{"id":49882,"date":"2024-05-21T10:00:00","date_gmt":"2024-05-21T08:00:00","guid":{"rendered":"https:\/\/mybank.eu\/?p=49882"},"modified":"2025-08-28T14:16:30","modified_gmt":"2025-08-28T12:16:30","slug":"ecommerce-e-gdpr-come-avere-un-eshop-a-prova-di-legge","status":"publish","type":"post","link":"https:\/\/mybank.creativeroombeta.com\/it\/ecommerce-e-gdpr-come-avere-un-eshop-a-prova-di-legge\/","title":{"rendered":"Ecommerce e GDPR, come avere un eshop a prova di legge"},"content":{"rendered":"\t\t
\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t
\"Alessandro

Alessandro Vercellotti, Founder, Legal for Digital<\/strong><\/p><\/div>

\u00a0<\/p>

A sei anni dall’entrata in vigore del GDPR, MyBank ha intervistato Alessandro Vercellotti<\/strong>, founder di Legal for Digital<\/strong>, per scoprire a che punto sono gli ecommerce a livello di compliance e cosa possono fare per avere un negozio online a prova di legge in termini di privacy.<\/p>

A proposito del nostro guest: Alessandro <\/strong>Vercellotti<\/strong> <\/span>
Alessandro Vercellotti \u00e8<\/span>\u00a0Avvocato del Digitale\u00ae<\/b>,\u00a0founder partner dello studio\u00a0Legal for Digital<\/a>\u00ae<\/b> specializzato in Copyright, IA, Privacy, E-commerce, Brand Reputation e Legal Tech.<\/p>

Il 25 maggio 2018 entrava definitivamente in vigore il GDPR, Regolamento europeo sulla protezione dei dati personali. Quali sono stati i principali risvolti per gli ecommerce?<\/strong><\/h4>

L’entrata in vigore del GDPR nel 2018 ha avuto un impatto significativo sulla gestione dei dati personali nel settore dell’e-commerce. Prima del regolamento europeo, in Italia esisteva gi\u00e0 una normativa sulla privacy, ma mancava un quadro unitario a livello comunitario. Considerando che la maggior parte degli e-commerce opera non solo a livello nazionale, ma almeno a livello europeo, il GDPR ha imposto un ripensamento complessivo e pi\u00f9 ampio delle modalit\u00e0 di trattamento dei dati personali.<\/p>

La cosa interessante \u00e8 che le realt\u00e0 pi\u00f9 avvedute hanno colto l’occasione dell\u2019adeguamento al GDPR non solo per adempiere agli obblighi formali, come la redazione di privacy policy, cookie policy, banner per la gestione dei cookie tecnici e di profilazione, ma anche per lavorare sulle performance dell’e-commerce sfruttando proprio la leva della protezione dei dati.<\/p>

In altre parole, il GDPR ha rappresentato per molti operatori non solo un adempimento burocratico, ma un’opportunit\u00e0 per ripensare l’intera gestione dei dati personali dei clienti in un’ottica di miglioramento dell’esperienza utente e dell’efficacia del business online. Un approccio che pu\u00f2 portare benefici concreti in termini di conversioni, fatturato e fidelizzazione dei clienti.<\/p>

Insomma, possiamo dire che il GDPR ha avuto il merito di elevare la gestione dei dati personali da mero obbligo normativo a leva strategica per il successo dell’e-commerce. Un cambiamento di prospettiva che ha coinvolto non solo i grandi player, ma anche le realt\u00e0 pi\u00f9 piccole e dinamiche del settore.<\/p>

A distanza di 6 anni, che bilancio possiamo fare?<\/strong><\/h4>

A sei anni dall’entrata in vigore del GDPR, il bilancio presenta risultati contrastanti. Da un lato, il regolamento ha indubbiamente contribuito ad aumentare la consapevolezza di aziende e consumatori sull’importanza della protezione dei dati personali. Secondo diverse ricerche di mercato, dopo l’introduzione del GDPR si \u00e8 registrato un significativo aumento dell’attenzione degli italiani verso i temi della privacy. Anche tra le imprese sembra cresciuta la sensibilit\u00e0 su questi aspetti, con investimenti e sforzi diffusi per migliorare la compliance.<\/p>

Tuttavia, permangono ancora diverse criticit\u00e0, soprattutto nel settore dell’e-commerce. Secondo i dati in nostro possesso, basati sull’analisi di centinaia di siti di commercio elettronico italiani che abbiamo seguito in questi anni come Legal for Digital, ad oggi stimiamo che solo il 30% risulti pienamente conforme al GDPR. Questo significa che 7 e-commerce su 10 presentano ancora lacune o irregolarit\u00e0 nel trattamento dei dati personali degli utenti, esponendosi cos\u00ec a pesanti sanzioni e a danni reputazionali.<\/p>

La nostra esperienza come studio legale specializzato nel diritto del digitale ci dice che spesso gli e-commerce, soprattutto quelli di piccole e medie dimensioni, faticano a gestire tutti gli adempimenti privacy, vuoi per mancanza di risorse e competenze interne, vuoi per sottovalutazione dei rischi. Non a caso, negli ultimi anni abbiamo visto diverse sanzioni comminate dal Garante della Privacy italiano nei confronti di noti brand dell’e-commerce.<\/p>

Giusto per citare alcuni esempi eclatanti:<\/p>

  • Nel 2021 una nota piattaforma di food delivery \u00e8 stata multata per 2,6 milioni di euro per uso illecito dei dati dei rider.<\/li>
  • Sempre nel luglio 2021, il Garante per la protezione dei dati personali ha sanzionato uno dei pi\u00f9 noti marketplace con una multa di 746 milioni di euro. Questa sanzione \u00e8 stata motivata dalla violazione delle norme del GDPR relative al trattamento dei dati personali per finalit\u00e0 di marketing senza il consenso degli utenti.<\/li>
  • Nel dicembre dello stesso anno, il Garante italiano ha sanzionato un noto brand di abbigliamento, per una somma di 5 milioni di euro a causa della gestione impropria dei dati personali per finalit\u00e0 di marketing diretto. Le violazioni includono l\u2019uso eccessivo di dati e la mancanza di adeguata base giuridica per il trattamento dei dati.<\/li>
  • Nel gennaio 2022, il Garante per la protezione dei dati personali in Italia ha imposto una multa di 2 milioni di euro alla societ\u00e0 che gestisce un famoso marketplace. La sanzione \u00e8 stata applicata per la mancata ottemperanza alle richieste degli utenti di cancellare i loro dati personali e per aver utilizzato modalit\u00e0 inadeguate di verifica dell’identit\u00e0 degli utenti che chiedevano di accedere ai loro dati personali.<\/li><\/ul>

    \u00a0<\/p>

    Ma le violazioni non riguardano solo i potenziali clienti: emblematico in tal senso il caso di un famoso brand di abbigliamento, che \u00e8 stato sanzionato in Germania per oltre 35 milioni di euro per aver elaborato illegalmente i dati personali dei suoi dipendenti. Questo precedente dimostra come la compliance GDPR richieda un approccio a\u00a0 360 gradi, che un\u2019attenzione non solo al trattamento dei dati degli utenti\/consumatori, ma anche a quelli dei lavoratori e dei collaboratori.<\/p>

    Insomma, a fronte di una maggiore sensibilit\u00e0 verso la privacy, stimolata proprio dal GDPR, registriamo ancora un preoccupante deficit di compliance nel settore e-commerce. Deficit che, oltre a esporre al rischio di sanzioni, pu\u00f2 minare la fiducia dei consumatori e dunque le performance di business. Sulla base dei progetti che abbiamo seguito, stimiamo che un e-commerce pienamente compliant possa migliorare il tasso di conversione fino al 15%. Al contrario, una scarsa attenzione alla privacy tende ad aumentare diffidenza, abbandoni del carrello e mancati acquisti.<\/p>

    La strada per cogliere appieno le opportunit\u00e0 del GDPR nel commercio online \u00e8 ancora lunga, ma alcune best practice stanno emergendo. Per gli operatori del settore \u00e8 fondamentale andare oltre la logica del mero adempimento formale, integrando davvero la protezione dei dati nei processi di business e nel customer journey. Solo cos\u00ec l’e-commerce potr\u00e0 consolidare la fiducia dei consumatori e continuare a crescere in modo sostenibile.<\/p>

    Quali aspetti vengono ancora oggi trascurati da chi gestisce un negozio online?
    <\/strong><\/h4>

    Nelle nostre attivit\u00e0 di verifica e messa in compliance di decine di e-commerce nell\u2019arco di questi anni, abbiamo rilevato alcune criticit\u00e0 ricorrenti.<\/p>

    Uno degli aspetti pi\u00f9 spesso sottovalutati riguarda senza dubbio l’utilizzo dei cookie<\/strong>. Ancora oggi troviamo molti e-commerce che installano cookie, soprattutto quelli analytics e di profilazione, senza fornire un’adeguata informativa agli utenti o, peggio ancora, senza neppure menzionarli. Altri raccolgono il consenso per l’uso di cookie non tecnici con modalit\u00e0 non conformi, ad esempio mediante scroll down della pagina o proseguimento della navigazione. Peccato che il GDPR e le linee guida del Garante richiedano un consenso libero, specifico, informato e inequivocabile, acquisito con un chiaro atto positivo, come il click su un’apposita casella.<\/p>

    Un altro elemento critico \u00e8 la gestione dei rapporti con i responsabili del trattamento<\/strong>, cio\u00e8 quei fornitori esterni che trattano dati personali per conto dell’e-commerce: pensiamo a societ\u00e0 di logistica e spedizioni, piattaforme cloud, servizi di newsletter, strumenti di analytics e retargeting. Qui il problema principale \u00e8 la mancanza di un contratto ad hoc o di istruzioni documentate, in violazione dell’art.28 del GDPR.<\/p>

    Ma c’\u00e8 un altro aspetto spesso trascurato: la gestione dei dati raccolti tramite l’e-commerce all’interno dei sistemi CRM aziendali.<\/strong> Dove finiscono questi dati? Su un CRM interno o esterno? Nel secondo caso, il fornitore ha sede nell’Unione Europea o in paesi extra-UE, magari negli Stati Uniti? \u00c8 in grado di garantire il pieno rispetto del GDPR? Non dimentichiamo che molte piattaforme CRM, pur tecnologicamente avanzate, non sono originariamente pensate per il mercato europeo e quindi possono avere carenze strutturali nella gestione dei consensi e nei meccanismi di privacy by design richiesti dal GDPR. Sta all’e-commerce, nella persona del titolare del trattamento, assicurarsi che questi strumenti vengano correttamente configurati e resi compliant. Ad esempio, impostando i campi e i flussi di trattamento in modo da rispettare i principi cardine della normativa europea. Un’attivit\u00e0 per nulla banale, che richiede competenze interdisciplinari e una stretta collaborazione tra legal, IT e marketing.<\/p>

    In generale, ancora oggi molti merchant online tendono a considerare la protezione dati come un mero adempimento formale, magari delegato alla funzione legale o IT, e non come un processo trasversale al business. Questo approccio non solo espone a rischi di non conformit\u00e0, ma impedisce di cogliere i benefici di una corretta data protection.<\/p>

    Un nostro recente caso di successo riguarda un e-commerce di arredamento che, grazie a un percorso strutturato di privacy by design, ha migliorato la user experience, ridotto i reclami del 30% e aumentato i tassi di conversione del 12%. Ecco, vorremmo che storie come questa diventassero la normalit\u00e0 nel mondo e-commerce italiano.<\/p>

    B2B e adeguamento al GDPR: smascheriamo una comune “fake news”?<\/strong><\/h4>

    Assolutamente s\u00ec. Spesso sento dire che “il GDPR non si applica al B2B”<\/strong>. Niente di pi\u00f9 falso. \u00c8 vero che il regolamento riguarda la protezione dei dati delle persone fisiche, tuttavia anche i dati dei clienti business, come partita IVA, email aziendale, numeri di telefono dei dipendenti, sono a tutti gli effetti dati personali e in quanto tali vanno trattati in conformit\u00e0 al GDPR.<\/p>

    Gli e-commerce B2B non sono affatto esenti dagli obblighi previsti<\/strong> e anzi, visto che tipicamente trattano un gran numero di dati di altri business, dovrebbero porre ancora pi\u00f9 attenzione ai temi privacy.<\/p>

    Al di l\u00e0 del mero adempimento burocratico, quanto \u00e8 importante effettuare un’attenta selezione dei metodi di pagamento offerti sul proprio e-commerce e quali criteri adottare?<\/strong><\/h4>

    La scelta dei metodi di pagamento \u00e8 fondamentale e troppo spesso viene dettata solo da logiche di pricing, senza valutare adeguatamente gli aspetti di privacy e sicurezza.<\/p>

    Spesso invece viene considerata solo in fase finale, magari quando la struttura del sito, le pagine prodotto, le automation e le integrazioni con il CRM sono gi\u00e0 state definite. Questo approccio \u00e8 sbagliato per diversi motivi.<\/p>

    Innanzitutto, non tutti gli strumenti di pagamento sono uguali in termini di performance, costi di gestione e user experience. Alcuni garantiscono transaction fee pi\u00f9 basse, una maggiore facilit\u00e0 di integrazione lato merchant, o un check-out pi\u00f9 rapido e intuitivo lato cliente, come nel caso delle soluzioni account-to-account<\/strong>\u00a0che consentono al cliente di pagare direttamente dall’online banking della propria banca. Non dimentichiamo che pi\u00f9 rendiamo semplice il processo di pagamento, pi\u00f9 aumentano le probabilit\u00e0 che l’utente concluda l’acquisto senza abbandonare il carrello.<\/p>

