GDPR e raccolta dati ecommerce: cosa puoi fare e cosa non puoi nel 2026

Il GDPR è in vigore dal 2018 ma nel 2026 ci sono ancora ecommerce italiani che non sanno esattamente cosa possono fare con i dati dei loro clienti. La confusione è comprensibile: le regole sono complesse, le piattaforme cambiano continuamente e i casi pratici sono spesso ambigui. Questo articolo risponde alle domande operative più frequenti sulla raccolta e l'uso dei dati in un contesto di first party data strategia ecommerce.

Una premessa necessaria: questo articolo descrive best practice operative e situazioni comuni, non fornisce consulenza legale. Per qualsiasi decisione che riguardi il trattamento dei dati nel tuo specifico contesto, verifica sempre con un avvocato specializzato in protezione dei dati personali.

Il consenso cookie: cosa deve includere e quali cookie richiedono consenso esplicito

Il banner cookie non è un adempimento formale: è il meccanismo con cui ottieni una base giuridica valida per installare cookie di tracciamento sul dispositivo del visitatore. Costruirlo male invalida il consenso e con esso tutta l'attività di tracciamento che ne dipende.

I cookie si dividono in due categorie rispetto al consenso. I cookie tecnici strettamente necessari, cioè quelli indispensabili al funzionamento del sito come carrello, sessione di login e preferenze di lingua, non richiedono consenso: possono essere installati automaticamente. Tutti gli altri, inclusi i cookie di analytics (Google Analytics), i cookie pubblicitari (Meta Pixel, Google Ads tag) e i cookie di terza parte per qualsiasi funzione non strettamente necessaria, richiedono consenso esplicito e preventivo.

Il banner conforme al GDPR nel 2026 deve permettere al visitatore di accettare solo i cookie che vuole, senza che il rifiuto richieda più clic dell'accettazione. Il design deve essere neutro: il pulsante "Accetta tutto" non può essere più prominente del pulsante "Rifiuta" o "Gestisci preferenze". Le piattaforme di consenso come Cookiebot, Iubenda o OneTrust aggiornano automaticamente il banner in base alle normative e sono la scelta operativa più sicura per la maggior parte degli ecommerce.

La registrazione del consenso è obbligatoria: devi poter dimostrare chi ha acconsentito, quando e a cosa. Tutte le piattaforme di consenso serie mantengono questo registro automaticamente.

Newsletter marketing: quando puoi mandare email a clienti esistenti senza consenso esplicito?

Questa è la domanda più frequente e quella con la risposta più sfumata. Il GDPR prevede una base giuridica chiamata "interesse legittimo" che, in alcuni casi, permette di inviare comunicazioni commerciali a clienti che non hanno dato consenso esplicito al marketing.

La condizione è precisa: puoi usare l'interesse legittimo per comunicazioni marketing verso clienti esistenti se il prodotto o servizio che promuovi è simile a quello che hanno già acquistato, se hai raccolto l'email nel contesto dell'acquisto e se il cliente ha avuto la possibilità di opporsi all'uso dell'email per marketing già al momento della raccolta (checkbox non pre-spuntata o informativa chiara).

In pratica: se un cliente ha acquistato un prodotto skincare, puoi inviargli email promozionali su altri prodotti skincare dello stesso brand senza consenso marketing esplicito, a condizione che nell'informativa al momento dell'acquisto fosse indicato che potresti usare l'email per questo scopo e che il cliente avesse modo di opporsi.

Tuttavia, la best practice è raccogliere consenso esplicito separato per il marketing: una checkbox non pre-spuntata con testo chiaro durante il checkout o l'iscrizione alla newsletter. Questo elimina l'ambiguità dell'interesse legittimo e costruisce una lista più qualificata, con tassi di apertura e conversione più alti perché gli iscritti hanno scelto attivamente di ricevere comunicazioni.

Retargeting: è lecito usare l'email del cliente per Custom Audience Meta?

L'uso dell'email del cliente per creare Custom Audience su Meta è lecito a determinate condizioni. La prima condizione è che il cliente sia informato di questo uso nella tua privacy policy e nell'informativa al momento della raccolta dell'email. La seconda è che tu abbia una base giuridica valida per questo specifico trattamento: consenso, interesse legittimo o, in alcuni contesti, l'esecuzione di un contratto.

Meta applica hashatura automatica ai dati caricati: le email vengono convertite in hash crittografici prima della trasmissione, il che significa che Meta riceve il dato anonimizzato. Tuttavia, il trasferimento rimane un trattamento di dati personali ai sensi del GDPR e va dichiarato.

