Unione europea Integrazione MarketplaceUnione europea Pacchetti E-CommerceUnione europea Sito Web AziendaleUnione europea Software PersonalizzatoUnione europea Costituzione SocietàUnione europea Centro FulfillmentUnione europea Stoccaggio ProdottiUnione europea Sviluppo App Mobile
Accedi
Europa · E-Commerce

Guida completa GDPR 2026 per l'e-commerce: Regolamento 2016/679, cookie TCF v2.2, criteri DPO, diritti degli interessati, notifica 72h, sanzioni 20M€/4%.

🇪🇺 Guida completa alla conformità GDPR UE — Edizione 2026

Conformità GDPR per l'E-Commerce 2026: Guida completa per i venditori online UE

Otto anni dopo l'entrata in vigore del GDPR il 25 maggio 2018, il Regolamento (UE) 2016/679 resta la legge sulla privacy più severa e più applicata al mondo — e la voce di conformità più rilevante per qualsiasi venditore e-commerce dell'UE. Le autorità nazionali di controllo hanno emesso oltre 5,5 miliardi di euro di sanzioni cumulative entro il 2026, con penalità singole che hanno raggiunto 1,2 miliardi di euro. Questa guida illustra le dieci cose che ogni venditore online dell'UE deve gestire correttamente nel 2026: il framework di consenso cookie TCF v2.2, un'informativa privacy conforme all'art. 13, quando serve un DPO, gli otto diritti degli interessati, il termine di notifica delle violazioni entro 72 ore, le Clausole Contrattuali Standard post-Schrems II, l'impatto del prossimo Regolamento ePrivacy, sanzioni fino a 20 milioni di euro o al 4% del fatturato globale, e una checklist GDPR in 12 punti che si integra con il lavoro quotidiano di gestione di un catalogo multi-marketplace.

✓ Regolamento 2016/679 mappato ✓ Consenso cookie TCF v2.2 ✓ Schrems II + SCC 2021 ✓ Autorità nazionali (CNIL, AEPD, Garante, BfDI)
zunapro.com/panel/eu/gdpr
GDPR Hub Conforme
Copertura autorità 30/30 SEE
Richieste aperte
14
↓ 22% su base mensile
SLA medio
6,4 gg
entro 30 gg
Cookie
TCF 2.2
✓ attivo
Ultimi 7 giorni · Richieste degli interessati 42 chiuse↑ 31%
LunMarMerGioVenSabOgg
Ultime richieste degli interessati In diretta
#DSR-58271 Art. 15 — Richiesta di accesso (FR) In revisione
#DSR-58270 Art. 17 — Cancellazione (DE) In sospeso
#DSR-58269 Art. 20 — Portabilità (ES) Chiusa
Sincronizzazione privacy attiva · ultimo audit 2s fa · SCC + TIA pronte
5,5 Mld €+
Sanzioni GDPR cumulative (entro il 2026)
1,2 Mld €
Sanzione singola più elevata (Meta IE 2023)
72h
Termine per la notifica delle violazioni (Art. 33)
20 M€ / 4%
Sanzione massima — 20 milioni di € o 4% del fatturato globale

GDPR UE per l'e-commerce 2026 — Lettura rapida

Il Regolamento generale sulla protezione dei dati, Regolamento (UE) 2016/679, è direttamente applicabile in tutta l'UE dal 25 maggio 2018 e resta la legge sulla privacy più rilevante al mondo. Ogni venditore e-commerce UE/SEE è un titolare del trattamento per i dati personali dei clienti: nome, indirizzo, dati di pagamento, cronologia di navigazione, cookie, indirizzi IP. Le priorità 2026 sono un banner cookie conforme al TCF v2.2, un'informativa privacy chiara ex art. 13, un registro delle attività di trattamento ex art. 30 documentato, flussi rapidi per le richieste degli interessati (DSR), un piano per le violazioni entro 72 ore, e le Clausole Contrattuali Standard post-Schrems II per ogni trasferimento non adeguato (in particolare verso gli USA nell'ambito del Data Privacy Framework UE–USA adottato a luglio 2023). Le autorità di controllo — CNIL (Francia), AEPD (Spagna), Garante (Italia), BfDI e le autorità dei Länder tedeschi, AP (Paesi Bassi), NAIH (Ungheria), ICO (Regno Unito, secondo lo UK GDPR) — emettono sanzioni fino a 20 milioni di euro o al 4% del fatturato globale annuo, a seconda di quale sia maggiore.

