negozio ha bisogno di un’informativa sulla privacy. Non è opzionale, e una vaga dichiarazione di due paragrafi non soddisfa i requisiti. La vostra informativa sulla privacy deve essere specifica per il vostro negozio e coprire esattamente cosa fate con i dati dei clienti.

Cosa deve essere incluso

Ai sensi degli Articoli 13 e 14 del GDPR, la vostra informativa sulla privacy deve includere:

• La vostra identità e i dati di contatto — ragione sociale, indirizzo, email
• Contatto del Responsabile della Protezione dei Dati (se ne avete uno — la maggior parte dei piccoli negozi non ne ha bisogno)
• Quali dati personali raccogliete — siate specifici (nomi, email, indirizzi, indirizzi IP, dati dei cookie)
• Perché li raccogliete — la finalità per ogni tipo di dato
• La base giuridica per ogni tipo di trattamento (consenso, contratto, interesse legittimo, obbligo legale)
• Con chi condividete i dati — processori di pagamento, corrieri, servizi email, fornitori di analytics
• Trasferimenti internazionali di dati — se i dati vanno fuori dall’UE (Google, Stripe, servizi con sede negli USA)
• Per quanto tempo conservate i dati — periodi di conservazione per ogni tipo di dato
• Diritti dei clienti — accesso, rettifica, cancellazione, portabilità, opposizione, limitazione
• Come esercitare tali diritti — dati di contatto, procedura
• Diritto di reclamo presso un’autorità di controllo
• Se la fornitura dei dati è obbligatoria (ad esempio, avete bisogno di un indirizzo per spedire un ordine)
• Processo decisionale automatizzato — se ne utilizzate (la maggior parte dei negozi no)
• Informazioni sui cookie — o un link a una policy sui cookie separata

Modello di struttura dell’informativa sulla privacy

Ecco una struttura pratica per l’informativa sulla privacy di un negozio PrestaShop. Dovrete compilare i dettagli specifici per il vostro negozio:

1. Who We Are
   - Company name, registration number, address
   - Contact email for privacy matters

2. What Data We Collect
   - Account registration data (name, email, password)
   - Order data (shipping address, billing address, order contents)
   - Payment data (note: we don't store card numbers — our payment processor does)
   - Communication data (contact form messages, order messages)
   - Technical data (IP address, browser type, cookies)
   - Newsletter subscription (email address)

3. Why We Collect It (Purposes and Legal Basis)
   - To process your orders (contract)
   - To create and manage your account (contract)
   - To send order confirmations and shipping updates (contract)
   - To send marketing emails (consent — you can unsubscribe at any time)
   - To improve our website (legitimate interest / consent for analytics cookies)
   - To comply with tax and accounting laws (legal obligation)
   - To prevent fraud (legitimate interest)

4. Who We Share Your Data With
   - Payment processor: [Name] — processes card payments
   - Shipping carrier: [Name] — receives delivery address and phone number
   - Email service: [Name] — sends transactional and marketing emails
   - Analytics: [Name] — website usage statistics
   - Hosting provider: [Name] — stores all website data

5. International Transfers
   - [List any services that transfer data outside the EU/EEA]
   - Safeguards in place (EU-US Data Privacy Framework, Standard Contractual Clauses)

6. How Long We Keep Your Data
   - Account data: until you delete your account
   - Order data: [X] years (legal requirement for invoices)
   - Abandoned cart data: [X] months
   - Analytics data: [X] months
   - Server logs: [X] days

7. Your Rights
   - Access, rectification, erasure, portability, objection, restriction
   - How to exercise them (email, account settings, GDPR module)
   - Right to complain to [your country's supervisory authority]

8. Cookies
   - [Summary or link to cookie policy]

9. Changes to This Policy
   - Last updated: [date]

10. Contact Us
    - Email for privacy inquiries

Dove collegare la vostra informativa sulla privacy

La vostra informativa sulla privacy deve essere facilmente accessibile. Collegatela da:

• Footer del sito web — su ogni pagina
• Modulo di registrazione — con una casella di spunta (“Ho letto e accetto l’informativa sulla privacy”)
• Pagina di checkout — specialmente se il checkout come ospite è abilitato e state raccogliendo dati da utenti non registrati
• Modulo di contatto — prima che inviino informazioni personali
• Iscrizione alla newsletter — accanto al modulo di iscrizione
• Banner di consenso ai cookie — link all’informativa completa dal banner

In PrestaShop, potete creare l’informativa sulla privacy come pagina CMS (Back Office > Design > Pagine) e configurare il link nel footer tramite il modulo “Link Widget” o la configurazione del footer del vostro tema.

