Blog di Shopify

Privacy policy per ecommerce: risposte alle domande frequenti

Privacy policy per ecommerce: risposte alle domande frequenti

A seguito dell’entrata in vigore nel 2018 del Regolamento (UE) 679/2016 (meglio noto come “GDPR”) la tutela dei dati personali degli utenti è diventato un tema importante per qualsiasi sito di ecommerce.

Internet è ormai pieno di articoli su questo tema e può essere difficile comprendere il corretto ambito di applicazione dei propri adempimenti.

Oggi vogliamo rispondere alle vostre domande più frequenti sulla privacy policy, cercando di chiarire alcuni aspetti sulla tutela della privacy che hanno creato dubbi tra i nostri merchant ma che, da un punto di vista legale, non presentano particolari criticità.

Guida legale per titolari di ecommerce

Tutti gli adempimenti legali necessari per aprire un ecommerce in regola.

Posso inviare newsletter o comunicazioni pubblicitarie di prodotti o servizi direttamente ai miei clienti?

Il GDPR vieta la cessione dei dati personali a terzi per finalità promozionali senza il previo consenso dei vostri utenti. Ciò implica che il consenso degli utenti è necessario affinché una società vostra partner possa trasmettere comunicazioni promozionali ai vostri clienti. Senza il consenso questo tipo di attività è vietata.

Ciò non impedisce però che possiate voi stessi inviare ai vostri utenti comunicazioni pubblicitarie o newsletter ad oggetto prodotti o servizi di terzi.

In questo caso, infatti, non si verifica nessuna cessione dei dati in quanto le e-mail vengono inviate da voi (quindi non da terzi). L’unica condizione per inviare questo tipo di e-mail è di aver ottenuto il consenso dell’utente.

Ecco una dicitura che potete pubblicare sul vostro sito per ottenere un valido consenso all’invio di comunicazioni pubblicitarie o newsletter aventi ad oggetto prodotti o servizi (anche) di terzi:

Letta l’Informativa Privacy di questo sito, presto il mio consenso all’invio di comunicazioni pubblicitarie a mezzo e-mail da parte di [qui potete inserire il nome del vostro sito] aventi ad oggetto prodotti o servizi propri o di terzi.

Utilizzo diversi mezzi di comunicazione: è sufficiente pubblicare una singola formula per il consenso?

In base alle indicazioni del Garante Privacy è possibile ottenere un unico consenso per inviare comunicazioni promozionali mediante diversi mezzi di comunicazione (email, sms, posta cartacea, MMS).

Ovviamente l’utente dovrà sempre avere la possibilità di comunicare attraverso quali canali intende ricevere le comunicazioni (es. potrà decidere in futuro di ricevere solamente comunicazioni via e-mail e non ricevere invece quelle per posta ordinaria).

Pertanto, la formula del consenso che abbiamo indicato al punto 1 può essere arricchita con riferimento a quali mezzi di comunicazione volete utilizzare per inviare pubblicità e newsletter:

Letta l’Informativa Privacy di questo sito, presto il mio consenso all’invio di comunicazioni pubblicitarie a mezzo e-mail, sms e posta ordinaria da parte di [qui potete inserire il nome del vostro sito] aventi ad oggetto prodotti o servizi propri o di terzi.

Ho sentito parlare del CCPA: si applica anche al mio ecommerce?

Il CCPA (California Consumer Privacy Act) è la prima legge statunitense che tutela la privacy degli utenti online e che obbliga le società ad adottare specifiche modalità di gestione dei dati personali. È entrata in vigore in California il 1° gennaio di quest’anno.

La nuova legge si applica solo ai siti e-commerce che rivolgono i loro prodotti e servizi a persone fisiche residenti in California e che raccolgono le informazioni personali degli utenti determinandone finalità e modo di trattamento.

Oltre al sopra descritto requisito, l’e-commerce deve soddisfare almeno uno di questi requisiti:

  • generare un fatturato annuo lordo superiore ad almeno 25 milioni di dollari;
  • ottenere almeno il 50% del proprio fatturato dalla vendita di dati personali;
  • acquistare, ricevere, vendere o condivide ogni anno per finalità commerciali le informazioni personali di almeno 50.000 persone fisiche.

Il CCPA impone specifici obblighi informativi agli ecommerce che rientrano nell’ambito di applicazione di questa legge.

In base ai requisiti sopra descritti, è molto difficile che un “classico” ecommerce sia sottoposto al CCPA.

Pertanto non dovete preoccuparvi: le vostre privacy policy, se pubblicate nel rispetto del GDPR, vanno bene così e non necessitano modifiche!

Vendo all'estero: devo tradurre la mia privacy policy?

Molti ecommerce sono preoccupati del fatto che, se consegnano in ogni Paese del mondo, devono pubblicare una privacy policy scritta nella lingua di ciascun specifico Paese.

Il GDPR non dispone niente in tal senso: diversamente, un sito di commercio elettronico che vende in tutta Europa dovrebbe pubblicare sul proprio sito decine e decine di pagine di privacy policy scritte, per esempio, in lituano, polacco, spagnolo etc.

Ciò che la normativa sulla privacy invece impone è di predisporre una privacy policy scritta almeno nella lingua ufficiale del Paese presso il quale viene diretta l’offerta dei propri prodotti o servizi.

Con riferimento all’ambito europeo, l’inglese rappresenta una delle lingue ufficiali. Conseguentemente, se il vostro sito ha pubblicato la privacy policy (oltre che in italiano) anche in inglese e consegna in tutta Europa non c’è necessità di pubblicare una informativa privacy anche nelle altre lingue dei Paesi dove consegnate i prodotti.

Profilazione e comunicazione al Garante Privacy. Cosa significa?

“Profilare” gli utenti significare inviare comunicazioni pubblicitarie o newsletter di specifico interesse per i clienti.

Per effettuare questa tipologia di trattamento dei dati personali è necessario che i vostri utenti abbiamo rilasciato un consenso diverso rispetto a quello diretto a ricevere comunicazioni generiche.

Molti e-commerce sono convinti che sia necessario informare il Garante Privacy di questa attività e di attendere l’autorizzazione dell’Autorità prima di iniziare a profilare gli utenti.

L’obbligo di comunicare al Garante privacy l’attività di profilazione degli utenti era originariamente previsto dal Codice della Privacy ma oggi non è più in vigore.

Pertanto, se inviate comunicazioni di specifico interesse per i vostri utenti non c'è nessun obbligo di informare il Garante Privacy.

Per altri consigli e suggerimenti legali per il vostro ecommerce, vi invitiamo a leggere i nostri articoli della sezione Adempimenti legali.

Lorenzo GrassanoNote sull’Autore Lorenzo Grassano (l.grassano@studiolegalegrassano.it) è titolare dello Studio Legale Grassano di Milano. Esperto di ecommerce e privacy law, assiste dal punto di vista legale siti e start-up italiani e stranieri. Da quando ha fondato LegalBlink, servizio di assistenza legale per web agency e merchant, acquista quasi tutto solo online.

Argomenti: