
L’informativa Privacy (o Privacy Policy) per ecommerce è il documento legale con cui vengono fornite informazioni in merito al trattamento di dati personali nell’ambito dell’attività di vendita online.
Come tutti i siti web e le app che trattano dati personali, anche l’ecommerce deve rispettare le norme imposte dal GDPR (Regolamento Ue n. 679/2016) in materia di trattamento dei dati personali degli utenti persone fisiche.
Vediamo quali informazioni deve contenere un modello di Informativa Privacy (o Privacy Policy) per un ecommerce.
Indice
| Informativa Privacy (o Privacy Policy) per ecommerce: a cosa serve
L’informativa Privacy per un ecommerce è una dichiarazione obbligatoria che informa gli utenti sul trattamento dei dati personali che li riguardano.
Rappresenta uno degli adempimenti necessari previsti dal GDPR, che richiede anche una serie di principi, misure e garanzie ulteriori affinché un trattamento dei dati personali possa essere considerato lecito.
Ma cosa si intende per “trattamento dei dati personali”?
- il “dato personale” è qualsiasi informazione relativa ad una persona fisica identificata o identificabile
- per “trattamento” s’intende qualsiasi operazione compiuta sui dati personali (raccolta, registrazione o semplice consultazione).
| Informativa Privacy per ecommerce: quando è obbligatoria
Quando:
- si trattano dati personali di persone fisiche;
- i dati non sono anonimi (per es. statistici);
- l’ecommerce ha sede in Europa;
- l’ecommerce non ha sede in Europa ma tratta i dati di persone europee o che si trovano in Europa.
Quando si devono informare gli utenti?
Prima della raccolta dei loro dati personali o, al più tardi, al momento della raccolta.
Se i dati, invece, sono raccolti presso terzi, l’informativa deve essere fornita entro un termine ragionevole e comunque prima dell’utilizzo di tali dati.
| Privacy Policy per ecommerce: le sanzioni
L’informativa è un documento molto visibile, e per questo è il primo documento analizzato in caso di ispezioni da parte del Garante Privacy, attraverso il lavoro da remoto del Nucleo Speciale della Guardia di Finanza.
Le sanzioni pecuniarie previste per violazione delle norme relative ai “diritti degli interessati” in materia di informativa raggiungono i 20 milioni di euro, o per le imprese fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Le violazioni possono dar vita anche al diritto al risarcimento del danno degli interessati.
| Informativa Privacy (o Privacy Policy) per ecommerce: la forma
Per quanto riguarda la forma, l’informativa privacy per ecommerce deve essere “concisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro” (art. 12 GDPR).
Significa che deve essere breve, vera, facilmente accessibile e redatta in un linguaggio chiaro e comprensibile ai soggetti cui si rivolge, per il principio di trasparenza, secondo cui l’interessato non deve subire trattamenti occulti o diversi da quelli dichiarati.
L’informativa deve essere visibile per raggiungere il suo scopo.
Per questo, in fase di inoltro dei dati ci deve essere un link alla Privacy Policy, il flag di accettazione. Deve essere inserita nel footer del sito web così da essere sempre raggiungibile.
Per quanto riguarda il contenuto, art. 13 del GDPR l’ stabilisce che deve contenere determinate informazioni. Vediamo quali.

| Informativa Privacy (o Privacy Policy) per ecommerce: i contenuti
Un’informativa privacy (o privacy policy) lecita e completa deve contenere le seguenti informazioni:
> Il Titolare del Trattamento o Data Controller
Il titolare del trattamento è la persona, di solito al vertice dell’azienda, che definisce le finalità ed i mezzi del trattamento dei dati personali.
> Il Responsabile della protezione dei dati personali o ‘DPO’
Vanno indicati i riferimenti e i dati di contatto del DPO, se è stato nominato.
Quando è obbligatorio nominare il DPO per un ecommerce:
-
- se si effettua un monitoraggio regolare e sistematico degli interessati su larga scala;
- se si trattano su larga scala ‘dati particolari’ (su idee politiche, religiose o filosofiche, origine razziale o etnica, vita sessuale ecc.) o di dati relativi alle condanne penali (art. 10 GDPR).
Per ‘monitoraggio regolare su larga scala’ si intende un monitoraggio regolare e sistematico che utilizza strumenti di tracciatura e profilazione online, effettuato su un grande numero di utenti ed un grande numero di dati personali.