Diritti dei clienti sui dati

Il GDPR conferisce ai vostri clienti diritti specifici sui loro dati personali. Dovete essere in grado di soddisfare queste richieste entro 30 giorni.

Diritto di accesso (esportazione dei dati)

Qualsiasi cliente può chiedere: “Quali dati avete su di me?” Dovete fornire una risposta completa che includa tutti i dati in tutti i sistemi — non solo le informazioni della pagina del loro account, ma anche la cronologia degli ordini, gli indirizzi, i registri dei consensi, lo stato della newsletter e qualsiasi dato memorizzato dai moduli di terze parti.

Il modulo GDPR ufficiale di PrestaShop aggiunge una sezione “GDPR” alla pagina dell’account del cliente dove possono richiedere un’esportazione dei dati. Questo genera un PDF o CSV contenente i loro dati dal database PrestaShop.

Se gestite questo manualmente, dovrete interrogare più tabelle:

-- Get all data for a specific customer
SELECT * FROM ps_customer WHERE id_customer = {ID};
SELECT * FROM ps_address WHERE id_customer = {ID};
SELECT * FROM ps_orders WHERE id_customer = {ID};
SELECT * FROM ps_cart WHERE id_customer = {ID};
SELECT * FROM ps_message WHERE id_customer = {ID};
SELECT * FROM ps_customer_message WHERE id_customer = {ID};

-- Don't forget module-specific tables
SELECT * FROM ps_emailsubscription WHERE email = '{EMAIL}';
-- Check any other module tables that store customer data

Diritto alla cancellazione (diritto all’oblio)

I clienti possono richiedere la cancellazione di tutti i loro dati personali. Tuttavia, questo diritto non è assoluto — potete rifiutare se:

• Dovete conservare i dati per motivi legali (fatture, registri fiscali — tipicamente 5-10 anni a seconda del vostro paese)
• C’è una controversia legale in corso
• I dati sono necessari per uno scopo legittimo che prevale sulla richiesta

In pratica, per un negozio PrestaShop, questo di solito significa:

• Cancellare: account cliente, indirizzi non collegati a ordini, carrelli abbandonati, iscrizione alla newsletter, record degli ospiti, lista dei desideri, recensioni
• Anonimizzare: dati degli ordini (sostituire i dettagli personali con “Cliente Eliminato” o simile — mantenere l’ordine per la contabilità ma rimuovere le informazioni identificative)
• Conservare: fatture (obbligo legale) — ma potete anonimizzare la copia del cliente e conservare solo il registro finanziario

Il modulo GDPR può automatizzare la cancellazione dell’account cliente e l’anonimizzazione dei dati. Se gestite la cosa manualmente, ecco l’approccio:

-- Anonymize customer record (don't DELETE — linked orders would break)
UPDATE ps_customer SET
  firstname = 'Deleted',
  lastname = 'Customer',
  email = CONCAT('deleted_', id_customer, '@anonymous.invalid'),
  passwd = '',
  birthday = '0000-00-00',
  phone = '',
  optin = 0,
  newsletter = 0,
  deleted = 1,
  active = 0
WHERE id_customer = {ID};

-- Anonymize addresses not linked to delivered orders
UPDATE ps_address SET
  firstname = 'Deleted',
  lastname = 'Customer',
  address1 = 'Deleted',
  address2 = '',
  postcode = '00000',
  city = 'Deleted',
  phone = '',
  phone_mobile = '',
  other = '',
  company = '',
  vat_number = '',
  dni = '',
  deleted = 1
WHERE id_customer = {ID}
AND id_address NOT IN (
  SELECT id_address_delivery FROM ps_orders WHERE id_customer = {ID}
  UNION
  SELECT id_address_invoice FROM ps_orders WHERE id_customer = {ID}
);

-- Delete abandoned carts (not converted to orders)
DELETE FROM ps_cart_product
WHERE id_cart IN (
  SELECT id_cart FROM ps_cart
  WHERE id_customer = {ID}
  AND id_cart NOT IN (SELECT id_cart FROM ps_orders)
);
DELETE FROM ps_cart
WHERE id_customer = {ID}
AND id_cart NOT IN (SELECT id_cart FROM ps_orders);

-- Remove newsletter subscription
DELETE FROM ps_emailsubscription WHERE email = '{ORIGINAL_EMAIL}';

Attenzione: Effettuate sempre un backup prima di eseguire query di cancellazione. Anonimizzate piuttosto che cancellare ovunque i dati siano collegati a ordini o fatture. Testate prima in ambiente di staging. E ricordate — le query sopra sono esempi; la vostra configurazione specifica potrebbe avere tabelle aggiuntive di moduli che necessitàno anch’esse di pulizia.

Diritto alla portabilità

I clienti possono richiedere i loro dati in un formato leggibile da macchina (JSON, CSV, XML). Questo è affinché possano trasferire i loro dati a un altro servizio. La funzione di esportazione del modulo GDPR copre tipicamente questo aspetto, generando un CSV o PDF.

Se gestite la cosa manualmente, fornite i dati in un formato strutturato — JSON o CSV — coprendo tutti gli stessi punti dati della risposta al “diritto di accesso”.

Diritto di rettifica

I clienti possono chiedervi di correggere dati inesatti. Nella maggior parte dei casi, i clienti PrestaShop possono farlo da soli attraverso la pagina del loro account (aggiornare nome, email, indirizzo). Ma se vi chiedono di farlo, dovete conformarvi entro 30 giorni.

Questo è di solito il diritto più facile da soddisfare — basta aggiornare il record nel back office.

Gestire le richieste sui dati nella pratica

Impostate un processo per gestire le richieste GDPR:

1. Verificate l’identità — prima di inviare i dati di qualcuno o cancellare un account, assicuratevi che sia realmente quella persona. Chiedete di inviare la richiesta dall’indirizzo email associato al loro account.
2. Registrate la richiesta — annotate quando l’avete ricevuta e cosa è stato richiesto
3. Rispondete entro 30 giorni — questo è il termine legale. Se una richiesta è complessa, potete estendere di altri 60 giorni, ma dovete notificare il richiedente entro i primi 30 giorni.
4. Soddisfate la richiesta — esportate, cancellate, correggete o spiegate perché non potete (con giustificazione legale)
5. Confermate il completamento — notificate al cliente che la richiesta è stata soddisfatta

Tenete un registro di tutte le richieste degli interessati e delle vostre risposte. Questo dimostra responsabilità se un’autorità di regolamentazione dovesse chiederlo.

Gestione del consenso

Il consenso ai sensi del GDPR deve essere dato liberamente, specifico, informato e inequivocabile. Ecco cosa significa in pratica per il vostro negozio PrestaShop.

Modulo di registrazione

Quando i clienti creano un account, avete bisogno di:

• Una casella di spunta (deselezionata per impostazione predefinita) collegata alla vostra informativa sulla privacy: “Ho letto e accetto l’Informativa sulla Privacy”
• Questa casella non deve essere pre-selezionata — il cliente deve attivamente spuntarla
• Non potete accorpare questo con il consenso al marketing — sono cose separate

In PrestaShop 1.7+ e 8.x, potete configurare questo tramite le impostazioni del modulo GDPR o modificando il template di registrazione del cliente. Il modulo tipicamente aggiunge caselle di consenso al modulo di registrazione, al processo di checkout e al modulo di contatto.

Consenso alla newsletter

L’iscrizione alla newsletter richiede un consenso separato a sé. Il cliente deve:

• Iscriversi attivamente (casella deselezionata o modulo di iscrizione separato)
• Sapere a cosa si sta iscrivendo (“Ricevi le nostre offerte settimanali e novità sui prodotti”)
• Poter cancellarsi facilmente (link di cancellazione in ogni email)

Il modulo newsletter di PrestaShop include una casella di opt-in. Assicuratevi che non sia pre-selezionata — controllate il template del blocco newsletter del vostro tema.

Consenso al marketing

Se condividete i dati dei clienti con terze parti per scopi di marketing (ad esempio, passare liste di email a Facebook per Custom Audiences), avete bisogno di un consenso esplicito per quello scopo specifico. “Accetto l’informativa sulla privacy” non è sufficiente — avete bisogno di una casella separata come: “Acconsento a ricevere pubblicità personalizzata basata sul mio comportamento d’acquisto”

La maggior parte dei negozi PrestaShop non ne ha bisogno a meno che non stiano facendo integrazioni di marketing avanzate.

Conservare i registri dei consensi

Dovete essere in grado di dimostrare che il consenso è stato dato. Ciò significa registrare:

• Chi ha dato il consenso (ID cliente o email)
• Quando il consenso è stato dato (timestamp)
• A cosa ha acconsentito (informativa sulla privacy, newsletter, marketing)
• Come il consenso è stato dato (casella nel modulo di registrazione, popup newsletter, ecc.)
• Quale versione dell’informativa sulla privacy era in vigore in quel momento

Il modulo GDPR ufficiale conserva un registro dei consensi. Se lo gestite manualmente, create una tabella nel database per tracciare gli eventi di consenso:

CREATE TABLE ps_gdpr_consent_log (
  id_consent_log INT AUTO_INCREMENT PRIMARY KEY,
  id_customer INT DEFAULT NULL,
  customer_email VARCHAR(255) NOT NULL,
  consent_type VARCHAR(50) NOT NULL,  -- 'privacy_policy', 'newsletter', 'marketing'
  consent_given TINYINT(1) NOT NULL,  -- 1 = given, 0 = withdrawn
  ip_address VARCHAR(45) DEFAULT NULL,
  date_add DATETIME NOT NULL,
  request_details TEXT DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;

Conservazione dei dati: per quanto tempo potete conservarli?

Il GDPR non specifica periodi di conservazione esatti — dice che i dati devono essere conservati “non più a lungo del necessario”. Dovete definire la vostra politica di conservazione e rispettarla.

Periodi di conservazione consigliati

• Account cliente attivi: Conservateli finché l’account è attivo. Considerate gli account inattivi dopo 24-36 mesi senza accesso o acquisto.
• Account cliente inattivi: Inviate un’email di re-engagement, poi anonimizzate se non c’è risposta entro 30 giorni.
• Dati degli ordini: Conservateli per il tempo legalmente richiesto per fini fiscali/contabili. Nella maggior parte dei paesi dell’UE, questo è 5-10 anni. Anonimizzate i dettagli personali ma mantenete i registri finanziari.
• Dati delle fatture: Devono essere conservati per il periodo legalmente stabilito (tipicamente 7-10 anni nella maggior parte dei paesi dell’UE).
• Dati dei carrelli abbandonati: Cancellate dopo 6-12 mesi al massimo. Non c’è giustificazione per conservare i carrelli abbandonati più a lungo.
• Dati degli ospiti/visitatori: I dati di ps_guest e ps_connections dovrebbero essere puliti regolarmente — 6 mesi al massimo per la maggior parte dei negozi.
• Iscritti alla newsletter: Conservateli fino alla cancellazione dell’iscrizione. Riconfermate periodicamente gli iscritti inattivi.
• Log del server: 30-90 giorni è lo standard. Ruotate e cancellate i log più vecchi.
• Registri del consenso ai cookie: Conservateli per almeno la durata del consenso (tipicamente 12 mesi).

Pulizia dei vecchi dati: query SQL

Ecco query di pulizia sicure per i dati PrestaShop comuni. Effettuate sempre un backup prima e testate in ambiente di staging.

-- Delete guest records older than 6 months
DELETE FROM ps_guest
WHERE id_guest NOT IN (SELECT id_guest FROM ps_cart WHERE id_cart IN (SELECT id_cart FROM ps_orders))
AND id_guest IN (
  SELECT g.id_guest FROM ps_guest g
  INNER JOIN ps_connections c ON c.id_guest = g.id_guest
  GROUP BY g.id_guest
  HAVING MAX(c.date_add) < DATE_SUB(NOW(), INTERVAL 6 MONTH)
);

-- Delete old connection records (keeps stats but removes IP-linked data)
DELETE FROM ps_connections_source
WHERE id_connections IN (
  SELECT id_connections FROM ps_connections
  WHERE date_add < DATE_SUB(NOW(), INTERVAL 6 MONTH)
);

DELETE FROM ps_connections_page
WHERE id_connections IN (
  SELECT id_connections FROM ps_connections
  WHERE date_add < DATE_SUB(NOW(), INTERVAL 6 MONTH)
);

DELETE FROM ps_connections
WHERE date_add < DATE_SUB(NOW(), INTERVAL 6 MONTH);

-- Delete abandoned carts older than 12 months (not converted to orders)
DELETE cp FROM ps_cart_product cp
INNER JOIN ps_cart c ON cp.id_cart = c.id_cart
WHERE c.date_add < DATE_SUB(NOW(), INTERVAL 12 MONTH)
AND c.id_cart NOT IN (SELECT id_cart FROM ps_orders);

DELETE FROM ps_cart
WHERE date_add < DATE_SUB(NOW(), INTERVAL 12 MONTH)
AND id_cart NOT IN (SELECT id_cart FROM ps_orders);

-- Clean old page view statistics (anonymous aggregate data — lower priority)
DELETE FROM ps_page_viewed
WHERE date_add < DATE_SUB(NOW(), INTERVAL 12 MONTH);

Considerate l’automazione di queste pulizie con un cron job. Eseguitele mensilmente durante le ore di minor traffico. Racchiudete sempre le query distruttive in una transazione o almeno verificate il conteggio delle righe con una SELECT prima di eseguire la DELETE. E non saltate mai il backup.

