GDPR ed e-commerce in Italia: obblighi, sanzioni del Garante e checklist di conformità
Vendere online in Italia senza rispettare la privacy non è più un’opzione
Chi gestisce un e-commerce tratta dati personali a ogni clic. Indirizzo email per la conferma d’ordine, numero di carta per il pagamento, indirizzo di spedizione, cronologia degli acquisti, preferenze di navigazione. Ogni interazione genera dati. E ogni dato personale è protetto dal GDPR.
Ma il problema non è la quantità di dati. Il problema è la fiducia. Un cliente che acquista sul vostro sito vi affida informazioni sensibili. Se quella fiducia viene tradita — da un cookie depositato senza consenso, da un’email inviata senza autorizzazione, da dati conservati a tempo indeterminato — il danno non è solo giuridico. È commerciale.
Il Garante per la protezione dei dati personali lo ha capito. E dal 2022, anno di entrata in vigore delle nuove Linee guida cookie, l’e-commerce italiano è sotto osservazione.
Nel 2024: 835 provvedimenti emessi, 468 correttivi e sanzionatori, per un totale di 24 milioni di euro di sanzioni. L’Italia è al quarto posto in Europa per sanzioni GDPR cumulative dal 2018.
Il messaggio è chiaro: la conformità GDPR non è un costo. È una condizione per vendere online in Italia.
Perché l’e-commerce è una priorità del Garante
Il Garante italiano non è un’autorità passiva. È tra le più attive d’Europa, al quarto posto per sanzioni cumulative dal 2018. E l’e-commerce concentra tutti i fattori di rischio che il Garante sorveglia con attenzione.
| Azienda | Sanzione | Motivo |
|---|---|---|
| Enel Energia | 79,1 M€ | Telemarketing illecito |
| Douglas Italia | — | Cookie e marketing non conformi |
| Foodinho/Glovo | 2,6 M€ | Profilazione algoritmica dei rider |
Telemarketing: la prima causa di sanzioni in Italia
L’Italia ha una specificità europea: il Registro pubblico delle opposizioni (RPO), esteso nel 2022 ai numeri di cellulare. Le aziende che effettuano campagne di marketing diretto — incluse le email commerciali — devono verificare il registro e documentare il consenso di ogni contatto. Enel Energia ha pagato 79,1 milioni di euro per aver acquisito contratti tramite agenzie che utilizzavano database illeciti. Non era un errore tecnico: era un sistema.
Le Linee guida cookie più dettagliate d’Europa
Le Linee guida cookie e altri strumenti di tracciamento del Garante, pubblicate nel giugno 2021 ed entrate in vigore il 10 gennaio 2022, sono tra le più rigorose e specifiche del continente. Non si limitano a ribadire i principi del GDPR. Dettano requisiti tecnici precisi su come raccogliere il consenso, cosa è vietato e come gestire le eccezioni. Per un e-commerce, ignorarle equivale a operare in violazione permanente.
Dark pattern: il Garante osserva
L’autorità italiana ha posto particolare attenzione ai dark pattern — interfacce progettate per manipolare le scelte dell’utente. Un pulsante “Accetta tutto” in evidenza e un “Rifiuta” nascosto in sottomenu non è un errore di design. È una violazione.
I 7 obblighi GDPR per gli e-commerce italiani
1. Consenso cookie conforme alle Linee guida 2021
Non basta un banner. Le Linee guida del Garante richiedono che:
- Nessun cookie non essenziale — depositato prima del consenso esplicito
- Scroll come consenso — espressamente vietato
- Pulsante “Rifiuta tutto” — presente sulla prima schermata, con la stessa visibilità di “Accetta tutto”
- Cookie wall — vietato, salvo eccezioni molto limitate e documentate
- Richieste reiterate — limitate a un minimo di 6 mesi tra una richiesta e l’altra
- Prova del consenso — conservata con data, ora e identificatore unico
Per un e-commerce che utilizza Google Analytics, Meta Pixel, script di retargeting o pixel di conversione, ogni singolo script deve essere bloccato prima del consenso. Una CMP conforme come Cookilio gestisce questo blocco tecnico in automatico.
