Privacy Policy: Template e Obblighi per E-commerce

Introduzione

Un cliente completa l’ordine. Inserisce nome, cognome, indirizzo, email, numero di telefono, carta di credito. Clicca su “Acquista”. In quel momento, il tuo e-commerce diventa titolare del trattamento di dati personali. E con questo ruolo arrivano obblighi precisi: informare l’utente, ottenere il consenso dove necessario, proteggere i dati, garantire i diritti dell’interessato. Tutto questo si traduce in un documento obbligatorio: la privacy policy.

Ma non una privacy policy qualsiasi. Il GDPR impone requisiti specifici. E nel 2026, le autorità europee hanno alzato ulteriormente l’asticella. Il 19 marzo 2026, l’European Data Protection Board (EDPB) ha avviato, nell’ambito del Coordinated Enforcement Framework (CEF), un’azione coordinata dedicata alla verifica del rispetto degli obblighi di trasparenza e di informazione previsti dagli artt. 12-14 GDPR. Venticinque autorità di controllo europee, incluso il Garante Privacy italiano, condurranno ispezioni coordinate per verificare che le privacy policy non siano solo presenti, ma effettivamente comprensibili e aderenti ai trattamenti reali.

A questo si aggiunge una sentenza della Corte di Giustizia UE (C-492/23, 2 dicembre 2025) che ha ridefinito le responsabilità dei marketplace: piattaforme di e-commerce e venditori sono contitolari del trattamento dati, quindi corresponsabili per eventuali violazioni. Chi gestisce un marketplace non può più scaricare la responsabilità su chi pubblica l’annuncio.

Questo articolo è una guida operativa per creare una privacy policy conforme al GDPR per il tuo e-commerce. Troverai gli obblighi specifici, i contenuti obbligatori, i template aggiornati al 2026, e gli errori da evitare per non incorrere in sanzioni fino a 20 milioni di euro.

Tempo di lettura: 9 minuti

Sommario

1. Cos’è la privacy policy e perché è obbligatoria per gli e-commerce
2. Cosa deve contenere una privacy policy conforme al GDPR
3. Le basi giuridiche per il trattamento dati in e-commerce
4. Periodo di conservazione: quanto tempo puoi tenere i dati
5. I diritti degli utenti e come gestire le richieste
6. Novità 2026: AI, marketplace e controlli CEF
7. FAQ - Privacy Policy per E-commerce
8. Il prossimo passo

1. Cos’è la privacy policy e perché è obbligatoria per gli e-commerce

La privacy policy (o informativa privacy) è il documento con cui il titolare del trattamento informa gli utenti su come raccoglie, utilizza, conserva e protegge i loro dati personali. È obbligatoria ai sensi degli articoli 13 e 14 del GDPR per chiunque tratti dati personali - e un e-commerce, per definizione, tratta dati personali. Ogni volta che un utente si registra, effettua un acquisto, si iscrive alla newsletter, contatta l’assistenza clienti, i suoi dati entrano nel sistema.

Perché è obbligatoria?

Il GDPR si basa su un principio fondamentale: la trasparenza. L’interessato (l’utente) ha il diritto di sapere chi tratta i suoi dati, perché, per quanto tempo, con chi vengono condivisi, come può esercitare i propri diritti. L’informativa privacy è lo strumento attraverso cui questo diritto si realizza. Senza informativa, il trattamento non è conforme. E un trattamento non conforme espone a sanzioni amministrative pecuniarie fino a 10 milioni di euro o al 2% del fatturato mondiale annuo (art. 83 par. 4 GDPR) per violazioni degli obblighi informativi, e fino a 20 milioni o 4% del fatturato per violazioni dei principi fondamentali del trattamento (art. 83 par. 5 GDPR).

Chi deve pubblicare una privacy policy:

• E-commerce B2C (vendita diretta ai consumatori)
• E-commerce B2B (vendita ad altre aziende, se trattano dati di persone fisiche come referenti, amministratori, dipendenti)
• Marketplace (piattaforme che ospitano venditori terzi)
• Siti con form di contatto, newsletter, chat, assistenza clienti
• App mobile per lo shopping
• Qualsiasi sito che utilizzi cookie di profilazione, analytics, social plugin

Dove deve essere pubblicata:

• Link visibile nel footer di ogni pagina del sito (dicitura standard: “Privacy Policy” o “Informativa Privacy”)
• Link presente nel form di registrazione, nel checkout, nei form di contatto, nel form newsletter
• Possibilmente accessibile senza necessità di login (trasparenza ex ante)

Un e-commerce che non pubblica la privacy policy, o che pubblica un’informativa incompleta o generica, viola l’art. 13 GDPR. E il Garante Privacy lo sa: la privacy policy è il primo documento che viene richiesto in caso di ispezione o reclamo.

Per approfondire il quadro generale della protezione dati e delle responsabilità normative, leggi l’articolo pillar su GDPR e Privacy: geolocalizzazione, tracciamento e normativa.

2. Cosa deve contenere una privacy policy conforme al GDPR

Una privacy policy conforme al GDPR deve contenere le informazioni elencate negli articoli 13 e 14 del Regolamento. Non è sufficiente una dichiarazione generica (“rispettiamo la tua privacy”). Serve un documento strutturato che risponda a domande precise.

Elementi obbligatori:

1. Identità e dati di contatto del titolare del trattamento

Indicare la denominazione sociale o ragione sociale dell’azienda, sede legale, email, telefono. Se il titolare ha nominato un Data Protection Officer (DPO), indicare anche il suo nome e contatti. Esempio: > Titolare del trattamento: Nome Azienda Srl, con sede in Via X, 00100 Roma, P.IVA 12345678901, email: privacy@azienda.it, tel: +39 06 12345678. Data Protection Officer: Dott. Mario Rossi, email: dpo@azienda.it.

2. Finalità del trattamento e base giuridica

Per ogni categoria di dati raccolta, specificare perché vengono raccolti e su quale base giuridica (consenso, esecuzione contratto, obbligo legale, legittimo interesse). Esempio: > I dati di contatto (nome, cognome, email, indirizzo, telefono) vengono raccolti per l’esecuzione del contratto di vendita (art. 6 par. 1 lett. b GDPR): senza questi dati non possiamo spedirti il prodotto. I dati di pagamento (numero carta, intestatario) vengono trattati dal nostro fornitore di servizi di pagamento per finalità di antifrode e conformità agli obblighi di legge (art. 6 par. 1 lett. c GDPR).

3. Categorie di dati raccolti

Elencare quali dati vengono raccolti. Esempio: > Dati anagrafici: nome, cognome, codice fiscale. Dati di contatto: email, telefono, indirizzo. Dati di pagamento: numero carta, intestatario carta (trattati dal gateway di pagamento, non conservati sui nostri server). Dati di navigazione: cookie tecnici, analytics. Dati di preferenze: prodotti visualizzati, categorie di interesse (se utilizzati per profilazione, con consenso).

4. Periodo di conservazione

Indicare per quanto tempo conserverete i dati. Esempio: > I dati relativi agli ordini completati vengono conservati per 10 anni dalla data dell’acquisto, per conformità agli obblighi fiscali (conservazione fatture ex D.P.R. 633/1972). I dati degli utenti registrati ma che non hanno mai effettuato acquisti vengono conservati per 2 anni dall’ultima attività, poi cancellati. I consensi marketing vengono conservati per 24 mesi dall’ultima interazione, poi richiesto rinnovo.

5. Destinatari dei dati

Indicare chi può accedere ai dati. Esempio: > I tuoi dati possono essere comunicati a: corrieri e spedizionieri per la consegna dei prodotti (es. DHL, GLS); fornitori di servizi di pagamento (es. Stripe, PayPal) per l’elaborazione delle transazioni; fornitori di servizi cloud per l’hosting del sito (es. AWS); consulenti fiscali e legali per adempimenti obbligatori; autorità pubbliche su richiesta legale.

6. Trasferimenti extra-UE

Se i dati vengono trasferiti fuori dall’Unione Europea, indicare quali garanzie sono in atto (clausole contrattuali standard, adequacy decision, binding corporate rules). Esempio: > Alcuni nostri fornitori (es. AWS, Google Analytics) possono trasferire i dati in paesi extra-UE. I trasferimenti sono effettuati nel rispetto delle clausole contrattuali standard approvate dalla Commissione europea e, ove applicabile, dell’adeguatezza riconosciuta al Data Privacy Framework UE-USA per i fornitori che vi hanno validamente aderito.

7. Diritti dell’interessato

Elencare i diritti che l’utente può esercitare (accesso, rettifica, cancellazione, limitazione, opposizione, portabilità, revoca consenso, reclamo al Garante). Indicare come esercitarli (email, form online). Esempio: > Puoi esercitare i seguenti diritti: accedere ai tuoi dati (richiedere una copia); rettificare dati errati o incompleti; cancellare i tuoi dati (diritto all’oblio), nei limiti degli obblighi di legge; limitare il trattamento in caso di contestazione; opporti al trattamento per finalità di marketing; richiedere la portabilità dei dati; revocare il consenso in qualsiasi momento. Per esercitare i tuoi diritti, scrivi a privacy@azienda.it.

8. Diritto di reclamo

Informare l’utente che può presentare reclamo al Garante Privacy. Esempio: > Hai il diritto di presentare reclamo all’Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) se ritieni che il trattamento dei tuoi dati violi il GDPR.

9. Decisioni automatizzate e profilazione

Se l’e-commerce utilizza sistemi automatizzati per decisioni che producono effetti giuridici o incidono significativamente sull’utente (es. algoritmi di pricing dinamico, sistemi anti-frode che bloccano ordini), deve informare l’utente. Esempio: > Utilizziamo un sistema automatizzato di rilevamento frodi che analizza i dati di pagamento e l’indirizzo IP per identificare transazioni sospette. In caso di rischio elevato, l’ordine può essere bloccato temporaneamente per verifica manuale.

3. Le basi giuridiche per il trattamento dati in e-commerce

Il GDPR prevede che ogni trattamento di dati personali debba avere una base giuridica valida (art. 6 par. 1). Non puoi raccogliere dati “perché ti servono”. Devi avere una delle sei basi giuridiche previste dal Regolamento. Per un e-commerce, le più rilevanti sono tre:

1. Esecuzione di un contratto (art. 6 par. 1 lett. b)

Quando un utente effettua un acquisto, sta stipulando un contratto di vendita con il tuo e-commerce. Per eseguire quel contratto, devi raccogliere i suoi dati: nome, indirizzo di spedizione, email per conferme d’ordine, dati di pagamento. Questi dati non richiedono consenso, perché sono necessari per adempiere al contratto. Se l’utente non fornisce questi dati, non puoi spedirgli il prodotto.

Rientrano in questa base giuridica: - Dati di fatturazione e spedizione - Email per comunicazioni relative all’ordine (conferma, tracking, assistenza post-vendita) - Storico acquisti (necessario per gestire resi, garanzie, contestazioni)

2. Consenso (art. 6 par. 1 lett. a)

Quando raccogli dati per finalità non necessarie all’esecuzione del contratto, serve il consenso esplicito dell’utente. Esempio: newsletter marketing, profilazione per pubblicità personalizzata, condivisione dati con partner commerciali per offerte promozionali.

Il consenso deve essere: - Libero (non condizionare l’acquisto all’accettazione di newsletter) - Specifico (separare il consenso per newsletter dal consenso per profilazione) - Informato (spiegare cosa comporta il consenso) - Inequivocabile (checkbox non pre-spuntata, richiesta di azione positiva)

3. Obbligo legale (art. 6 par. 1 lett. c)

Quando la legge ti obbliga a conservare o trattare certi dati, non serve consenso. Esempio: conservazione fatture per 10 anni (obbligo fiscale ex D.P.R. 633/1972), comunicazione dati all’Agenzia delle Entrate per esterometro o fatturazione elettronica, conservazione dati di pagamento per normativa antiriciclaggio (D.Lgs. 231/2007).

Tabella riepilogativa:

Finalità	Base giuridica	Esempio
Esecuzione ordine	Art. 6 par. 1 lett. b (contratto)	Nome, indirizzo spedizione, email conferma ordine
Newsletter marketing	Art. 6 par. 1 lett. a (consenso)	Email per invio offerte promozionali
Profilazione pubblicitaria	Art. 6 par. 1 lett. a (consenso)	Dati di navigazione, preferenze prodotto per pubblicità personalizzata
Conservazione fatture	Art. 6 par. 1 lett. c (obbligo legale)	Dati fattura conservati 10 anni per normativa fiscale
Antiriciclaggio	Art. 6 par. 1 lett. c (obbligo legale)	Dati pagamento conservati per normativa antiriciclaggio
Assistenza clienti	Art. 6 par. 1 lett. b (contratto) o art. 6 par. 1 lett. f (legittimo interesse)	Email e chat con supporto clienti

Legittimo interesse (art. 6 par. 1 lett. f):

È una base giuridica che può essere utilizzata quando il trattamento è necessario per perseguire un interesse legittimo del titolare, purché tale interesse non prevalga sui diritti e libertà dell’interessato. Esempio: fraud detection (sistemi anti-frode), sicurezza informatica, gestione reclami. Attenzione: il legittimo interesse deve essere bilanciato e documentato (preferibilmente in una Legitimate Interest Assessment, LIA). Non può essere usato come scappatoia per evitare il consenso nel marketing.

4. Periodo di conservazione: quanto tempo puoi tenere i dati

Il GDPR impone il principio di limitazione della conservazione (art. 5 par. 1 lett. e): i dati devono essere conservati solo per il tempo necessario alle finalità per cui sono stati raccolti. “Per sempre” non è un periodo di conservazione ammissibile. Devi definire termini precisi e indicarli nella privacy policy.

Come stabilire il periodo di conservazione:

1. Verifica gli obblighi di legge. Alcune normative impongono termini minimi o massimi di conservazione. Esempio: fatture devono essere conservate 10 anni (D.P.R. 633/1972), contratti e documenti commerciali possono essere conservati per i termini di prescrizione civilistica (10 anni ex art. 2946 c.c.).
2. Considera le finalità del trattamento. Se conservi i dati per invio newsletter marketing, un termine ragionevole è 24 mesi dall’ultima interazione (apertura email, clic). Se conservi dati per gestione garanzie, il termine è 2 anni dalla vendita del prodotto (durata garanzia legale ex Codice del Consumo).
3. Bilancia esigenze aziendali e diritti dell’utente. Conservare i dati “per ogni evenienza” non è ammissibile. Se non hai una ragione concreta per conservare un dato, cancellalo.

Tabella periodi di conservazione comuni:

Tipo di dato	Periodo di conservazione	Motivazione
Dati ordini completati	10 anni	Obbligo conservazione fatture + prescrizione civilistica
Dati utenti registrati senza ordini	2 anni dall’ultima attività	Presunzione abbandono account
Consensi newsletter marketing	24 mesi dall’ultima interazione	Decadimento interesse, richiesta rinnovo
Dati contatti assistenza clienti	5 anni	Gestione reclami + prescrizione breve (art. 2947 c.c.)
Log accessi e sicurezza	6-12 mesi	Necessità investigazione incident, poi anonimizzazione
Cookie analytics	26 mesi	Linee guida Garante cookie

Conservazioni diverse per lo stesso dato:

È possibile (e spesso necessario) conservare lo stesso dato per periodi diversi a seconda della finalità. Esempio: l’email di un cliente può essere conservata per 10 anni come parte della fattura (obbligo fiscale), ma solo per 24 mesi per finalità marketing. Dopo 24 mesi, l’email resta nella fattura ma viene rimossa dalla mailing list marketing.

Cosa succede alla scadenza:

I dati devono essere cancellati o anonimizzati. L’anonimizzazione è irreversibile: il dato non può più essere ricondotto a una persona identificata o identificabile. In pratica, molti e-commerce cancellano fisicamente i dati personali dai database o li sostituiscono con pseudonimi irrecuperabili.

5. I diritti degli utenti e come gestire le richieste

Il GDPR attribuisce agli interessati (gli utenti del tuo e-commerce) una serie di diritti che puoi esercitare in qualsiasi momento. Come titolare del trattamento, hai l’obbligo di rispondere alle richieste entro un mese dalla ricezione (prorogabile di due mesi per richieste complesse, previa comunicazione).

I diritti principali:

1. Diritto di accesso (art. 15 GDPR)

L’utente può chiedere una copia dei dati personali che conservi su di lui. Devi fornire: quali dati hai, per quali finalità, per quanto tempo li conserverai, a chi li hai comunicati, da dove provengono (se non li hai raccolti direttamente), se esiste un processo decisionale automatizzato.

Modalità di risposta: file PDF o CSV con estratto dei dati, oppure accesso a un’area riservata dove l’utente può visualizzare i propri dati.

2. Diritto di rettifica (art. 16 GDPR)

L’utente può chiedere la correzione di dati errati o incompleti. Esempio: ha cambiato indirizzo, ha un refuso nel cognome, vuole aggiungere un numero di telefono alternativo.

Modalità di risposta: correggere i dati entro un mese, confermare all’utente l’avvenuta rettifica.

3. Diritto alla cancellazione / diritto all’oblio (art. 17 GDPR)

L’utente può chiedere la cancellazione dei suoi dati quando: - I dati non sono più necessari rispetto alle finalità - L’utente revoca il consenso e non esiste altra base giuridica - L’utente si oppone al trattamento basato su legittimo interesse - I dati sono stati trattati illecitamente - La cancellazione è richiesta da un obbligo di legge

Attenzione: non sei obbligato a cancellare i dati se: sono necessari per adempiere a un obbligo legale (es. fatture), per l’accertamento o la difesa di un diritto in sede giudiziaria, per eseguire un contratto ancora in essere. Esempio: un utente con ordini completati negli ultimi 10 anni non può pretendere la cancellazione delle fatture (obbligo fiscale).

4. Diritto di limitazione (art. 18 GDPR)

L’utente può chiedere di “congelare” i suoi dati in caso di: contestazione sull’esattezza dei dati (fino a verifica), trattamento illecito ma l’utente preferisce limitazione alla cancellazione, necessità di conservare i dati per difesa in giudizio. Durante la limitazione, i dati non possono essere trattati, solo conservati.

5. Diritto di opposizione (art. 21 GDPR)

L’utente può opporsi al trattamento basato su legittimo interesse o per finalità di marketing diretto. L’opposizione al marketing diretto è sempre vincolante: se l’utente dice “basta email promozionali”, devi smettere immediatamente. L’opposizione a trattamenti basati su legittimo interesse richiede una valutazione caso per caso: devi bilanciare i tuoi interessi legittimi con i diritti dell’utente.

6. Diritto alla portabilità (art. 20 GDPR)

L’utente può richiedere i suoi dati in formato strutturato, di uso comune e leggibile da dispositivo automatico (es. CSV, JSON), e può chiedere il trasferimento diretto a un altro titolare (se tecnicamente fattibile). Questo diritto si applica solo ai dati forniti dall’utente e trattati su base consenso o contratto.

Come gestire le richieste:

1. Verifica l’identità dell’utente. Prima di fornire dati o cancellarli, accertati che la richiesta provenga davvero dall’interessato. Richiedi documenti d’identità, codici OTP inviati via email registrata, o accesso tramite account autenticato.
2. Rispondi entro 30 giorni. Il termine è perentorio. Se hai bisogno di più tempo (max 60 giorni aggiuntivi), comunicalo entro i primi 30 giorni spiegando perché.
3. Documenta tutto. Conserva le richieste ricevute e le risposte inviate. In caso di contestazione o ispezione del Garante, dovrai dimostrare di aver gestito correttamente le richieste.
4. Non addebitare costi. La risposta alle richieste è gratuita. Puoi addebitare un costo solo se la richiesta è manifestamente infondata o eccessiva (es. ripetizioni continue della stessa richiesta).

6. Novità 2026: AI, marketplace e controlli CEF

Il 2026 porta tre novità rilevanti per la privacy policy degli e-commerce: l’obbligo di dichiarare sistemi AI, la ridefinizione delle responsabilità nei marketplace, e i controlli coordinati delle autorità europee sulla qualità delle informative.

1. Intelligenza Artificiale: obbligo di trasparenza

Sempre più e-commerce utilizzano sistemi di AI per migliorare l’esperienza utente: chatbot per assistenza clienti (es. ChatGPT integrato), sistemi di raccomandazione prodotti, algoritmi di pricing dinamico, fraud detection automatico. Il GDPR già impone trasparenza sulle decisioni automatizzate (artt. 13, 14 e 22 GDPR). Per essere conforme alle norme di trasparenza e alle nuove iniziative europee e nazionali su AI e protezione dati, è opportuno dichiarare esplicitamente nella privacy policy: - Quali strumenti di AI utilizzi (nome del sistema, fornitore) - Quali dati personali vengono trattati da questi strumenti - Per quali finalità (marketing, assistenza, personalizzazione, sicurezza) - Quali diritti hanno gli utenti (possibilità di richiedere intervento umano, contestare una decisione automatizzata)

Esempio di paragrafo da inserire in privacy policy: > Utilizzo di Intelligenza Artificiale: Il nostro e-commerce utilizza un assistente virtuale basato su ChatGPT (fornitore: OpenAI) per rispondere alle domande dei clienti in tempo reale. Il chatbot ha accesso ai dati del tuo ordine (numero ordine, stato spedizione, prodotti acquistati) e alla cronologia delle tue conversazioni con l’assistenza. I dati non vengono utilizzati da OpenAI per addestrare modelli. Puoi sempre richiedere di parlare con un operatore umano.

2. Marketplace e contitolarità del trattamento: sentenza UE C-492/23

Il 2 dicembre 2025, la Corte di Giustizia dell’Unione europea, nella causa C-492/23, ha precisato e rafforzato le responsabilità privacy dei gestori di marketplace online. Fino a quel momento, molte piattaforme si consideravano “meri intermediari tecnici”, scaricando la responsabilità del trattamento dati sui venditori. La Corte ha chiarito che il gestore del marketplace deve essere qualificato come titolare del trattamento ai sensi dell’art. 4, punto 7, GDPR e che, nei casi in cui piattaforma e venditori determinano congiuntamente finalità e mezzi del trattamento, si configura una contitolarità ai sensi dell’art. 26 GDPR quando: - La piattaforma guadagna economicamente dalla pubblicazione degli annunci (commissioni, visibilità a pagamento) - La piattaforma definisce tecnicamente come, dove e quando i dati vengono resi pubblici (layout annunci, regole pubblicazione, visibilità)

Cosa significa per chi gestisce un marketplace: - Devi stipulare un accordo di contitolarità con i venditori (art. 26 GDPR), definendo chi fa cosa - Devi aggiornare la privacy policy spiegando che sei contitolare insieme ai venditori - Non puoi più scaricare la responsabilità in caso di violazioni: sei corresponsabile

Cosa significa per chi vende su marketplace: - Devi aggiornare la tua privacy policy specificando che sei contitolare con la piattaforma - Devi coordinarti con la piattaforma per gestire le richieste degli utenti (accesso, cancellazione, etc.)

3. Coordinated Enforcement Framework (CEF) 2026: controlli su trasparenza

Il 19 marzo 2026, l’European Data Protection Board (EDPB) ha avviato, nell’ambito del Coordinated Enforcement Framework (CEF), un’azione coordinata cui partecipano 25 autorità di controllo europee (incluso il Garante Privacy italiano) per verificare il rispetto degli obblighi di trasparenza e informazione previsti dagli artt. 12-14 GDPR, con particolare attenzione alla qualità e chiarezza delle informative privacy. Il focus non è più solo sulla presenza formale della privacy policy, ma sulla sua intelligibilità e aderenza ai trattamenti reali.

Le autorità verificheranno: - La privacy policy è scritta in linguaggio chiaro e comprensibile? - Descrive realmente i trattamenti effettuati, o è generica e copiata da template? - L’utente può effettivamente capire quali sono i suoi diritti e come esercitarli? - Le finalità e le basi giuridiche sono spiegate in modo trasparente?

Tradotto: una privacy policy scritta in legalese incomprensibile, anche se formalmente completa, può essere sanzionata. Una privacy policy che dichiara di “conservare i dati per il tempo necessario” senza specificare i termini concreti, può essere sanzionata. Una privacy policy che elenca “finalità di marketing” senza spiegare cosa comporta (newsletter? profilazione? pubblicità personalizzata?) può essere sanzionata.

FAQ - Privacy Policy per E-commerce

1. La privacy policy è obbligatoria anche se vendo solo B2B?

Sì, se tratti dati di persone fisiche. Anche in un contesto B2B, i tuoi clienti sono aziende rappresentate da persone fisiche: amministratori, referenti, dipendenti. Quando raccogli nome, cognome, email, telefono del referente aziendale, stai trattando dati personali. Serve quindi la privacy policy. Attenzione però: se tratti solo dati aziendali (es. P.IVA, ragione sociale, PEC aziendale senza nominativi), il GDPR non si applica. In pratica, quasi sempre serve la privacy policy anche nel B2B.

2. Posso usare un template gratuito trovato online?

Puoi usarlo come base, ma devi personalizzarlo. Un template generico non descrive i trattamenti specifici del tuo e-commerce. Devi adattarlo indicando: il tuo gateway di pagamento (Stripe? PayPal? Nexi?), i corrieri che usi, i fornitori cloud, i tool analytics, i sistemi AI se presenti, i periodi di conservazione reali, le tue procedure per gestire le richieste degli utenti. Una privacy policy copiata senza adattamenti non protegge dalle sanzioni e può esporre a maggiori rischi se dichiara cose che non fai o omette cose che fai.

3. Devo aggiornare la privacy policy ogni volta che cambio un fornitore?

Sì. Se sostituisci il corriere, cambi gateway di pagamento, aggiungi un nuovo tool analytics o un chatbot AI, devi aggiornare la privacy policy. Il principio di trasparenza richiede che l’informativa rifletta i trattamenti attuali. In pratica, molti e-commerce indicano categorie generiche (“fornitori di servizi di spedizione”, “fornitori di servizi di pagamento”) e aggiornano la policy solo per cambiamenti sostanziali (es. introduzione profilazione, trasferimenti extra-UE). Ma la regola di massima è: ogni modifica rilevante richiede aggiornamento.

4. Serve il consenso per conservare i dati degli ordini?

No. I dati relativi agli ordini (nome, indirizzo, email, prodotti acquistati) vengono conservati su base giuridica “esecuzione contratto” (art. 6 par. 1 lett. b GDPR) e “obbligo legale” per le fatture (art. 6 par. 1 lett. c GDPR). Non serve consenso. Serve invece consenso per: newsletter marketing, profilazione pubblicitaria, condivisione dati con partner commerciali per offerte promozionali. Attenzione però: l’utente può comunque richiedere la cancellazione dei dati quando non più necessari. Esempio: dopo 10 anni dalla data della fattura, i dati possono essere cancellati.

5. Cosa succede se un utente richiede la cancellazione ma ho obbligo di conservare i dati per legge?

Prevale l’obbligo legale. Devi spiegare all’utente che non puoi cancellare i dati perché tenuto per legge a conservarli (es. fatture per 10 anni). Fornisci il riferimento normativo specifico (es. D.P.R. 633/1972). L’utente può contestare la tua risposta presentando reclamo al Garante, ma se la motivazione è fondata, la richiesta di cancellazione non può essere accolta. Attenzione però: puoi cancellare i dati non coperti da obbligo legale. Esempio: cancelli l’utente dalla mailing list marketing, ma conservi la fattura.

