Ecommerce e GDPR, come avere un eshop a prova di legge

Alessandro Vercellotti
Alessandro Vercellotti
Founder
Legal for Digital

A sei anni dall’entrata in vigore del GDPR, MyBank ha intervistato Alessandro Vercellotti, founder di Legal for Digital, per scoprire a che punto sono gli ecommerce a livello di compliance e cosa possono fare per avere un negozio online a prova di legge in termini di privacy.

A proposito del nostro guest:

Alessandro Vercellotti è Avvocato del Digitale®, founder partner dello studio Legal for Digital® specializzato in Copyright, IA, Privacy, E-commerce, Brand Reputation e Legal Tech.

Il 25 maggio 2018 entrava definitivamente in vigore il GDPR, Regolamento europeo sulla protezione dei dati personali. Quali sono stati i principali risvolti per gli ecommerce?

L’entrata in vigore del GDPR nel 2018 ha avuto un impatto significativo sulla gestione dei dati personali nel settore dell’e-commerce. Prima del regolamento europeo, in Italia esisteva già una normativa sulla privacy, ma mancava un quadro unitario a livello comunitario. Considerando che la maggior parte degli e-commerce opera non solo a livello nazionale, ma almeno a livello europeo, il GDPR ha imposto un ripensamento complessivo e più ampio delle modalità di trattamento dei dati personali.

La cosa interessante è che le realtà più avvedute hanno colto l’occasione dell’adeguamento al GDPR non solo per adempiere agli obblighi formali, come la redazione di privacy policy, cookie policy, banner per la gestione dei cookie tecnici e di profilazione, ma anche per lavorare sulle performance dell’e-commerce sfruttando proprio la leva della protezione dei dati.

In altre parole, il GDPR ha rappresentato per molti operatori non solo un adempimento burocratico, ma un’opportunità per ripensare l’intera gestione dei dati personali dei clienti in un’ottica di miglioramento dell’esperienza utente e dell’efficacia del business online. Un approccio che può portare benefici concreti in termini di conversioni, fatturato e fidelizzazione dei clienti.

Insomma, possiamo dire che il GDPR ha avuto il merito di elevare la gestione dei dati personali da mero obbligo normativo a leva strategica per il successo dell’e-commerce. Un cambiamento di prospettiva che ha coinvolto non solo i grandi player, ma anche le realtà più piccole e dinamiche del settore.

A distanza di 6 anni, che bilancio possiamo fare?

A sei anni dall’entrata in vigore del GDPR, il bilancio presenta risultati contrastanti. Da un lato, il regolamento ha indubbiamente contribuito ad aumentare la consapevolezza di aziende e consumatori sull’importanza della protezione dei dati personali. Secondo diverse ricerche di mercato, dopo l’introduzione del GDPR si è registrato un significativo aumento dell’attenzione degli italiani verso i temi della privacy. Anche tra le imprese sembra cresciuta la sensibilità su questi aspetti, con investimenti e sforzi diffusi per migliorare la compliance.

Tuttavia, permangono ancora diverse criticità, soprattutto nel settore dell’e-commerce. Secondo i dati in nostro possesso, basati sull’analisi di centinaia di siti di commercio elettronico italiani che abbiamo seguito in questi anni come Legal for Digital, ad oggi stimiamo che solo il 30% risulti pienamente conforme al GDPR. Questo significa che 7 e-commerce su 10 presentano ancora lacune o irregolarità nel trattamento dei dati personali degli utenti, esponendosi così a pesanti sanzioni e a danni reputazionali.

La nostra esperienza come studio legale specializzato nel diritto del digitale ci dice che spesso gli e-commerce, soprattutto quelli di piccole e medie dimensioni, faticano a gestire tutti gli adempimenti privacy, vuoi per mancanza di risorse e competenze interne, vuoi per sottovalutazione dei rischi. Non a caso, negli ultimi anni abbiamo visto diverse sanzioni comminate dal Garante della Privacy italiano nei confronti di noti brand dell’e-commerce.

Giusto per citare alcuni esempi eclatanti:

  • Nel 2021 una nota piattaforma di food delivery è stata multata per 2,6 milioni di euro per uso illecito dei dati dei rider.
  • Sempre nel luglio 2021, il Garante per la protezione dei dati personali ha sanzionato uno dei più noti marketplace con una multa di 746 milioni di euro. Questa sanzione è stata motivata dalla violazione delle norme del GDPR relative al trattamento dei dati personali per finalità di marketing senza il consenso degli utenti.
  • Nel dicembre dello stesso anno, il Garante italiano ha sanzionato un noto brand di abbigliamento, per una somma di 5 milioni di euro a causa della gestione impropria dei dati personali per finalità di marketing diretto. Le violazioni includono l’uso eccessivo di dati e la mancanza di adeguata base giuridica per il trattamento dei dati.
  • Nel gennaio 2022, il Garante per la protezione dei dati personali in Italia ha imposto una multa di 2 milioni di euro alla società che gestisce un famoso marketplace. La sanzione è stata applicata per la mancata ottemperanza alle richieste degli utenti di cancellare i loro dati personali e per aver utilizzato modalità inadeguate di verifica dell’identità degli utenti che chiedevano di accedere ai loro dati personali.

