Vuoi aprire un negozio online?

Privacy policy per ecommerce: risposte alle domande frequenti

Privacy policy per ecommerce: risposte alle domande frequenti

A seguito dell’entrata in vigore nel 2018 del Regolamento (UE) 679/2016 (meglio noto come “GDPR”) la tutela dei dati personali degli utenti è diventato un tema importante per qualsiasi sito di ecommerce.

Internet è ormai pieno di articoli su questo tema e può essere difficile comprendere il corretto ambito di applicazione dei propri adempimenti.

Oggi vogliamo rispondere alle vostre domande più frequenti sulla privacy policy, cercando di chiarire alcuni aspetti sulla tutela dei dati personali che hanno creato maggiori dubbi tra i nostri merchant ma che, da un punto di vista legale, non presentano particolari criticità.

Guida legale per titolari di ecommerce

Tutti gli adempimenti legali necessari per aprire un ecommerce in regola.

Posso inviare newsletter o comunicazioni pubblicitarie di prodotti o servizi direttamente ai miei clienti?

Il GDPR vieta la cessione dei dati personali a terzi per finalità promozionali senza il previo consenso dei vostri utenti. Ciò implica che il consenso degli utenti è necessario affinché una società vostra partner possa trasmettere comunicazioni promozionali ai vostri clienti. Senza il consenso questo tipo di attività è vietata.

Ciò non impedisce però che possiate voi stessi inviare ai vostri utenti comunicazioni pubblicitarie o newsletter ad oggetto prodotti o servizi di terzi.

In questo caso, infatti, non si verifica nessuna cessione dei dati in quanto le e-mail vengono inviate da voi (quindi non da terzi). L’unica condizione per inviare questo tipo di e-mail è di aver ottenuto il consenso dell’utente.

Ecco una dicitura che potete pubblicare sul vostro sito per ottenere un valido consenso all’invio di comunicazioni pubblicitarie o newsletter aventi ad oggetto prodotti o servizi (anche) di terzi:

Letta l’Informativa Privacy di questo sito, presto il mio consenso all’invio di comunicazioni pubblicitarie a mezzo e-mail da parte di [qui potete inserire il nome del vostro sito] aventi ad oggetto prodotti o servizi propri o di terzi.

Utilizzo diversi mezzi di comunicazione: è sufficiente pubblicare una singola formula per il consenso?

In base alle indicazioni del Garante Privacy è possibile ottenere un unico consenso per inviare comunicazioni promozionali mediante diversi mezzi di comunicazione (email, sms, posta cartacea, MMS).

Ovviamente l’utente dovrà sempre avere la possibilità di comunicare attraverso quali canali intende ricevere le comunicazioni (es. potrà decidere in futuro di ricevere solamente comunicazioni via e-mail e non ricevere invece quelle per posta ordinaria).

Pertanto, la formula del consenso che abbiamo indicato al punto 1 può essere arricchita con riferimento a quali mezzi di comunicazione volete utilizzare per inviare pubblicità e newsletter:

Letta l’Informativa Privacy di questo sito, presto il mio consenso all’invio di comunicazioni pubblicitarie a mezzo e-mail, sms e posta ordinaria da parte di [qui potete inserire il nome del vostro sito] aventi ad oggetto prodotti o servizi propri o di terzi.

Ogni quanto tempo devo richiedere il consenso dell’utente?

In questo ambito il Garante Privacy ha recentemente emesso un provvedimento molto importante per gli ecommerce.

Infatti, il Garante ha statuito che l’efficacia del consenso a ricevere comunicazioni di marketing vale fino a eventuale revoca: pertanto, fino a quando l’utente non ha revocato il consenso a ricevere pubblicità oppure newsletter il sito ecommerce può inviare questo tipo di comunicazioni.

Prima di questo provvedimento il sito ecommerce doveva chiedere conferma del consenso al marketing ogni 24 mesi dal conferimento. Se l’utente non confermava il consenso, il sito doveva astenersi dall’inviare ulteriormente comunicazioni di marketing.

Quali saranno le prossime novità in ambito privacy?

Il regolamento ePrivacy, un regolamento che disciplinerà il trattamento dei dati personali con specifico riferimento all’ambito digitale, potrebbe diventare legge entro il 2021. Come il GDPR, anche il regolamento ePrivacy si applicherà all’interno territorio europeo.

