Vendere online, Leggi e Fisco

Floriana Capone

GDPR e-commerce: come mettere a norma il tuo negozio online

Ha rivoluzionato tutta la normativa precedente sulla protezione dei dati personali e la privacy e si applica a qualsiasi tipo di attività, compresa la vendita online: oggi vi spiegherò le implicazioni che ha avuto il GDPR sull’e-commerce.

GDPR e-commerce: come mettere a norma il tuo negozio online

illustrazione di Francesco Zorzi

Il regolamento generale sulla protezione dei dati è il regolamento UE n. 2016/679 (in inglese GDPR, General Data Protection Regulation), operativo dal 25 maggio 2018. Si tratta di un documento che tutela i dati personali delle persone fisiche, con cittadinanza in uno degli stati membri o residenti nell’Unione Europea.

Si applica a tutte le imprese che trattano dati personali e, il mancato rispetto delle regole, comporta sanzioni pecuniarie severissime fino a 20 milioni di euro o il 4% del fatturato mondiale totale annuo dell’esercizio precedente.

La normativa non prevede alcuna distinzione nei tipi di supporto utilizzati per la raccolta e il trattamento dei dati: comprende informazioni e dati sia in forma orale, materiale e digitale. Questo significa che anche i dati raccolti tramite un sito internet, una landing page, utilizzati per fare email marketing o destinati alla vendita online devono essere tutelati secondo le regole contenute nel GDPR.  

Cosa prevede il GDPR per i siti e-commerce

Partiamo da una conoscenza più approfondita del GDPR per e-commerce. A chi si applica? Il GDPR si riferisce al trattamento dei dati personali, dove per ‘dati personali’ si intendono le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.

Una delle sue caratteristiche da capire bene è che non importa dove sia la sede legale del tuo e-commerce: riguarda i dati personali di tutti coloro che si trovano nell’Unione Europea

Cosa si intende per dati personali?

Secondo la Commissione Europea i dati personali comprendono qualunque informazione relativa a un individuo che permetta di identificarlo, come: 

  • nomi
  • numeri di telefono
  • numeri di identificazione (o indirizzi IP di computer)
  • indirizzo
  • foto
  • indirizzi email
  • dettagli bancari
  • interventi su siti web di social network
  • informazioni mediche
  • elementi come identità fisica, economica culturale e/o sociale.

Per trattamento cosa si intende?

Tutto ciò che concerne la raccolta, la strutturazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione. 

Quali sono gli obblighi del GDPR per l’e-commerce?

La prima cosa da fare per avere un e-commerce legale è informare gli utenti della raccolta. Questo passo deve precedere o essere contemporaneo alla raccolta quando si compie direttamente. 

Nel caso in cui i dati siano raccolti presso terzi, bisogna informare l’utente prima che i dati vengano utilizzati.

Cosa deve contenere una Privacy Policy per e-commerce

La Privacy Policy per l’e-commerce è un documento necessario per chiunque desideri vendere online. La sua funzione è quella di informare il cliente sulla gestione del trattamento dei suoi dati personali.

In base al GDPR, ogni informativa privacy deve obbligatoriamente contenere alcuni dati, tra cui: 

  1. il nome del responsabile della protezione dei dati personali (DPO): va nominato quando si fa un monitoraggio regolare online su larga scala con strumenti di tracciatura e profilazione;
  2. il titolare del trattamento (data controller): in genere è il titolare dell’azienda;
  3. finalità del trattamento dei dati;
  4. basi giuridiche del trattamento;
  5. che tipo di dati vengono raccolti;
  6. eventuale presenza di terze parti a cui vengono comunicati i dati;
  7. tempi di conservazione dei dati (data retention): vengono decisi dal proprietario del sito e-commerce ma devono essere proporzionali alle finalità del trattamento.

Bisogna assolutamente specificare anche che gli interessati hanno il diritto di chiedere la cancellazione dei dati e di opporsi al trattamento. La privacy policy deve essere leggibile e trasparente, in modo che gli utenti possano comprenderla fino in fondo.

GDPR nell’e-commerce: il consenso alla Privacy Policy 

Il consenso alla privacy policy è il presupposto per poter fare quasi tutte le attività di marketing e profilazione (ricorda: “quasi tutte”).
Tramite la Privacy Policy, quindi, il cliente deve essere debitamente informato sulle finalità del trattamento e sui tempi di conservazione dei dati. Ma la cosa importante per avere un e-commerce a norma è che il consenso venga rilasciato tramite un comportamento attivo.

Cosa significa? Che il cliente deve accettare la richiesta di consenso in modo esplicito. Il solo scrolling non può assolutamente essere reputato come un’azione positiva.

Per essere valida, la richiesta di consenso deve essere scritta in modo comprensibile e deve essere presentata separatamente. Questo vale sia per il marketing diretto e il marketing profilato che per la cessione a terzi dei dati.

Veniamo ai termini di scadenza del consenso. Il provvedimento n.181 del 15 ottobre 2020 del Garante sancisce che il periodo di trattamento viene stabilito dal titolare, a condizione che sia stato acquisito nelle maniere indicate. Inoltre non deve essere stato revocato.

Affinché il tuo sito e-commerce sia conforme al GDPR bisogna conservare la prova del consenso ottenuto. 