Automatizzare la conservazione dei dati

Create uno script PHP o un cron job che esegua queste query di pulizia a intervalli regolari:

# Example crontab entry — runs at 3 AM on the 1st of each month
0 3 1 * * /usr/bin/php /path/to/your/store/scripts/gdpr-cleanup.php >> /var/log/gdpr-cleanup.log 2>&1

Lo script dovrebbe registrare cosa è stato cancellato e quando — questo fa parte della vostra documentazione di responsabilità GDPR.

Servizi di terze parti e responsabili del trattamento

Il vostro negozio PrestaShop non opera in isolamento. Condividete i dati dei clienti con vari servizi di terze parti. Ai sensi del GDPR, questi sono chiamati “responsabili del trattamento” — trattano i dati per vostro conto.

Responsabili del trattamento comuni per i negozi PrestaShop

• Gateway di pagamento (Stripe, PayPal, Adyen, Mollie) — ricevono nome del cliente, email, indirizzo di fatturazione, dettagli della carta
• Corrieri (DHL, UPS, DPD, corrieri locali) — ricevono nome del destinatario, indirizzo, numero di telefono, talvolta email
• Servizi di email marketing (Mailchimp, Brevo/SendinBlue, Klaviyo) — ricevono indirizzi email, nomi, cronologia degli acquisti
• Analytics (Google Analytics, Matomo) — ricevono indirizzi IP, comportamento di navigazione, informazioni sul dispositivo
• Provider di hosting — memorizza tutti i vostri dati (database, file, log)
• Servizi CDN / sicurezza (Cloudflare, Sucuri) — vedono tutto il traffico, inclusi gli indirizzi IP
• Strumenti di assistenza clienti (Zendesk, Freshdesk) — possono memorizzare comunicazioni e dati dei clienti
• Pixel dei social media (Facebook, TikTok, Pinterest) — ricevono comportamento di navigazione e dati sulle conversioni
• Software ERP / contabilità — riceve dati degli ordini e dei clienti per la gestione aziendale

Accordi per il trattamento dei dati (DPA)

Il GDPR richiede di avere un Accordo per il Trattamento dei Dati con ogni responsabile che gestisce dati personali per vostro conto. Il DPA deve specificare:

• Quali dati vengono trattati
• La finalità e la durata del trattamento
• Gli obblighi del responsabile riguardo alla sicurezza dei dati
• Cosa succede ai dati quando l’accordo termina
• L’obbligo del responsabile di notificarvi le violazioni dei dati

La buona notizia: la maggior parte dei principali fornitori di servizi ha già DPA standard disponibili:

• Stripe: Integrato nei loro Termini di Servizio
• PayPal: Disponibile nella loro documentazione legale
• Google: Emendamento sul Trattamento dei Dati disponibile nell’amministrazione di Google Analytics
• Mailchimp: DPA standard disponibile sul loro sito web
• Brevo/SendinBlue: DPA incluso nei loro termini o disponibile su richiesta
• Cloudflare: DPA disponibile nella loro documentazione sulla fiducia

Scaricate e firmate (o accettate online) il DPA per ogni servizio che utilizzate. Conservate le copie. Un’autorità di regolamentazione potrebbe chiederle.

Trasferimenti internazionali di dati

Se uno qualsiasi dei vostri responsabili ha sede al di fuori dell’UE (e molti lo sono — Stripe, Google, Mailchimp hanno tutti sede negli USA), avete bisogno di un meccanismo legale per il trasferimento dei dati. Attualmente, le opzioni principali sono:

• EU-US Data Privacy Framework — le aziende statunitensi certificate nell’ambito di questo framework possono ricevere dati personali dell’UE. Verificate se i vostri responsabili sono nell’elenco su dataprivacyframework.gov.
• Clausole Contrattuali Standard (SCC) — clausole contrattuali approvate dalla Commissione Europea per i trasferimenti internazionali. La maggior parte dei grandi fornitori le include nei loro DPA.
• Decisioni di adeguatezza — alcuni paesi al di fuori dell’UE sono stati ritenuti dotati di una protezione dei dati adeguata (Regno Unito, Canada, Giappone, Corea del Sud e altri).