2. Email marketing e Registro delle opposizioni
L’invio di email commerciali in Italia è regolato dal D.Lgs. 196/2003 (Codice Privacy) e dal D.Lgs. 206/2005 (Codice del Consumo), oltre che dal GDPR. Tre regole fondamentali:
- Consenso specifico — per le comunicazioni commerciali, non incluso nelle condizioni generali di vendita
- Soft spam — email a clienti esistenti per prodotti simili, ammesso a condizioni rigorose: stessa categoria di prodotti, possibilità chiara di opt-out a ogni invio, nessuna cessione a terzi
- Registro delle opposizioni — deve essere consultato prima di ogni campagna di marketing diretto
Il consenso al marketing e il consenso alla profilazione sono due consensi distinti. Un unico checkbox che copra entrambi è non conforme.
3. Conservazione dei dati clienti
Ogni dato ha una durata di vita legittima. Un e-commerce deve definire:
- Dati di transazione — conservazione per la durata degli obblighi fiscali (10 anni per le fatture in Italia)
- Dati di navigazione — durata massima raccomandata di 13 mesi per i cookie analitici
- Dati di marketing — fino alla revoca del consenso, con revisione periodica dell’effettivo utilizzo
- Dati dell’account cliente — cancellazione entro tempi ragionevoli dalla chiusura dell’account
Nel 2024, un fornitore energetico italiano è stato multato per 5 milioni di euro per aver conservato dati clienti oltre i termini di legge. La conservazione illimitata è una violazione permanente.
4. Sicurezza dei pagamenti
L’articolo 32 del GDPR impone misure tecniche e organizzative adeguate al rischio. Per i pagamenti online:
- PCI-DSS — gli e-commerce devono utilizzare gateway di pagamento certificati e non conservare mai i numeri di carta completi
- Autenticazione forte (PSD2/SCA) — obbligatoria per le transazioni europee
- Crittografia TLS — su tutto il sito, non solo sulla pagina di checkout
- Notifica di violazione — in caso di compromissione dei dati di pagamento, notifica al Garante entro 72 ore e informazione ai clienti se il rischio è elevato
5. Recensioni e contenuti degli utenti (UGC)
Le recensioni pubblicate sul vostro e-commerce contengono dati personali: nome, opinione, talvolta informazioni sulla salute (integratori, prodotti farmaceutici). Il GDPR si applica:
- Base giuridica — per la pubblicazione: legittimo interesse o consenso
- Diritto di cancellazione — il cliente può chiedere la rimozione della propria recensione
- Moderazione — se pubblicate recensioni con dati sensibili di terzi, siete responsabili
6. Remarketing, tracciamento e trasferimenti di dati
Ogni pixel di tracciamento — Meta Pixel, Google Ads, TikTok Pixel — è un trasferimento di dati verso un server terzo. Le implicazioni GDPR:
- Consenso preventivo — obbligatorio per ogni tracker non essenziale
- Informativa specifica — l’utente deve sapere a chi vengono trasmessi i suoi dati
- Trasferimenti extra-UE — dopo l’invalidazione del Privacy Shield (Schrems II), i trasferimenti verso gli USA richiedono il nuovo EU-US Data Privacy Framework o clausole contrattuali tipo. La posizione del Garante resta prudente
L’alternativa strutturale: utilizzare strumenti di analytics che non trasferiscono dati fuori dall’Europa. Mirage Analytics non deposita cookie, non raccoglie indirizzi IP e i dati restano ospitati in Europa.
7. Informativa privacy completa
L’informativa è il documento chiave. Per un e-commerce italiano, deve contenere:
- Identità e contatti — del titolare del trattamento
- Contatti del DPO — se nominato
- Finalità e basi giuridiche — per ogni categoria di trattamento
- Destinatari dei dati — fornitori, gateway di pagamento, piattaforme marketing
- Trasferimenti extra-UE — e garanzie adottate
- Durate di conservazione — specifiche per categoria
- Diritti dell’interessato — e modalità di esercizio
- Diritto di reclamo — al Garante per la protezione dei dati personali
Le Linee guida cookie del Garante: cosa impongono esattamente
Le Linee guida del 10 giugno 2021 (provvedimento n. 231) meritano un approfondimento dedicato. Sono il testo di riferimento per qualsiasi sito italiano, e in particolare per gli e-commerce.
Le Linee guida cookie del 2021 sono tra le più dettagliate d’Europa. Non si limitano ai principi: dettano requisiti tecnici precisi su banner, consenso, conservazione e dark pattern.
| Pratica | Status |
|---|---|
| Scroll come consenso | Vietato |
| Cookie wall | Vietato (salvo eccezioni) |
| Richiesta ripetuta di consenso | Min. 6 mesi tra richieste |
| Prova del consenso server-side | Obbligatoria |
Scroll come consenso: vietato
Il Garante ha espressamente chiarito che la prosecuzione della navigazione, lo scroll della pagina o la chiusura del banner non costituiscono consenso valido. L’utente deve compiere un’azione positiva inequivocabile — tipicamente, un clic su un pulsante dedicato.
Cookie wall: vietato (salvo eccezioni)
Condizionare l’accesso al sito all’accettazione dei cookie non essenziali è vietato. Il Garante ammette un’eccezione limitata: se il sito offre un contenuto equivalente accessibile senza cookie, il cookie wall può essere accettabile. Ma per un e-commerce, dove l’accesso al catalogo prodotti è l’obiettivo principale dell’utente, il cookie wall è di fatto impraticabile.
Richieste reiterate: limitate
Se l’utente ha rifiutato i cookie, il sito non può ripresentare il banner a ogni visita. Il Garante indica un intervallo minimo di 6 mesi prima di riproporre la scelta. Fanno eccezione i casi in cui cambino significativamente le condizioni di trattamento.
Conservazione delle scelte: requisiti tecnici
La prova del consenso deve essere conservata lato server, con:
- Identificatore univoco — dell’utente (non necessariamente personale)
- Data e ora — della scelta
- Dettaglio — delle finalità accettate e rifiutate
- Versione — del banner presentato
Cookilio implementa nativamente tutti questi requisiti: blocco preventivo degli script, simmetria dei pulsanti, prova server-side con correlation ID, e rispetto dell’intervallo di 6 mesi per le richieste reiterate. A partire da 9 EUR +IVA/mese.
Sanzioni del Garante: lezioni per l’e-commerce
Enel Energia: 79,1 milioni di euro
La sanzione più alta mai inflitta dal Garante. Causa: telemarketing attraverso agenzie che utilizzavano database di contatti acquisiti illecitamente. L’indagine, condotta con la Guardia di Finanza, ha rivelato almeno 9.300 contratti non autorizzati.
Lezione per l’e-commerce: La responsabilità del titolare del trattamento si estende ai sub-responsabili. Se affidate il marketing a un’agenzia esterna, dovete verificare la conformità delle loro pratiche. Un database di email non tracciabile è una bomba a orologeria.
Douglas Italia: cookie e marketing
Douglas Italia, nota catena di beauty retail con forte presenza online, è stata oggetto di provvedimenti del Garante per violazioni legate alla gestione dei cookie e delle comunicazioni marketing. Il caso ha evidenziato come anche marchi noti e strutturati possano sottovalutare i requisiti delle Linee guida cookie.
Lezione per l’e-commerce: La notorietà del marchio non protegge. Anzi, aumenta la visibilità — e il rischio ispettivo.
Foodinho/Glovo: 2,6 milioni di euro
Foodinho (controllata di Glovo) è stata sanzionata per 2,6 milioni di euro per il trattamento automatizzato dei dati dei rider, inclusa la profilazione algoritmica per l’assegnazione degli ordini. Il Garante ha contestato la mancanza di trasparenza sulle logiche automatizzate e l’assenza di intervento umano nelle decisioni significative.
Lezione per l’e-commerce: Se il vostro e-commerce utilizza algoritmi per personalizzare prezzi, raccomandazioni o condizioni di vendita, l’articolo 22 del GDPR impone trasparenza e possibilità di contestazione.
Checklist di conformità GDPR per il vostro e-commerce
Cookie e tracciamento
- CMP conforme alle Linee guida 2021 — con pulsante “Rifiuta tutto” visibile → Cookilio
- Nessun cookie non essenziale — depositato prima del consenso
- Nessun cookie wall — che blocca l’accesso al catalogo
- Intervallo di 6 mesi — tra le richieste reiterate di consenso
- Prova del consenso — conservata lato server
Analytics e dati di navigazione
- Soluzione analytics senza cookie — e senza trasferimento extra-UE → Mirage Analytics
- Durata dei cookie analitici — limitata a 13 mesi
Marketing ed email
- Consenso specifico — per le comunicazioni commerciali (separato dal consenso alla profilazione)
- Verifica del Registro delle opposizioni — prima di ogni campagna
- Meccanismo di opt-out — chiaro in ogni email
Dati e sicurezza
- Informativa privacy — completa e aggiornata
- Durate di conservazione — definite per ogni categoria di dati
- HTTPS e header di sicurezza — su tutto il sito
- Gateway di pagamento PCI-DSS — certificato e conforme
Audit
- Audit di conformità del sito — Complio (89 EUR +IVA, report PDF in 10 minuti)
Gli strumenti DPLIANCE per la conformità e-commerce
| Obbligo | Strumento | Prezzo |
|---|---|---|
| Gestione cookie conforme | Cookilio | 9 EUR +IVA/mese |
| Analytics senza cookie | Mirage Analytics | 19 EUR/mese |
| Audit di conformità | Complio | 89 EUR +IVA |
FAQ
Cosa sono le Linee guida cookie del Garante?
Le Linee guida cookie e altri strumenti di tracciamento sono un provvedimento del Garante per la protezione dei dati personali, pubblicato il 10 giugno 2021 e in vigore dal 10 gennaio 2022 (provvedimento n. 231). Dettano le regole tecniche e giuridiche per il deposito e la lettura di cookie su siti e app destinati al pubblico italiano. Integrano e specificano il GDPR e la direttiva ePrivacy nel contesto italiano.
Come segnalare una violazione al Garante?
È possibile presentare un reclamo al Garante attraverso il sito ufficiale garanteprivacy.it, compilando il modulo disponibile nella sezione “Diritti”. Il reclamo è gratuito. Il Garante può anche ricevere segnalazioni più informali. In caso di violazione dei dati, il titolare del trattamento deve notificare il Garante entro 72 ore tramite il sistema telematico dedicato.
Un e-commerce deve nominare un DPO?
L’articolo 37 del GDPR impone la nomina del DPO (Responsabile della protezione dei dati) quando il trattamento è effettuato su larga scala e comprende il monitoraggio regolare e sistematico degli interessati. Un e-commerce con profilazione attiva, remarketing e gestione di migliaia di clienti rientra generalmente in questa categoria. In caso di dubbio, il Garante raccomanda la nomina volontaria.
Il soft spam è legale in Italia?
Sì, a condizioni rigorose. L’articolo 130, comma 4, del Codice Privacy consente l’invio di email commerciali a clienti esistenti per prodotti o servizi analoghi a quelli già acquistati, a condizione che: il cliente sia stato informato al momento della raccolta, possa opporsi gratuitamente e facilmente, e i dati non siano ceduti a terzi. Questa eccezione non si applica ai prospect che non hanno mai acquistato.
Quali sono le sanzioni GDPR massime per un e-commerce?
Il GDPR prevede sanzioni fino al 4% del fatturato annuo mondiale o 20 milioni di euro (il valore più alto prevale). Le Linee guida cookie del Garante, in quanto provvedimento attuativo, possono dar luogo a sanzioni autonome. In pratica, le sanzioni del Garante per violazioni cookie oscillano tra 10.000 e 200.000 euro per PMI, ma i casi più gravi superano il milione.
Da leggere anche — Sanzioni GDPR in Italia: bilancio completo | Checklist GDPR sito web | Banner cookie conforme al GDPR | I 10 errori GDPR più comuni
Fonti: Garante per la protezione dei dati personali — Linee guida cookie, Relazione annuale 2024 del Garante, Provvedimento Enel Energia, Registro delle opposizioni, Codice in materia di protezione dei dati personali — D.Lgs. 196/2003, Codice del Consumo — D.Lgs. 206/2005.