Tra le novità, il regolamento ePrivacy semplificherà la gestione dei cookie: in particolare, si ritiene che non prevedrà più l’obbligo di richiedere il consenso per il rilascio dei cookie di profilazione statistici.

La bozza finale sul regolamento ePrivacy è stata approvata il 10 febbraio 2021: tuttavia, trattandosi ancora di una bozza da trasformare in legge, non v’è particolare fretta per modificare la documentazione legale. Come spesso avviene per i regolamenti europei, vi sarà un periodo di 2 anni per aggiornare la privacy policy dei siti di commercio elettronico.

Ho sentito parlare del CCPA: si applica anche al mio ecommerce?

Il CCPA (California Consumer Privacy Act) è la prima legge statunitense che tutela la privacy degli utenti online e che obbliga le società ad adottare specifiche modalità di gestione dei dati personali. È entrata in vigore in California il 1° gennaio 2020.

La nuova legge si applica solo ai siti di ecommerce che rivolgono i loro prodotti e servizi a persone fisiche residenti in California e che raccolgono le informazioni personali degli utenti determinandone finalità e modo di trattamento.

Oltre al sopra descritto requisito, l’ecommerce deve soddisfare almeno uno di questi requisiti:

  • generare un fatturato annuo lordo superiore ad almeno 25 milioni di dollari;
  • ottenere almeno il 50% del proprio fatturato dalla vendita di dati personali;
  • acquistare, ricevere, vendere o condivide ogni anno per finalità commerciali le informazioni personali di almeno 50.000 persone fisiche.

Il CCPA impone specifici obblighi informativi agli ecommerce che rientrano nell’ambito di applicazione di questa legge.

In base ai requisiti sopra descritti, è molto difficile che un “classico” sito di ecommerce sia sottoposto al CCPA. Pertanto non dovete preoccuparvi: le vostre privacy policy, se pubblicate nel rispetto del GDPR, vanno bene così e non necessitano modifiche!

Vendo all'estero: devo tradurre la mia privacy policy?

Molti siti di ecommerce sono preoccupati del fatto che, se vendono in ogni paese del mondo, devono pubblicare una privacy policy scritta nella lingua di ciascun specifico paese.

Il GDPR non dispone niente in tal senso: diversamente, un sito di commercio elettronico che vende in tutta Europa dovrebbe pubblicare sul proprio sito decine e decine di pagine di privacy policy scritte, per esempio, in lituano, polacco, spagnolo, ecc. Ciò che la normativa sulla privacy invece impone è di predisporre una privacy policy scritta almeno nella lingua ufficiale del paese presso il quale viene diretta l’offerta dei propri prodotti o servizi.

Con riferimento all’ambito europeo, l’inglese rappresenta una delle lingue ufficiali. Conseguentemente, se il vostro sito ha pubblicato la privacy policy (oltre che in italiano) anche in inglese e consegna in tutta Europa, non c’è necessità di pubblicare una informativa privacy anche nelle altre lingue dei Paesi dove consegnate i prodotti.

Profilazione e comunicazione al Garante Privacy. Cosa significa?

“Profilare” gli utenti significare inviare comunicazioni pubblicitarie o newsletter di specifico interesse per i clienti. Per effettuare questa tipologia di trattamento dei dati personali è necessario che i vostri utenti abbiamo rilasciato un consenso diverso rispetto a quello diretto a ricevere comunicazioni generiche.

Molti siti di ecommerce sono convinti che sia necessario informare il Garante Privacy di questa attività e di attendere l’autorizzazione dell’Autorità prima di iniziare a profilare gli utenti. In realtà, l’obbligo di comunicare al Garante privacy l’attività di profilazione degli utenti era originariamente previsto dal Codice della Privacy ma oggi non è più in vigore. Pertanto, se inviate comunicazioni di specifico interesse per i vostri utenti, non c'è nessun obbligo di informare il Garante Privacy.

Per altri consigli e suggerimenti legali per il vostro ecommerce, vi invitiamo a leggere i nostri articoli della sezione Adempimenti legali.



Lorenzo GrassanoNote sull’Autore Lorenzo Grassano è pioniere del diritto dell’ecommerce e della privacy. Assiste web agency, siti e start-up italiani e stranieri. Da quando ha fondato LegalBlink, generatore di documenti legali specifico per ecommerce e con un team di legali a supporto, acquista tutto solo online.

Argomenti: