GDPR E-commerce 2026: 7 Errori del Garante

← Blog Fondamenti del GDPR E-commerce
9 min di lettura
WebLegal Team

Gratuito · Senza registrazione · Risultato in 30 secondi

Il Garante Privacy include l’e-commerce nel suo programma annuale di controlli tematici dal 2022, e il numero di provvedimenti pubblici contro i negozi online cresce di anno in anno. A livello europeo, l’importo medio delle sanzioni si è quasi raddoppiato in due anni. Il motivo è strutturale: i negozi online raccolgono volumi importanti di dati personali (pagamento, indirizzo, storico degli acquisti) e sono spesso meno maturi giuridicamente delle grandi piattaforme. Risultato: l’e-commerce occupa una posizione prioritaria nel programma di controllo annuale del Garante.

Se gestisce un e-commerce, i sette errori seguenti sono quelli che sistematicamente collocano i siti nella lista prioritaria del Garante. Questo articolo descrive ciascuno con i riferimenti giuridici precisi e le correzioni concrete. Inizi analizzando gratuitamente il suo negozio con uno scanner di conformità per identificare le sue lacune, poi segua il piano d’azione GDPR in 10 passi per correggerle.

Perché il Garante prende di mira l’e-commerce

Ogni anno il Garante pubblica un programma di controlli tematici. Dal 2022, l’e-commerce è sempre nella lista, accanto alla sanità digitale e al direct marketing. Le ragioni sono strutturali.

Volume: un e-commerce medio raccoglie più di 30 categorie di dati per cliente (identità, pagamento, comportamento di navigazione, preferenze, geolocalizzazione). Moltiplicato per decine di migliaia di clienti, l’esposizione è considerevole.

Tracciabilità del percorso utente: cookie di terze parti, pixel pubblicitari, retargeting, marketing automation. Ogni strumento aggiunto indebolisce il quadro del consenso.

Subappalto: tra l’hosting, la piattaforma (Shopify, WooCommerce, PrestaShop), il gestore del pagamento, lo strumento di email marketing e la soluzione di scoring, un e-commerce medio ha tra 8 e 15 responsabili del trattamento. La mappatura è raramente aggiornata.

Trasferimenti internazionali: Google Analytics, Mailchimp, Stripe, AWS — molti servizi ospitati negli Stati Uniti richiedono garanzie contrattuali specifiche (clausole contrattuali tipo, misure supplementari post-Schrems II).

È l’errore più frequente, e il più facilmente individuabile dall’esterno. Un banner cookie deve rispettare tre requisiti cumulativi (linee guida del Comitato Europeo per la Protezione dei Dati + provvedimento Garante 10 giugno 2021):

  • Consenso libero: rifiutare deve essere semplice quanto accettare. Un pulsante “Accetta tutto” senza un pulsante “Rifiuta tutto” di pari visibilità è un’infrazione.
  • Consenso specifico: per finalità (pubblicità, misurazione del pubblico, personalizzazione), non globale.
  • Consenso preventivo: nessun cookie di terze parti può essere installato prima del clic.

Sanzioni recenti: il Garante italiano, la CNIL francese e l’AEPD spagnola hanno sanzionato grandi piattaforme con multe da 60 a 150 milioni di euro su questi soli motivi. Per le PMI, le sanzioni oscillano tipicamente tra 20 000 € e 200 000 € a seconda della dimensione dell’azienda e della durata della non conformità.

La correzione: implementare un banner cookie conforme con auto-blocco dei tracker prima del consenso. Il banner cookie gratuito WebLegal blocca automaticamente più di 37 tracker e rispetta i provvedimenti del Garante e Google Consent Mode v2.

Errore 2: Privacy policy generica o assente

Una parte significativa dei siti e-commerce italiani controllati negli ultimi anni non aveva una privacy policy conforme. Le carenze più frequenti:

  • Avvisi copiati-incollati da un altro sito senza adattamenti ai flussi reali di dati.
  • Tempi di conservazione non specificati per categoria di dato.
  • Lista dei responsabili del trattamento assente o non aggiornata.
  • Basi giuridiche del trattamento non precisate (consenso, contratto, legittimo interesse, obbligo legale).

L’articolo 13 del GDPR impone 12 menzioni obbligatorie quando i dati sono raccolti direttamente dall’interessato. L’omissione di una sola costituisce una violazione, anche se il sito è per il resto sicuro.

La correzione: generare una privacy policy adattata alla sua attività reale. Eviti i modelli generici. Per comprendere gli obblighi precisi, consulti il nostro articolo Privacy policy obbligatoria: rischi e sanzioni.