    C’\u00e8 poi il tema fondamentale della sicurezza: non tutti i gateway e i metodi di pagamento assicurano i medesimi standard di protezione dei dati, prevenzione delle frodi e gestione dei flussi finanziari. Anche se la maggior parte dei consumatori non ha le competenze per valutare nel dettaglio questi aspetti, nel momento in cui si verifica un problema o una violazione \u00e8 il titolare dell’e-commerce a dover rispondere della scelta compiuta. Ecco perch\u00e9 \u00e8 essenziale selezionare solo strumenti affidabili e certificati, che non solo rispettino i requisiti tecnici e normativi (su tutti il GDPR e la PSD2), ma che siano anche dotati di un adeguato livello di protezione e di pratiche di sicurezza all’avanguardia.<\/p>

    Dal punto di vista GDPR, in particolare, \u00e8 fondamentale che il fornitore del servizio di pagamento sia qualificato correttamente come responsabile o sub-responsabile del trattamento, con tutte le garanzie contrattuali del caso in termini di riservatezza, limitazione delle finalit\u00e0 del trattamento e misure di sicurezza. Inoltre, \u00e8 bene verificare che il provider abbia una sede o quantomeno un rappresentante nell’Unione Europea, per agevolare l’esercizio dei diritti degli interessati e il controllo delle autorit\u00e0 di vigilanza.<\/p>

    Insomma, la selezione dei payment method non pu\u00f2 essere un elemento accessorio o l’ultimo miglio dello sviluppo di un e-commerce, ma deve essere parte integrante della progettazione, al pari della user experience, della SEO o dell’integrazione con i canali di marketing. Solo cos\u00ec \u00e8 possibile individuare le soluzioni pi\u00f9 performanti e allo stesso tempo pi\u00f9 sicure, in grado di conquistare la fiducia dei clienti e convertirla in acquisti e fatturato.<\/p>

    Proviamo a riepilogare tutto ci\u00f2 che serve per avere un ecommerce a prova di legge, in termini di privacy!<\/strong><\/h4>

    Ecco una check-list essenziale per la compliance privacy di un ecommerce:<\/p>

    1. Informativa privacy chiara, completa e sempre accessibile<\/li>
    2. Acquisizione del consenso esplicito degli utenti, ove necessario<\/li>
    3. Cookie policy dettagliata e meccanismi per la gestione delle preferenze<\/li>
    4. Contratti sottoscritti con tutti i responsabili del trattamento<\/li>
    5. Tenuta del registro dei trattamenti<\/li>
    6. Adozione di opportune misure di sicurezza tecniche e organizzative<\/li>
    7. Implementazione di procedure per la gestione di eventuali data breach<\/li><\/ol>

      Attenzione: questi adempimenti non devono essere visti solo come un costo o una seccatura burocratica, ma come un’opportunit\u00e0 per migliorare la fiducia dei clienti, le performance dell’ecommerce e di conseguenza il fatturato.<\/p>

      La privacy non \u00e8 antitetica al business, anzi ne \u00e8 un elemento fondante. Ce lo dimostrano i dati del nostro osservatorio: gli ecommerce che hanno investito con convinzione nella compliance GDPR negli ultimi anni hanno registrato tassi di conversione fino al 20% superiori rispetto alla media. In un mercato sempre pi\u00f9 competitivo, la privacy pu\u00f2 fare la differenza.<\/p>

      \u00a0<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

      \u00a0 A sei anni dall’entrata in vigore del GDPR, MyBank ha intervistato Alessandro Vercellotti, founder di Legal for Digital, per scoprire a […]<\/p>\n","protected":false},"author":1,"featured_media":9873,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_predictive_search_focuskw":"e-commerce, GDPR","_ps_exclude_item":"","footnotes":""},"categories":[393],"tags":[],"class_list":["post-49882","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-aziende"],"acf":[],"_links":{"self":[{"href":"https:\/\/mybank.creativeroombeta.com\/it\/wp-json\/wp\/v2\/posts\/49882","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/mybank.creativeroombeta.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/mybank.creativeroombeta.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/mybank.creativeroombeta.com\/it\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/mybank.creativeroombeta.com\/it\/wp-json\/wp\/v2\/comments?post=49882"}],"version-history":[{"count":17,"href":"https:\/\/mybank.creativeroombeta.com\/it\/wp-json\/wp\/v2\/posts\/49882\/revisions"}],"predecessor-version":[{"id":49931,"href":"https:\/\/mybank.creativeroombeta.com\/it\/wp-json\/wp\/v2\/posts\/49882\/revisions\/49931"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/mybank.creativeroombeta.com\/it\/wp-json\/wp\/v2\/media\/9873"}],"wp:attachment":[{"href":"https:\/\/mybank.creativeroombeta.com\/it\/wp-json\/wp\/v2\/media?parent=49882"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/mybank.creativeroombeta.com\/it\/wp-json\/wp\/v2\/categories?post=49882"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/mybank.creativeroombeta.com\/it\/wp-json\/wp\/v2\/tags?post=49882"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}