Elencate tutti i trasferimenti internazionali di dati nella vostra informativa sulla privacy. Specificate il paese e il meccanismo legale che protegge il trasferimento.

Procedura in caso di violazione dei dati

Una violazione dei dati è qualsiasi incidente di sicurezza che porta alla distruzione accidentale o illecita, alla perdita, all’alterazione, alla divulgazione non autorizzata o all’accesso ai dati personali. Per un negozio PrestaShop, questo potrebbe essere:

• Il vostro negozio viene hackerato e i dati dei clienti vengono rubati
• Un backup del database viene lasciato pubblicamente accessibile
• I dati degli ordini dei clienti vengono accidentalmente inviati per email alla persona sbagliata
• Una vulnerabilità di un modulo espone le informazioni dei clienti
• Un dipendente accede ai dati dei clienti senza autorizzazione
• Un ransomware cripta il vostro database e perdete l’accesso ai record dei clienti

La regola delle 72 ore

Se subite una violazione dei dati che probabilmente comporta un rischio per i diritti e le libertà delle persone, dovete:

1. Notificare la vostra autorità di controllo entro 72 ore dal momento in cui siete venuti a conoscenza della violazione
2. Notificare le persone interessate senza indebito ritardo se la violazione comporta probabilmente un rischio elevato per i loro diritti

“72 ore dal momento della conoscenza” significa da quando avete ragionevolmente stabilito che si è verificata una violazione — non da quando la violazione è avvenuta. Ma ci si aspetta che abbiate un monitoraggio in atto per rilevare tempestivamente le violazioni.

Cosa includere in una notifica di violazione

La vostra notifica all’autorità di controllo deve includere:

• La natura della violazione (cosa è successo)
• Le categorie e il numero approssimativo di persone interessate
• Le categorie e il numero approssimativo di record di dati personali interessati
• I dati di contatto del vostro DPO o punto di contatto principale
• Le probabili conseguenze della violazione
• Le misure adottate o proposte per affrontare la violazione

La notifica alle persone interessate dovrebbe descrivere la violazione in un linguaggio chiaro e includere le stesse informazioni più consigli su come proteggersi (cambiare le password, fare attenzione al phishing, ecc.).

Piano di risposta alla violazione

Non aspettate una violazione per capire cosa fare. Preparatevi in anticipo:

1. Identificate la vostra autorità di controllo — questa è l’autorità per la protezione dei dati nel paese dell’UE dove ha sede la vostra azienda (ad esempio, CNIL in Francia, ICO nel Regno Unito, UODO in Polonia, BfDI in Germania, Garante per la Protezione dei Dati Personali in Italia)
2. Conoscete il processo di notifica — la maggior parte delle autorità ha un modulo online. Salvatelo nei preferiti.
3. Preparate un modello per la notifica della violazione (all’autorità e ai clienti)
4. Documentate tutto — anche le violazioni che decidete non necessitàno di segnalazione. La documentazione del vostro processo decisionale è essa stessa richiesta dal GDPR.
5. Abbiate un piano di risposta tecnica — chi indaga, chi corregge, chi comunica

Non tutti gli incidenti di sicurezza sono violazioni segnalabili. Se il vostro firewall blocca un attacco e nessun dato viene compromesso, quello è un incidente, non una violazione. Ma registratelo comunque — dimostra che avete un monitoraggio in atto.

Errori GDPR comuni che i negozi PrestaShop commettono

Dopo aver esaminato centinaia di negozi PrestaShop per la conformità al GDPR, questi sono gli errori che vediamo più spesso:

1. Caselle di consenso pre-selezionate

La casella della newsletter nella registrazione o durante il checkout è pre-selezionata. Questa è una chiara violazione del GDPR. Il consenso deve essere opt-in. Cercate nei template del vostro tema qualsiasi casella che abbia checked o checked="checked" come attributo predefinito nei moduli relativi al consenso.

2. Nessun modo per cancellare gli account

Molti negozi PrestaShop non hanno un meccanismo per permettere ai clienti di cancellare i propri account. Il front-office predefinito di PrestaShop non offre la cancellazione dell’account. Avete bisogno del modulo GDPR o di una soluzione personalizzata per fornire questa funzionalità.

3. Conservare i dati per sempre

Nessuna politica di conservazione dei dati. Record degli ospiti dal 2015 ancora nel database. Log delle connessioni che risalgono a anni fa. Carrelli abbandonati di clienti che hanno dimenticato l’esistenza del vostro negozio tre anni fa. Stabilite periodi di conservazione e applicateli.