Errore 3: Note legali incomplete

Le note legali su un sito e-commerce sono regolate dal Codice del Consumo (D.Lgs. 206/2005, articolo 49 sui contratti a distanza), dal D.Lgs. 70/2003 (e-commerce) e, per i dati personali, dal GDPR e dal Codice Privacy (D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018). Devono includere:

  • Identità del venditore (nome, denominazione sociale, forma giuridica)
  • Sede legale e indirizzo email professionale
  • Numero di telefono
  • Numero REA e capitale sociale per le società
  • Partita IVA
  • Identità del direttore della pubblicazione
  • Dati del fornitore di hosting

Le sanzioni variano: in Italia, l’assenza delle note legali può essere sanzionata dall’AGCM (Autorità Garante della Concorrenza e del Mercato) o, per gli aspetti consumeristici, fino a 50 000 € secondo il Codice del Consumo. Per i dati personali specificamente, il Garante interviene sotto il GDPR. Per maggiori dettagli, veda la nostra guida Note legali: multa di 75 000 € se assenti.

Errore 4: Trasferimenti fuori dall’UE non regolati

Dalla sentenza Schrems II (luglio 2020), ogni trasferimento di dati verso gli Stati Uniti (e altri paesi senza decisione di adeguatezza) deve essere regolato da garanzie specifiche:

  • Clausole Contrattuali Tipo (SCC), versione giugno 2021 — le versioni precedenti non sono più valide dal 27 dicembre 2022.
  • Valutazione d’Impatto del Trasferimento (TIA) documentata.
  • Misure supplementari quando le SCC da sole non bastano (cifratura, pseudonimizzazione).

Strumenti concreti coinvolti nell’e-commerce:

ServizioRischioMisura
Google Analytics 4Sanzionato dal Garante/CNIL/AEPD nel 2022-2023Attivare l’anonimizzazione IP + Consent Mode v2, o migrare a Matomo / Plausible
MailchimpHosting USASCC + audit annuale, o alternativa UE (Brevo, Mailjet)
StripeHosting parzialmente USASCC attive di default, verificare la versione
AWS / GCPSecondo la regione sceltaPreferire eu-west-* / europe-west-*

La correzione: fare l’inventario dei responsabili, verificare le SCC e considerare alternative europee per gli strumenti non critici. Specificamente per Google Analytics, veda la nostra guida Google Analytics e GDPR: alternative conformi.

Errore 5: Responsabili del trattamento senza contratto

L’articolo 28 del GDPR impone un contratto scritto (Data Processing Agreement) tra il titolare del trattamento (lei) e ogni responsabile che accede ai dati personali dei suoi clienti. Il contratto deve contenere 9 clausole obbligatorie: oggetto, durata, finalità, tipi di dati, obblighi del responsabile, diritti del titolare, trasferimenti fuori dall’UE, sub-trattamento, clausole di fine.

Le piattaforme principali (Shopify, Stripe, AWS, Mailchimp) forniscono un Data Processing Agreement standard firmato online. Il dettaglio: bisogna effettivamente firmarlo e archiviarlo. Il Garante richiede sistematicamente questi accordi durante un controllo. L’assenza dell’accordo per un solo responsabile può bastare per attivare un richiamo formale.

La correzione: tenere un registro dei responsabili con, per ogni voce: tipi di dati trattati, paese di hosting, data di firma del Data Processing Agreement, link al contratto archiviato. Aggiornare a ogni nuovo strumento.

Errore 6: Assenza di processo per i diritti degli interessati

Il GDPR garantisce ai clienti sette diritti opponibili: accesso, rettifica, cancellazione, limitazione, portabilità, opposizione e diritti sulle decisioni automatizzate (articoli da 15 a 22). L’azienda deve rispondere entro un mese massimo (estensibile a tre mesi per richieste complesse).

In pratica, il Garante constata regolarmente:

  • Nessun indirizzo email dedicato alle richieste (l’email generica del contatto non basta).
  • Nessuna procedura interna documentata: le richieste si trascinano o vengono dimenticate.
  • Risposta incompleta: per esempio, a una richiesta di accesso, l’azienda invia un’esportazione dei dati dell’account cliente ma dimentica i log di connessione, i dati di pagamento archiviati o le email marketing ricevute.
  • Nessuna verifica dell’identità del richiedente, o al contrario, richieste eccessive (copia sistematica del documento).

La correzione: creare un indirizzo dpo@suosito.it o privacy@suosito.it, documentare il processo interno (chi riceve, chi valida, chi risponde, in quale tempistica), e verificare la formazione periodica del team.

Errore 7: Violazioni di sicurezza non notificate entro 72h

L’articolo 33 del GDPR impone la notifica di una violazione di dati al Garante entro 72 ore dalla presa di conoscenza, salvo che la violazione non sia suscettibile di generare un rischio per i diritti e le libertà delle persone. Se il rischio è elevato, l’articolo 34 impone in più una notifica individuale ai clienti coinvolti.

Nell’e-commerce, le violazioni più frequenti:

  • Fuga della base clienti per bug di esportazione (URL pubblica errata).
  • Accesso non autorizzato in seguito a compromissione dell’account admin.
  • Furto di dati per SQL injection o XSS.
  • Errore di invio massivo (email contenente in allegato la base clienti).