Il panorama della protezione dei dati UE 2026 in sintesi

Il GDPR viene applicato da una rete di autorità nazionali di controllo (DPA), coordinate a livello UE dal Comitato europeo per la protezione dei dati (EDPB). La serie di schede seguente riassume le otto autorità che più probabilmente incontrerete come venditore e-commerce UE — tenetela a portata di mano mentre leggete ogni sezione di approfondimento.

EDPB — Comitato europeo per la protezione dei dati

Istituito il 25 maggio 2018 · Bruxelles · Emette linee guida vincolanti, pareri e coordina lo sportello unico tra le autorità

30 autoritàcoordinamento a livello UE/SEE

CNIL — Commission Nationale de l'Informatique et des Libertés (Francia)

Fondata nel 1978 · Parigi · Applicazione più severa dell'UE in materia di cookie; autorità guida su adtech e TCF

340 M€+ sanzionicumulate entro il 2026

AEPD — Agencia Española de Protección de Datos (Spagna)

Fondata nel 1993 · Madrid · Autorità nazionale più attiva per numero di sanzioni; applicazione focalizzata sulle PMI

2.000+ sanzioni/anno1° posto in Spagna

Garante — Garante per la Protezione dei Dati Personali (Italia)

Fondato nel 1997 · Roma · Applicazione aggressiva su AI/ChatGPT, telemarketing e cookie

200 M€+ sanzionicumulate entro il 2026

BfDI + 16 autorità dei Länder (Germania)

BfDI federale a Bonn + un'autorità per Land · Decentralizzata; LfDI BW, BlnBDI e HmbBfDI sono le più attive

17 autoritàlivello federale e statale

ICO — Information Commissioner's Office (Regno Unito)

Wilmslow · Applica lo UK GDPR (post-Brexit) e il Data Protection Act 2018 · Decisione di adeguatezza in vigore

Adeguatezza UKrinnovata 2025–2031

AP — Autoriteit Persoonsgegevens (Paesi Bassi)

L'Aia · Autorità olandese · Attiva su cookie wall, registro AI e fughe di dati governative

Sentenza sui cookie wall2019 — storica

NAIH — Nemzeti Adatvédelmi és Információszabadság Hatóság (Ungheria)

Budapest · Autorità ungherese · Attiva su riconoscimento facciale, videosorveglianza e dati HR

4 Mld HUF+ sanzionicumulate entro il 2026

Pronti a vendere in tutta l'UE — conformi al GDPR fin dal primo giorno?

Collega ogni marketplace UE e ogni storefront rivolto ai clienti a un unico pannello Zunapro con CMP integrata compatibile TCF v2.2, registro ex art. 30, flusso di gestione delle richieste degli interessati e SCC pre-firmate per ogni sub-responsabile.

🚀 Avvia l'integrazione UE

1. Panoramica del GDPR — Regolamento (UE) 2016/679, in vigore da maggio 2018

Cos'è davvero il GDPR

Il Regolamento generale sulla protezione dei dati — Regolamento (UE) 2016/679 — è stato adottato il 27 aprile 2016 ed è diventato direttamente applicabile in tutti i 27 Stati membri dell'UE più i tre paesi SEE (Norvegia, Islanda, Liechtenstein) il 25 maggio 2018. In quanto Regolamento, e non Direttiva, il GDPR non ha richiesto un recepimento nazionale — è entrato in vigore lo stesso giorno a Madrid, Parigi, Berlino, Roma, Varsavia e in ogni altra capitale UE. Ha sostituito la Direttiva sulla protezione dei dati del 1995 (95/46/CE), che aveva prodotto 28 recepimenti nazionali frammentati.