 

Ma le violazioni non riguardano solo i potenziali clienti: emblematico in tal senso il caso di un famoso brand di abbigliamento, che è stato sanzionato in Germania per oltre 35 milioni di euro per aver elaborato illegalmente i dati personali dei suoi dipendenti. Questo precedente dimostra come la compliance GDPR richieda un approccio a  360 gradi, che un’attenzione non solo al trattamento dei dati degli utenti/consumatori, ma anche a quelli dei lavoratori e dei collaboratori.

Insomma, a fronte di una maggiore sensibilità verso la privacy, stimolata proprio dal GDPR, registriamo ancora un preoccupante deficit di compliance nel settore e-commerce. Deficit che, oltre a esporre al rischio di sanzioni, può minare la fiducia dei consumatori e dunque le performance di business. Sulla base dei progetti che abbiamo seguito, stimiamo che un e-commerce pienamente compliant possa migliorare il tasso di conversione fino al 15%. Al contrario, una scarsa attenzione alla privacy tende ad aumentare diffidenza, abbandoni del carrello e mancati acquisti.

La strada per cogliere appieno le opportunità del GDPR nel commercio online è ancora lunga, ma alcune best practice stanno emergendo. Per gli operatori del settore è fondamentale andare oltre la logica del mero adempimento formale, integrando davvero la protezione dei dati nei processi di business e nel customer journey. Solo così l’e-commerce potrà consolidare la fiducia dei consumatori e continuare a crescere in modo sostenibile.

Quali aspetti vengono ancora oggi trascurati da chi gestisce un negozio online?

Nelle nostre attività di verifica e messa in compliance di decine di e-commerce nell’arco di questi anni, abbiamo rilevato alcune criticità ricorrenti.

Uno degli aspetti più spesso sottovalutati riguarda senza dubbio l’utilizzo dei cookie. Ancora oggi troviamo molti e-commerce che installano cookie, soprattutto quelli analytics e di profilazione, senza fornire un’adeguata informativa agli utenti o, peggio ancora, senza neppure menzionarli. Altri raccolgono il consenso per l’uso di cookie non tecnici con modalità non conformi, ad esempio mediante scroll down della pagina o proseguimento della navigazione. Peccato che il GDPR e le linee guida del Garante richiedano un consenso libero, specifico, informato e inequivocabile, acquisito con un chiaro atto positivo, come il click su un’apposita casella.

Un altro elemento critico è la gestione dei rapporti con i responsabili del trattamento, cioè quei fornitori esterni che trattano dati personali per conto dell’e-commerce: pensiamo a società di logistica e spedizioni, piattaforme cloud, servizi di newsletter, strumenti di analytics e retargeting. Qui il problema principale è la mancanza di un contratto ad hoc o di istruzioni documentate, in violazione dell’art.28 del GDPR.

Ma c’è un altro aspetto spesso trascurato: la gestione dei dati raccolti tramite l’e-commerce all’interno dei sistemi CRM aziendali. Dove finiscono questi dati? Su un CRM interno o esterno? Nel secondo caso, il fornitore ha sede nell’Unione Europea o in paesi extra-UE, magari negli Stati Uniti? È in grado di garantire il pieno rispetto del GDPR? Non dimentichiamo che molte piattaforme CRM, pur tecnologicamente avanzate, non sono originariamente pensate per il mercato europeo e quindi possono avere carenze strutturali nella gestione dei consensi e nei meccanismi di privacy by design richiesti dal GDPR. Sta all’e-commerce, nella persona del titolare del trattamento, assicurarsi che questi strumenti vengano correttamente configurati e resi compliant. Ad esempio, impostando i campi e i flussi di trattamento in modo da rispettare i principi cardine della normativa europea. Un’attività per nulla banale, che richiede competenze interdisciplinari e una stretta collaborazione tra legal, IT e marketing.

In generale, ancora oggi molti merchant online tendono a considerare la protezione dati come un mero adempimento formale, magari delegato alla funzione legale o IT, e non come un processo trasversale al business. Questo approccio non solo espone a rischi di non conformità, ma impedisce di cogliere i benefici di una corretta data protection.

Un nostro recente caso di successo riguarda un e-commerce di arredamento che, grazie a un percorso strutturato di privacy by design, ha migliorato la user experience, ridotto i reclami del 30% e aumentato i tassi di conversione del 12%. Ecco, vorremmo che storie come questa diventassero la normalità nel mondo e-commerce italiano.