Il Garante constata regolarmente che gli e-commerce, per ignoranza o per timore d’immagine, non notificano nei tempi. È un fattore aggravante: le sanzioni diventano sostanzialmente più pesanti che per una violazione inizialmente minore segnalata in tempo.

La correzione: preparare a monte un protocollo di notifica (modello di lettera al Garante, team responsabile, registro delle violazioni). Il Garante mette a disposizione un formulario di notifica online dedicato.

Come mettersi in conformità rapidamente

I sette errori sopra si correggono in meno di una settimana per la maggior parte delle PMI. La sequenza raccomandata:

  1. Giorno 1: audit dell’esistente tramite uno scanner automatico di conformità per identificare gli errori pubblici (cookie, note legali, privacy policy).
  2. Giorno 2: generare o aggiornare i documenti legali (privacy policy, note legali, condizioni di vendita) con uno strumento specializzato.
  3. Giorno 3: implementare un banner cookie conforme con auto-blocco.
  4. Giorno 4: fare l’inventario dei responsabili e verificare i Data Processing Agreement.
  5. Giorno 5: creare l’indirizzo dedicato ai diritti + documentare il processo interno.
  6. Giorno 6-7: preparare il protocollo di notifica delle violazioni e formare il team.

Per le sanzioni in caso di controllo, veda i nostri dossier Sanzioni GDPR: top 15 sanzioni del Garante in Italia o la nostra guida Sito non conforme GDPR: fino a 300 000 € di multa.

FAQ

Il Garante controlla a campione o solo su denuncia?

Entrambi. La maggioranza dei controlli segue una denuncia (cliente, concorrente, associazione). Il resto sono controlli tematici annuali (e-commerce, sanità, settore pubblico) o controlli di follow-up dopo un richiamo precedente.

Qual è la sanzione media per una PMI e-commerce italiana nel 2026?

Per PMI (fatturato < 5 M€), la fascia tipica è tra 5 000 € e 50 000 €. Per le aziende mid-market, tra 50 000 € e 500 000 €. Le sanzioni di diversi milioni riguardano soprattutto le grandi piattaforme o le violazioni deliberate.

Serve un Data Protection Officer (DPO) per un e-commerce?

Non sempre. Il DPO è obbligatorio se tratta dati su larga scala (articolo 37 del GDPR). Un e-commerce generalista con meno di 50 000 clienti/anno generalmente non ne ha bisogno, ma può designare un referente GDPR interno. A partire da 100 000 clienti/anno o se tratta categorie particolari di dati (salute, dati bancari in chiaro), il DPO diventa necessario.

Come capire se il mio Google Analytics è conforme?

Tre punti: (1) anonimizzazione IP attivata, (2) Consent Mode v2 collegato al suo banner cookie, (3) Data Processing Agreement firmato con Google. Se ha dubbi su uno dei tre punti, è meglio considerare Plausible o Matomo, conformi per default.

Cosa fare se scopro oggi una violazione di dati?

In ordine: (1) contenere la fuga (cambiare le password compromesse, isolare il sistema), (2) valutare il rischio per le persone (chi, quanti, quali dati), (3) notificare al Garante entro 72h tramite il formulario online se il rischio è confermato, (4) se il rischio è elevato, avvertire individualmente i clienti coinvolti, (5) documentare tutto nel registro delle violazioni.

Quanto dura un controllo del Garante?

Un controllo in loco dura uno o due giorni. La fase istruttoria che segue può durare da sei mesi a due anni prima della decisione finale. Durante questo periodo, è obbligatorio cooperare e rispondere alle richieste di documenti complementari.

Auditare oggi il suo e-commerce richiede meno di cinque minuti con uno scanner automatico, e le evita settimane di incertezza in caso di controllo. Per gli obblighi specifici di Shopify, veda anche il nostro dossier Shopify e GDPR: proteggere il negozio dalle sanzioni.

Sito Vetrina e GDPR: Sei in Regola? - Fondamenti del GDPR

Sito Vetrina e GDPR: Sei in Regola?

⏱ 9 min di lettura
Fondamenti del GDPR Multi

L'83% dei siti vetrina viola il GDPR. Verifica privacy, cookie e moduli di contatto in 10 minuti ed evita sanzioni fino a 20 milioni di euro.

Leggi articolo →
Conformità RGPD E-commerce: 10 Passaggi - Fondamenti del GDPR

Conformità RGPD E-commerce: 10 Passaggi

⏱ 10 min di lettura
Fondamenti del GDPR E-commerce Multi

Piano d'azione RGPD in 10 passaggi per il vostro e-commerce: dall'audit iniziale alla conformità completa. Guida per proteggere il vostro negozio.

Leggi articolo →
LGPD: Guida Completa Per le Aziende - Fondamenti del GDPR

LGPD: Guida Completa Per le Aziende

⏱ 9 min di lettura
Fondamenti del GDPR LGPD

Guida completa alla LGPD brasiliana: principi, basi giuridiche, diritti degli interessati, ANPD e sanzioni fino a 50 milioni di BRL.

Leggi articolo →