Per i venditori e-commerce, tre scelte strutturali del testo contano più di ogni altra cosa:

  • Ambito di applicazione materiale (art. 2) — si applica a qualsiasi "trattamento di dati personali" effettuato con mezzi automatizzati, il che comprende praticamente ogni operazione di database in uno stack web moderno.
  • Ambito di applicazione territoriale (art. 3) — si applica ai titolari stabiliti nell'UE indipendentemente da dove avvenga il trattamento, e ai titolari stabiliti al di fuori dell'UE che offrono beni o servizi a interessati nell'UE o ne monitorano il comportamento. Questa è la "portata extraterritoriale" che ha coinvolto venditori statunitensi, britannici, turchi, svizzeri e asiatici.
  • Definizione di dato personale (art. 4) — estremamente ampia: qualsiasi cosa "riguardi una persona fisica identificata o identificabile". Indirizzi IP, ID dei cookie, impronte digitali dei dispositivi e persino parametri URL univoci possono rientrarvi.

Le sei basi giuridiche (Articolo 6)

Ogni attività di trattamento necessita di almeno una delle sei basi giuridiche:

  1. Consenso — libero, specifico, informato, inequivocabile (art. 4(11) + art. 7).
  2. Contratto — trattamento necessario all'esecuzione di un contratto con l'interessato (la base standard per l'evasione di un ordine).
  3. Obbligo legale — ad es. fatturazione IVA, KYC, registri fiscali.
  4. Interessi vitali — raro nell'e-commerce commerciale.
  5. Compito di interesse pubblico — generalmente non rilevante per il commercio al dettaglio privato.
  6. Legittimo interesse — richiede un test di bilanciamento; utilizzato per la prevenzione delle frodi, la sicurezza, l'analitica di base.

L'errore di conformità più comune nel 2026 è confondere le basi giuridiche — ad esempio basarsi sul "contratto" per le email di marketing (che richiedono il consenso ai sensi della Direttiva ePrivacy) o sul "legittimo interesse" per i cookie di tracciamento (che richiedono il consenso ai sensi dell'art. 5(3) della Direttiva ePrivacy).

Categorie particolari di dati (Articolo 9)

Dati sanitari, dati biometrici, origine etnica, convinzioni religiose, appartenenza sindacale, orientamento sessuale e opinioni politiche sono categorie particolari di dati. Il trattamento è vietato a meno che non si applichi una delle dieci condizioni dell'art. 9(2) — il consenso esplicito è il più comune nell'e-commerce (ad es. abbonamenti a integratori alimentari che rivelano informazioni sanitarie, siti di moda che deducono l'origine etnica dalle taglie preferite).

📋
Testo ufficiale: il testo consolidato ufficiale del Regolamento (UE) 2016/679 è pubblicato in 24 lingue UE su EUR-Lex. Zunapro collega gli articoli pertinenti a ciascuna funzionalità di conformità nel pannello. Consulta il testo consolidato del GDPR su EUR-Lex per la fonte vincolante.

I cookie e le tecnologie di tracciamento simili non sono disciplinati solo dal GDPR, ma anche dall'articolo 5(3) della Direttiva ePrivacy 2002/58/CE (la "Direttiva Cookie", modificata nel 2009). La Direttiva richiede il consenso preventivo e informato per memorizzare o accedere a informazioni sul dispositivo di un utente, salvo quando strettamente necessario per fornire un servizio richiesto dall'utente. Il GDPR definisce poi lo standard per determinare cosa costituisce un consenso valido (artt. 4(11) e 7).

La regola pratica combinata per i venditori e-commerce nel 2026 è la seguente:

  • Cookie strettamente necessari (carrello, login, token CSRF, selettore di lingua, bilanciamento di base del carico) — nessun consenso richiesto, ma devono essere documentati nell'informativa privacy.
  • Tutti gli altri cookie — analitici (GA4, Plausible, Matomo con configurazione predefinita), pubblicitari (Meta Pixel, Google Ads, TikTok), di personalizzazione, di A/B testing, di fingerprinting — richiedono il consenso opt-in prima che il cookie venga impostato.