4. Sicurezza dei dati inadeguata

Il GDPR richiede “misure tecniche e organizzative appropriate” per proteggere i dati. Carenze comuni:

• Nessun certificato SSL — tutti i negozi dovrebbero usare HTTPS. Non ci sono scuse nel 2026.
• Password admin deboli — imponete password forti per tutti gli account del back-office
• Versione di PrestaShop obsoleta — le patch di sicurezza contano. Usare PrestaShop 1.6 con vulnerabilità note è un rischio.
• Moduli non aggiornati — i moduli con vulnerabilità di sicurezza note sono un vettore di attacco comune
• Nessun backup del database — o backup memorizzati in posizioni pubblicamente accessibili
• Hosting condiviso con scarso isolamento — se un altro sito sullo stesso server viene compromesso, i vostri dati potrebbero essere a rischio
• FTP invece di SFTP — FTP trasmette le credenziali in chiaro

5. Google Analytics senza consenso

La violazione più comune che vediamo. Il codice di tracciamento di Google Analytics si carica su ogni pagina per ogni visitatore, indipendentemente dal consenso ai cookie. Questo invia dati personali (indirizzo IP, comportamento di navigazione) a Google prima che il visitatore abbia la possibilità di acconsentire.

6. Banner dei cookie che non funziona realmente

Viene visualizzato un banner dei cookie, ma i cookie non essenziali vengono caricati prima che il consenso venga dato. Il banner è cosmetico — non controlla realmente il comportamento dei cookie. Testatelo voi stessi: aprite DevTools, controllate quali cookie e richieste di rete vengono effettuati prima di interagire con il banner.

7. Nessuna informativa sulla privacy (o una generica)

O non c’è affatto un’informativa sulla privacy, o è un modello generico copiato da internet che non riflette ciò che il negozio fa realmente. La vostra informativa sulla privacy deve essere specifica per il vostro negozio, le vostre pratiche sui dati e i vostri servizi di terze parti.

8. Non conservare i registri dei consensi

I clienti hanno spuntato la casella di consenso, ma non c’è un registro di quando, a cosa hanno acconsentito o quale versione dell’informativa sulla privacy era in vigore. Se un’autorità di regolamentazione chiede “dimostra che questo cliente ha acconsentito alle email di marketing”, dovete essere in grado di mostrare la ricevuta.

9. Ignorare i dati dei moduli

I proprietari dei negozi controllano i dati principali di PrestaShop ma dimenticano i dati raccolti dai moduli di terze parti. Moduli di recensioni, moduli di lista dei desideri, moduli di carrelli abbandonati, strumenti di chat — tutti raccolgono dati personali che rientrano nel GDPR.

10. Nessun Accordo per il Trattamento dei Dati

Utilizzare Stripe, Google Analytics, Mailchimp e una dozzina di altri servizi senza avere DPA in atto. Questi sono spesso disponibili gratuitamente dal fornitore del servizio — dovete solo firmarli.

Checklist di conformità GDPR per i negozi PrestaShop

Utilizzate questa checklist per valutare la conformità al GDPR del vostro negozio. Esaminate ogni punto e segnate se è completato, in corso o necessità di attenzione.

Base legale

• Informativa sulla privacy creata e pubblicata sul negozio
• L’informativa sulla privacy copre tutte le informazioni richieste (vedi sezione precedente)
• L’informativa sulla privacy è collegata dal footer, dal modulo di registrazione, dal checkout e dal modulo di contatto
• Policy sui cookie creata (pagina separata o sezione all’interno dell’informativa sulla privacy)
• Termini e condizioni aggiornati con riferimento all’informativa sulla privacy
• Accordi per il Trattamento dei Dati firmati con tutti i responsabili di terze parti
• Registro delle Attività di Trattamento (ROPA) creato — un documento che elenca tutte le attività di trattamento dei dati
• Responsabile della Protezione dei Dati nominato (se richiesto — generalmente per trattamenti su larga scala)

Consenso

• Il modulo di registrazione ha una casella di consenso all’informativa sulla privacy non selezionata
• L’iscrizione alla newsletter richiede un opt-in attivo (nessuna casella pre-selezionata)
• Il consenso al marketing è separato dal consenso all’informativa sulla privacy
• Banner di consenso ai cookie implementato e funzionante
• Il banner dei cookie blocca i cookie non essenziali fino al consenso
• Il banner dei cookie offre scelta granulare (accetta tutti, rifiuta tutti, personalizza)
• Le preferenze sui cookie possono essere modificate dopo la scelta iniziale (ad esempio, link nel footer)
• I registri dei consensi vengono salvati con timestamp, utente e tipo di consenso