6. Chi deve nominare un DPO (Data Protection Officer)?

L’art. 37 GDPR obbliga a nominare un DPO quando: il trattamento è effettuato da autorità o enti pubblici; le attività principali del titolare consistono in trattamenti che richiedono monitoraggio regolare e sistematico degli interessati su larga scala; le attività principali consistono nel trattamento su larga scala di dati sensibili (salute, orientamento sessuale, convinzioni religiose, dati genetici/biometrici). Un e-commerce “normale” (B2C, senza dati sensibili) non è obbligato a nominare il DPO. Molti lo nominano comunque per scelta, per rafforzare la compliance. Se nomini un DPO, devi indicarlo nella privacy policy.

7. Devo tenere un registro delle attività di trattamento?

Sì, se la tua organizzazione ha più di 250 dipendenti, oppure se i trattamenti non sono occasionali, possono comportare un rischio per i diritti degli interessati, o includono dati sensibili (art. 30 GDPR). Un e-commerce che tratta quotidianamente dati di clienti, anche se ha meno di 250 dipendenti, rientra nell’obbligo. Il registro deve documentare: finalità del trattamento, categorie di interessati e di dati, destinatari, trasferimenti extra-UE, termini di conservazione, misure di sicurezza. È un documento interno, non va pubblicato online.

8. Marketplace: come funziona la contitolarità dopo la sentenza UE 2025?

Piattaforma e venditore possono essere contitolari del trattamento dati (art. 26 GDPR) quando determinano congiuntamente finalità e mezzi del trattamento, secondo i criteri indicati dalla sentenza C-492/23 della Corte di Giustizia UE. Devono stipulare un accordo che definisce: chi risponde alle richieste degli utenti (solitamente la piattaforma come primo punto di contatto, poi inoltro al venditore se necessario); chi implementa le misure di sicurezza; come si dividono le responsabilità in caso di data breach. Nella pratica: se un utente chiede la cancellazione dei suoi dati, può rivolgersi sia alla piattaforma sia al venditore. Entrambi devono coordinarsi per garantire la cancellazione completa.

Il prossimo passo

La privacy policy non è un documento statico da scrivere una volta e dimenticare. È un impegno continuo: ogni nuovo tool, ogni nuovo fornitore, ogni modifica nei trattamenti richiede un aggiornamento. E nel 2026, con i controlli CEF in corso, la qualità e la chiarezza della tua privacy policy sono sotto la lente delle autorità europee.

Se gestisci un e-commerce, il prossimo passo è una verifica strutturata della tua privacy policy:

1. Controlla che sia presente e accessibile da ogni pagina del sito (link nel footer)
2. Verifica i contenuti obbligatori: identità titolare, finalità, basi giuridiche, periodi conservazione, destinatari, diritti utente
3. Aggiorna per sistemi AI: se usi chatbot, algoritmi di raccomandazione, fraud detection, dichiaralo esplicitamente
4. Marketplace: stipula accordo contitolarità con i venditori se gestisci una piattaforma
5. Testa la comprensibilità: leggi la tua privacy policy come se fossi un utente. È chiara? È scritta in italiano comprensibile o in legalese?
6. Implementa procedure per gestire richieste utenti: accesso, rettifica, cancellazione, opposizione devono essere gestibili entro 30 giorni

Per approfondire il quadro completo della conformità privacy e GDPR, inclusa la gestione di cookie e tracciamento, leggi l’articolo su GDPR e Privacy: geolocalizzazione, tracciamento e normativa.

Per una consulenza personalizzata sulla privacy policy del tuo e-commerce, contatta il team SILAQ.
silaq.store/contattaci | Tel: +39 02 250 341

Disclaimer

Il presente articolo ha finalità informativa e non costituisce consulenza legale. La normativa in materia di privacy e protezione dati è soggetta a evoluzioni interpretative. Per valutazioni specifiche sul proprio caso, si raccomanda di rivolgersi a un consulente specializzato in diritto della privacy e protezione dati personali.

Ultimo aggiornamento: 08/05/2026

Redazione SILAQ - Team Formazione e Compliance