L'IAB Europe Transparency & Consent Framework (TCF) v2.2 — rilasciato il 16 maggio 2023 e obbligatorio dal 20 novembre 2023 — è lo standard di fatto del settore per catturare, segnalare e conservare il consenso ai cookie in tutta l'UE. Caratteristiche principali:

  • 11 finalità + 3 "finalità speciali" + 2 "funzioni" + 2 "funzioni speciali" — controllo granulare invece di un generico "Accetta tutto"
  • ~700 fornitori registrati — ogni partner adtech, di analitica e CDP dichiara finalità e basi giuridiche nella Global Vendor List (GVL) del TCF
  • TC String — un segnale codificato in base64, incorporato in __tcfapi / __tcfapi v2, che accompagna ogni richiesta adtech
  • Miglioramenti della v2.2 — finalità 1, 3, 4 più chiare, rimozione del "legittimo interesse" come base alternativa per pubblicità/misurazione, flusso di revoca obbligatorio

Cosa deve e non deve fare l'interfaccia di consenso

Sia le Linee guida EDPB 05/2020 sul consenso sia le Linee guida CNIL 2020-091 sono estremamente chiare:

  • Le caselle preselezionate non sono valide (Planet49, CGUE C-673/17, 1° ottobre 2019)
  • La "navigazione continuata" non costituisce consenso — cliccare, scorrere o rimanere sulla pagina non equivale a un opt-in
  • Rifiutare deve essere altrettanto semplice quanto accettare — "Accetta tutto" e "Rifiuta tutto" devono essere visivamente e proceduralmente equivalenti (la CNIL ha imposto 60 milioni di euro a Google e 60 milioni a Facebook nel gennaio 2022 esplicitamente per questo motivo)
  • I cookie wall — condizionare l'accesso al consenso — sono in gran parte vietati (linee guida dell'AP olandese del 2019, Linee guida EDPB 05/2020)
  • Granularità — controlli finalità per finalità, non un unico interruttore globale
  • La revoca deve essere altrettanto semplice quanto la concessione del consenso (art. 7(3) GDPR)
🍪

Best practice 2026: una Consent Management Platform (CMP) compatibile con il TCF v2.2, con pulsanti "Accetta tutto" / "Rifiuta tutto" equivalenti nel primo livello, controlli granulari nel secondo livello e un link permanente "Impostazioni cookie" nel footer. Gli storefront Zunapro sono dotati di questa configurazione integrata. Scopri gli storefront Zunapro UE →

3. Informativa privacy — Articoli 13 e 14 nella pratica

Perché l'informativa privacy non è negoziabile

Gli articoli 13 e 14 del GDPR richiedono a ogni titolare del trattamento di fornire un'informativa al momento della raccolta dei dati personali (art. 13) o, quando i dati sono raccolti da terzi, entro un mese (art. 14). Nell'e-commerce, questa è tipicamente la pagina collegata dal footer come "Informativa sulla privacy", "Privacy policy" o "Informazioni sul trattamento dei dati personali".

L'elenco dei contenuti obbligatori

L'articolo 13 richiede, come minimo, quanto segue — solitamente strutturato come un'informativa a più livelli con un breve riepilogo e una versione completa:

  • Identità e dati di contatto del titolare (e del rappresentante UE se applicabile l'art. 27)
  • Dati di contatto del DPO, ove nominato
  • Finalità del trattamento e base giuridica per ciascuna (art. 6, e art. 9 per le categorie particolari di dati)
  • Destinatari o categorie di destinatari — gateway di pagamento, partner logistici, strumenti di marketing, fornitori di hosting
  • Trasferimenti internazionali — paesi terzi coinvolti, decisioni di adeguatezza o garanzie appropriate (SCC)
  • Periodi di conservazione — o i criteri utilizzati per determinarli
  • Diritti degli interessati — accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, decisioni automatizzate
  • Diritto di revocare il consenso in qualsiasi momento (quando il consenso è la base giuridica)
  • Diritto di proporre reclamo a un'autorità di controllo
  • Se la fornitura dei dati è obbligatoria, e le conseguenze della mancata fornitura
  • Esistenza di un processo decisionale automatizzato, inclusa la profilazione, e informazioni significative sulla logica utilizzata