B2B e adeguamento al GDPR: smascheriamo una comune “fake news”?

Assolutamente sì. Spesso sento dire che “il GDPR non si applica al B2B”. Niente di più falso. È vero che il regolamento riguarda la protezione dei dati delle persone fisiche, tuttavia anche i dati dei clienti business, come partita IVA, email aziendale, numeri di telefono dei dipendenti, sono a tutti gli effetti dati personali e in quanto tali vanno trattati in conformità al GDPR.

Gli e-commerce B2B non sono affatto esenti dagli obblighi previsti e anzi, visto che tipicamente trattano un gran numero di dati di altri business, dovrebbero porre ancora più attenzione ai temi privacy.

Al di là del mero adempimento burocratico, quanto è importante effettuare un’attenta selezione dei metodi di pagamento offerti sul proprio e-commerce e quali criteri adottare?

La scelta dei metodi di pagamento è fondamentale e troppo spesso viene dettata solo da logiche di pricing, senza valutare adeguatamente gli aspetti di privacy e sicurezza.

Spesso invece viene considerata solo in fase finale, magari quando la struttura del sito, le pagine prodotto, le automation e le integrazioni con il CRM sono già state definite. Questo approccio è sbagliato per diversi motivi.

Innanzitutto, non tutti gli strumenti di pagamento sono uguali in termini di performance, costi di gestione e user experience. Alcuni garantiscono transaction fee più basse, una maggiore facilità di integrazione lato merchant, o un check-out più rapido e intuitivo lato cliente, come nel caso delle soluzioni account-to-account che consentono al cliente di pagare direttamente dall’online banking della propria banca. Non dimentichiamo che più rendiamo semplice il processo di pagamento, più aumentano le probabilità che l’utente concluda l’acquisto senza abbandonare il carrello.

C’è poi il tema fondamentale della sicurezza: non tutti i gateway e i metodi di pagamento assicurano i medesimi standard di protezione dei dati, prevenzione delle frodi e gestione dei flussi finanziari. Anche se la maggior parte dei consumatori non ha le competenze per valutare nel dettaglio questi aspetti, nel momento in cui si verifica un problema o una violazione è il titolare dell’e-commerce a dover rispondere della scelta compiuta. Ecco perché è essenziale selezionare solo strumenti affidabili e certificati, che non solo rispettino i requisiti tecnici e normativi (su tutti il GDPR e la PSD2), ma che siano anche dotati di un adeguato livello di protezione e di pratiche di sicurezza all’avanguardia.

Dal punto di vista GDPR, in particolare, è fondamentale che il fornitore del servizio di pagamento sia qualificato correttamente come responsabile o sub-responsabile del trattamento, con tutte le garanzie contrattuali del caso in termini di riservatezza, limitazione delle finalità del trattamento e misure di sicurezza. Inoltre, è bene verificare che il provider abbia una sede o quantomeno un rappresentante nell’Unione Europea, per agevolare l’esercizio dei diritti degli interessati e il controllo delle autorità di vigilanza.

Insomma, la selezione dei payment method non può essere un elemento accessorio o l’ultimo miglio dello sviluppo di un e-commerce, ma deve essere parte integrante della progettazione, al pari della user experience, della SEO o dell’integrazione con i canali di marketing. Solo così è possibile individuare le soluzioni più performanti e allo stesso tempo più sicure, in grado di conquistare la fiducia dei clienti e convertirla in acquisti e fatturato.

Proviamo a riepilogare tutto ciò che serve per avere un ecommerce a prova di legge, in termini di privacy!

Ecco una check-list essenziale per la compliance privacy di un ecommerce:

  1. Informativa privacy chiara, completa e sempre accessibile
  2. Acquisizione del consenso esplicito degli utenti, ove necessario
  3. Cookie policy dettagliata e meccanismi per la gestione delle preferenze
  4. Contratti sottoscritti con tutti i responsabili del trattamento
  5. Tenuta del registro dei trattamenti
  6. Adozione di opportune misure di sicurezza tecniche e organizzative
  7. Implementazione di procedure per la gestione di eventuali data breach

Attenzione: questi adempimenti non devono essere visti solo come un costo o una seccatura burocratica, ma come un’opportunità per migliorare la fiducia dei clienti, le performance dell’ecommerce e di conseguenza il fatturato.

La privacy non è antitetica al business, anzi ne è un elemento fondante. Ce lo dimostrano i dati del nostro osservatorio: gli ecommerce che hanno investito con convinzione nella compliance GDPR negli ultimi anni hanno registrato tassi di conversione fino al 20% superiori rispetto alla media. In un mercato sempre più competitivo, la privacy può fare la differenza.

21 May 2024

Contattaci per ulteriori informazioni

MYBANK PAGAMENTI SICURI, IDENTITÀ PROTETTA

MyBank privati

ULTIME NEWS AZIENDE

MyBank privati