Anche un piccolo ecommerce può essere obbligato a nominare un DPO, se tratta in modo regolare ed automatico i dati personali di tanti clienti.
> Le finalità del trattamento
In questa sezione va indicato perché trattiamo i dati e per quali fini.
Ad esempio: i dati sono raccolti per gestire il sito web, per dare esecuzione agli ordini ricevuti ecc.
> La base giuridica del trattamento
La base giuridica del trattamento è la condizione di liceità del trattamento dei dati personali.
Mettiamola così: ogni trattamento di dati personali è illecito, a meno che non ricorra una delle seguenti condizioni, definite appunto “basi giuridiche del trattamento” (art. 6 GDPR).
Per un ecommerce, le più frequenti sono:
-
- Consenso: l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità (es. marketing e profilazione);
- Esecuzione del contratto o di misure precontrattuali;
- Adempimento obbligo legale (es. obblighi fiscali);
- Legittimo interesse del titolare.
> Quali dati si raccolgono
Vanno indicate le categorie di dati raccolti: nome, cognome, indirizzi email ecc.
> I destinatari
Vanno indicati eventuali terzi cui saranno comunicati i dati personali: è una sorta di “mappa” del viaggio dei dati personali.
> Trasferimenti di dati all’estero
Ovvero il trasferimento di dati in Paesi al di fuori dell’Unione Europea, o un’organizzazione internazionale.
> Il periodo di conservazione dei dati – ‘data retention’
Il GDPR stabilisce che i dati non devono essere conservati a tempo indeterminato, ma deve essere definito un tempo di conservazione, proporzionale alla finalità del trattamento, trascorso il quale il dato deve essere cancellato o anonimizzato.
In alcuni casi i tempi di conservazione sono definiti dalle leggi, in altri casi sono definiti dal Garante, in altri casi spetta al titolare definire i tempi di conservazione in maniera proporzionale.
I tempi di conservazione vanno indicati nella privacy policy.
Ad esempio:
-
- per il marketing: 24 mesi dal consenso;
- per la profilazione: 12 mesi dal consenso,
trascorsi i quali bisognerà ottenere un nuovo consenso come condizione necessaria per il trattamento, oppure bisognerà cancellare o anonimizzare il dato.
> Diritti degli interessati
Occorre indicare i diritti degli interessati di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali, di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati.
Deve essere indicato anche il diritto di proporre reclamo al Garante.
> Trattamenti automatizzati
Se vengono effettuati trattamenti con processi automatizzati o basati sulla profilazione, bisogna indicarlo, specificando che saranno effettuate analisi sui comportamenti per offrire beni o servizi in linea con le preferenze.
> Cookie Policy
È l’informativa cookie estesa, sezione della Privacy Policy che può essere anche pubblicata in una pagina separata, purché contenga il link diretto all’informativa Privacy.
Contiene l’elenco dei cookie utilizzati, elencati per categorie, con la definizione delle loro finalità e delle modalità per l’eventuale disabilitazione (es. tramite opzioni del browser).
Se si utilizzano cookies di terze parti, bisogna inserire il link alle informative policy dei servizi delle terze parti.
Leggi questo articolo per approfondire la Cookie Policy.
| Informativa Privacy (o Privacy Policy) per ecommerce: le conclusioni
La funzione di un’informativa privacy è quella di informare gli utenti in modo corretto e trasparente sul trattamento dei loro dati personali.
Questo documento deve rispecchiare il reale ed effettivo modo di trattare i dati personali, che deve avvenire in modo legittimo e limitato alle finalità dichiarate.
L’informativa privacy per un ecommerce non è un semplice adempimento burocratico.
La privacy policy va tenuta aggiornata ad ogni cambiamento sul trattamento dei dati personali, insieme con il registro dei trattamenti.
| Cosa può fare per te l’Avvocato dell’Ecommerce
Redigere una Privacy Policy richiede molta attenzione, anche perché le sanzioni che si rischiano sono molto gravose.
Per questo la sua redazione deve essere affidata ad un legale esperto, in quanto ricorrere al copia e incolla può essere pericoloso.
Io ti posso aiutare a:
- fare un check up del tuo ecommerce, per verificare che rispetti le norme in materia di trattamento dei dati personali;
- redigere il testo dell’Informativa Privacy (o Privacy Policy), della Cookie Policy o del Cookie Banner.
Tu dedicati al business online. Alle questioni legali, ci pensano i legali.
Contattami utilizzando la sezione contatti.