Diritti dei clienti

• I clienti possono accedere/esportare i propri dati personali
• I clienti possono richiedere la cancellazione dell’account
• I clienti possono correggere i propri dati personali
• I clienti possono scaricare i propri dati in formato leggibile da macchina
• Esiste un processo per gestire le richieste degli interessati entro 30 giorni
• Processo di verifica dell’identità per le richieste sui dati
• Modulo GDPR installato e configurato (o funzionalità equivalente)

Gestione dei dati

• Periodi di conservazione dei dati definiti per tutte le categorie di dati
• Pulizia automatizzata dei vecchi dati di ospiti/connessioni
• Pulizia automatizzata dei carrelli abbandonati oltre il periodo di conservazione
• Rotazione dei log del server configurata
• Gli account cliente inattivi vengono identificati e gestiti
• Tutte le posizioni di archiviazione dei dati sono documentate (database, file system, servizi di terze parti)

Sicurezza

• Certificato SSL/TLS installato (HTTPS obbligatorio)
• Versione di PrestaShop aggiornata con le patch di sicurezza
• Tutti i moduli aggiornati
• Password forti imposte per gli account admin
• Directory admin rinominata rispetto a quella predefinita
• Backup regolari configurati e testati
• Backup memorizzati in modo sicuro (non nella directory web pubblica)
• SFTP o SSH utilizzato al posto di FTP
• Permessi dei file configurati correttamente (nessuna directory 777)
• Accesso al database limitato (nessun accesso root remoto)

Preparazione alle violazioni

• Autorità di controllo identificata
• Processo di notifica delle violazioni documentato
• Modello di notifica delle violazioni preparato
• Persona di contatto per gli incidenti di violazione designata
• Monitoraggio della sicurezza in atto (revisione dei log, rilevamento delle intrusioni)

Servizi di terze parti

• Tutti i servizi di terze parti che trattano dati dei clienti sono elencati
• DPA in atto con ogni responsabile
• Trasferimenti internazionali di dati documentati con base giuridica
• Servizi di terze parti elencati nell’informativa sulla privacy
• Gli script di analytics si caricano solo dopo il consenso ai cookie
• I pixel di marketing si caricano solo dopo il consenso ai cookie

Considerazioni finali

La conformità al GDPR non è un progetto una tantum — è una pratica continua. La vostra informativa sulla privacy necessità di aggiornamenti quando aggiungete nuovi moduli o servizi. La pulizia dei dati deve essere eseguita regolarmente. I vostri meccanismi di consenso devono essere testati dopo ogni aggiornamento del tema o dei moduli.

La buona notizia è che la maggior parte del lavoro pesante si fa una sola volta. Configurare il consenso ai cookie corretto, scrivere la vostra informativa sulla privacy, firmare i DPA e configurare la conservazione dei dati — sono attività una tantum con manutenzione occasionale.

Ed ecco qualcosa che la maggior parte delle guide sul GDPR non vi dirà: la perfezione non è lo standard. Le autorità di regolamentazione cercano uno sforzo genuino e un approccio ragionevole alla protezione dei dati. Un negozio che ha una buona informativa sulla privacy, un consenso ai cookie adeguato, regole di conservazione dei dati e un processo per gestire le richieste dei clienti è in una posizione forte — anche se ogni minimo dettaglio non è perfetto.

Ciò che le autorità di regolamentazione sanzionano è la negligenza: negozi che non fanno nulla, ignorano le richieste dei clienti, raccolgono dati di cui non hanno bisogno e li lasciano non protetti indefinitamente. Non siate quel negozio.

Iniziate con la checklist qui sopra, lavorateci nelle prossime settimane e rivedetela trimestralmente. Questa è la conformità al GDPR nella pratica — niente panico, niente perfezione, solo buone pratiche costanti con i dati dei clienti.

Ricordate: questa guida riguarda i principi generali di conformità al GDPR per i negozi PrestaShop. La normativa sulla protezione dei dati è complessa e in evoluzione. Per una consulenza legale vincolante specifica per la vostra attività, la vostra giurisdizione e le vostre attività di trattamento dei dati, consultate un avvocato o consulente qualificato in materia di protezione dei dati. L’investimento in una consulenza legale professionale è piccolo rispetto alle potenziali conseguenze di un errore.