La situazione diventa più complessa per i visitatori del sito che non hanno acquistato: il retargeting tramite Meta Pixel su questi utenti richiede il consenso esplicito ai cookie pubblicitari, che devi raccogliere tramite il banner cookie configurato correttamente. Se un utente ha rifiutato i cookie pubblicitari, non puoi lecitamente tracciarlo con il Pixel e usare quella visita per costruire audience di retargeting.

Per i clienti esistenti con cui hai una relazione commerciale, l'uso dell'email per Custom Audience è generalmente supportabile su base di interesse legittimo, ma la pratica più sicura è includere una clausola specifica nella privacy policy e offrire un meccanismo di opt-out dedicato.

Data retention: quanto a lungo puoi conservare i dati degli ordini?

Il GDPR richiede che i dati personali siano conservati solo per il tempo necessario allo scopo per cui sono stati raccolti. Per i dati degli ordini, i periodi di conservazione variano in base allo scopo.

Per gli obblighi fiscali e contabili, la normativa italiana impone la conservazione per 10 anni. Questo è l'obbligo prevalente che giustifica la conservazione dei dati dell'ordine (nome, indirizzo, prodotti, importo) per questo periodo, indipendentemente dalle preferenze del cliente.

Per le finalità di marketing, la situazione è diversa: non c'è un obbligo legale di conservare i dati per 10 anni a fini marketing. La best practice è definire un periodo di conservazione per i dati di marketing (es: 3 anni dall'ultimo acquisto o dall'ultima interazione) e cancellare o anonimizzare i profili inattivi oltre quella soglia. Klaviyo e le principali piattaforme di email marketing permettono di configurare regole automatiche di soppressione dei profili inattivi.

Il principio di minimizzazione dei dati si applica anche alla qualità: conserva solo i dati effettivamente necessari allo scopo dichiarato, non raccogliere o conservare dati per "usi futuri non specificati".

CAPI e server-side: inviare dati a Meta è GDPR compliant?

Il Conversions API (CAPI) di Meta è lo strumento server-side che invia eventi di conversione direttamente dai tuoi server a Meta, senza dipendere dal Pixel browser-side. È compatibile con il GDPR a condizione che sia configurato correttamente.

La configurazione conforme richiede tre elementi. Primo, i dati inviati tramite CAPI devono rispettare le stesse condizioni di consenso del Pixel: se un utente ha rifiutato i cookie pubblicitari, non devi inviare a Meta dati che lo riguardano tramite CAPI. Questo richiede che il tuo sistema di consent management sia integrato con la logica di invio del CAPI, in modo che gli eventi vengano bloccati per gli utenti senza consenso.

Secondo, i parametri inviati (email hashata, IP hashato, telefono hashato) devono essere dichiarati nella privacy policy come dati trasmessi a Meta per finalità pubblicitarie. Terzo, il trasferimento dati verso Meta, che ha server negli USA, avviene nell'ambito dei Data Privacy Framework aggiornati: Meta ha certificazioni che rendono il trasferimento adeguato ai sensi GDPR.

Il vantaggio operativo del CAPI rispetto al Pixel puro non è solo la migliore misurazione: è anche la possibilità di controllare con precisione quali dati vengono inviati e per quali utenti, rendendo la compliance più gestibile.

Cosa è cambiato nel 2025-2026 rispetto alle normative precedenti

Il 2025 ha portato alcune evoluzioni rilevanti nel quadro normativo europeo. L'applicazione del Digital Markets Act ha imposto ai gatekeepers come Meta e Google requisiti più stringenti sulla gestione del consenso per gli utenti europei. Le piattaforme hanno aggiornato le proprie CMP (Consent Management Platform) interne e i meccanismi di segnalazione del consenso via IAB TCF versione aggiornata.

Sul fronte delle sanzioni, il 2024-2025 ha visto un aumento significativo delle ammende per violazioni GDPR relative ai cookie e al retargeting nei confronti di piattaforme ecommerce di media dimensione, non solo dei giganti tecnologici. Questo ha reso la compliance un tema concreto anche per brand DTC italiani con fatturati nell'ordine dei 2-10M.

La tendenza per il 2026 è verso una maggiore integrazione tra consenso e misurazione: le piattaforme spingono verso modelli in cui il segnale di conversione viene stimato e modellato per gli utenti senza consenso, permettendo l'ottimizzazione delle campagne anche in assenza di tracking individuale. Meta Advantage+ e Performance Max di Google usano già approcci di questo tipo.

Per approfondire la strategia di raccolta dati conforme e performante, leggi il nostro articolo sulla strategia zero-party data per ecommerce.

Il Metodo Visio™ include una revisione dell'infrastruttura di tracciamento per garantire che le campagne siano ottimizzate e la raccolta dati sia conforme alle normative vigenti. Se vuoi verificare la situazione del tuo ecommerce, scopri il Metodo Visio™ e prenota una call con il nostro team.