Il Soft Spam: e-mail marketing senza consenso

Come accennavo sopra, c’è un’eccezione alla necessità di acquisire il consenso: il Soft Spam. L’articolo 130, comma 4 del Codice della Privacy stabilisce che è possibile fare email marketing senza consenso nel rispetto alcune condizioni specifiche:

  • è possibile comunicare solo con chi ha già effettuato acquisti in precedenza
  • la posta elettronica è l’unico strumento consentito per fare soft spam
  • l’oggetto della comunicazione deve essere inerente ai prodotti o servizi già acquisiti
  • il cliente deve essere d’accordo con questo tipo di utilizzo
  • le finalità di soft spam vanno indicate in modo chiaro sull’informativa privacy
  • bisogna mettere il cliente a conoscenza della possibilità di revocare il consenso. 

È necessario fare attenzione a non confondere il soft spam con lo spam o con l’invio di newsletter. Il Codice Italiano sulla Privacy e il GDPR per l’e-commerce vietano espressamente queste attività, senza un consenso specifico. 

GDPR e-commerce: come fare e-mail marketing e lead generation

La lead generation e l’email marketing sono due fasi fondamentali per un negozio online:

  1. La lead generation serve per intercettare gli utenti (lead) e trasformarli in potenziali clienti. Di solito si offre un lead magnet (un testo gratuito, un coupon, un buono sconto) in cambio delle informazioni di contatto dell’utente.
  2. I dati raccolti vengono poi utilizzati per la creazione di liste di contatti, verso le quali si attivano campagne di email marketing.

Il fine di questo processo è la vendita. Ma è necessario capire quali siano le regole per fare lead generation e le successive campagne di email marketing.

Partiamo da un presupposto: in entrambe le azioni si trattano dati personali. Per cui è importante avere presente come vengano regolamentate nel GDPR per l’e-commerce. Anche nel caso del marketing, la base giuridica è costituita dal consenso dell’interessato.

Quindi le comunicazioni vanno autorizzate in maniera esplicita, tramite una dichiarazione o con un’azione positiva inequivocabile. I form per la raccolta dei lead devono essere ben visibili e inseriti proprio nella pagina della raccolta.

Attenzione a utilizzare i dati soltanto per le finalità indicate nel form e a cui il cliente abbia dato il suo consenso esplicito. Facendo altrimenti, si rischia di incorrere in sanzioni da parte del Garante della Privacy.

Anche per la lead generation bisogna conservare la prova del consenso ottenuto tramite la procedura di Double opt-in (una volta riempito il form, l’utente riceve un’email in cui viene invitato a confermare i suoi dati per ottenere il suo lead magnet).

Per l’invio di newsletter, valgono le stesse regole. Bisogna ricordare che il cliente deve avere la possibilità di disiscriversi dalla lista in qualsiasi momento, senza ulteriori complicazioni. Nel corpo di ogni email, quindi deve essere presente il link per l’opt-out.

I Cookie sono delle stringhe testuali che vengono installate sui device degli utenti durante la loro esperienza di navigazione. 

La loro funzione è quella di raccogliere dati pseudonimi e per questo motivo rientrano nelle norme europee sul trattamento dei dati personali. 

L’utilizzo dei cookie è regolamentato dalla direttiva ePrivacy (la cosiddetta Cookie Law) che deve essere interpretata sulla base del GDPR (Regolamento Generale sulla Protezione dei Dati), e delle linee guida del Garante per la Protezione dei dati personali.

A seconda delle finalità della raccolta, vengono distinti:

  • cookie tecnici
  • cookie di profilazione
  • cookie analitici
  • cookie di prima parte
  • cookie di terze parti.

Per l’utilizzo dei cookie tecnici, l’unica accortezza è quella di indicare la loro presenza nella Cookie Policy. Lo stesso vale anche per i cookie analitici. L’importante è che utilizzino le informazioni ottenute solo in forma anonima.

Mentre per quanto riguarda i cookie di profilazione il discorso è diverso: questi possono essere installati solo previo consenso da parte dell’utente tramite il cookie banner. Il cookie banner deve indicare da chi verranno trattati i dati (cookie di prima parte o di terze parti) e se il sito utilizza cookie di profilazione. Inoltre deve contenere un link alla Cookie Policy e dare la possibilità di acconsentire o negare il consenso.

Conclusioni

Comprendere le implicazioni del GDPR sull’e-commerce è necessario per non incorrere in sanzioni salate. Ci sono molte regole da rispettare, dalla redazione delle informative privacy (Privacy Policy e Cookie Policy), alla gestione delle azioni di marketing come la lead generation e le campagne di email marketing.

Tra l’altro, gli aspetti che abbiamo affrontato con questo articolo riguardano solo il lato online dell’impatto del GDPR sugli e-commerce, cui si affianca un’articolata attività di compliance legale lato offline e che richiede ben altri adempimenti come il registro dei trattamenti, la formazione aziendale, l’attuazione di misure di sicurezza a protezione dei dati personali e tanti altri adempimenti legali. 

Per questo motivo risulta fondamentale rivolgersi a un avvocato specializzato in e-commerce che sappia guardare agli aspetti legali di un e-commerce nel loro insieme, affinché questo sia un e-commerce legale sotto tutti gli aspetti.

Floriana Capone

Scritto da:

Floriana Capone

Avvocato dell’E-commerce - EcommerceLegale.it

Esperta in diritto digitale, mi occupo di contratti per e-commerce e altre attività digitali, compliance legale dei siti web, adeguamento alla normativa e-commerce e GDPR, registrazione marchi.

Illustrazione di:

Francesco Zorzi

Illustratore, Visual Designer, Direttore Creativo

Illustratore, visual designer, direttore creativo con un background multidisciplinare in architettura e grafica, si divide fra Firenze e New York. I suoi lavori vengono pubblicati su giornali e riviste come The Wall Street Journal, The Boston Globe, AdAge, La Stampa tra gli altri. È creative director di isendu, di cui ha curato il progetto di redesign.

Francesco Zorzi