Errori comuni sanzionati da CNIL e AEPD

  • Informativa standardizzata che non corrisponde alle effettive attività di trattamento — le autorità di controllo effettuano un confronto incrociato con il registro ex art. 30
  • Elencare il "legittimo interesse" senza spiegare il test di bilanciamento
  • Periodi di conservazione vaghi come "finché necessario" senza indicazioni temporali
  • Informative sui trasferimenti internazionali mancanti o obsolete (in particolare per i trasferimenti verso gli USA dopo Schrems II)
  • Nessuna menzione del diritto di proporre reclamo a un'autorità di controllo — un riscontro frequente negli audit dell'AEPD

4. Responsabile della protezione dei dati — quando si applica l'Articolo 37

I tre casi obbligatori

L'articolo 37(1) impone la nomina obbligatoria del DPO in tre casi:

  1. Autorità pubblica o organismo pubblico (esclusi i tribunali)
  2. Le attività principali richiedono il monitoraggio regolare e sistematico degli interessati su larga scala
  3. Le attività principali consistono nel trattamento su larga scala di categorie particolari di dati (art. 9) o di dati relativi a condanne penali (art. 10)

Il concetto di "larga scala" è definito dalle Linee guida EDPB WP243 sulla base di quattro criteri: numero di interessati, volume dei dati, durata del trattamento ed estensione geografica. Nell'e-commerce, le operazioni con forte pubblicità comportamentale, i marketplace e le grandi piattaforme di vendita al dettaglio soddisfano quasi sempre la soglia del "monitoraggio regolare e sistematico su larga scala".

Il mito dei 250 dipendenti

La soglia dei "250 dipendenti", spesso citata, riguarda l'articolo 30 (registri delle attività di trattamento) e non la nomina del DPO. L'articolo 30(5) esenta le organizzazioni con meno di 250 dipendenti dal mantenimento dei registri — ma solo se il trattamento è occasionale, non include categorie particolari di dati e non presenta probabilmente rischi per gli interessati. Per qualsiasi venditore e-commerce attivo, l'esenzione non si applica quasi mai in pratica: spedire ordini a migliaia di clienti non è per definizione occasionale.

Integrazioni nazionali

Gli Stati membri possono imporre requisiti aggiuntivi per il DPO. La legge tedesca BDSG, ad esempio, richiede un DPO ogni volta che 20 o più persone sono coinvolte in modo continuativo nel trattamento automatizzato — una soglia molto inferiore rispetto a quella di base del GDPR. Questo è uno dei principali divari di conformità pratica tra operazioni e-commerce tedesche, francesi e spagnole di dimensioni simili.

Indipendenza e compiti del DPO

  • Articolo 38 — deve essere coinvolto in tutte le questioni relative alla protezione dei dati, ricevere risorse, riferire all'alta direzione, non può essere rimosso per aver svolto i propri compiti
  • Articolo 39 — informa e consiglia, monitora la conformità, fornisce consulenza sulle DPIA, coopera con l'autorità di controllo, funge da punto di contatto per gli interessati
  • Conflitti di interesse — tipicamente il responsabile marketing o il responsabile IT non può essere il DPO (Linee guida EDPB WP243; l'autorità belga ha imposto una sanzione di 50.000 euro nel 2020 a un titolare che aveva nominato DPO il responsabile della conformità, dell'audit interno e del rischio)

💡 DPO as-a-service o interno?

Molte attività e-commerce UE con meno di 50 dipendenti utilizzano DPO esterni per garantire chiarezza sull'indipendenza. Il pannello Zunapro espone un campo di contatto del DPO e instrada le richieste degli interessati direttamente alla casella di posta del DPO.

Configura l'instradamento al DPO →

5. Diritti degli interessati — Articoli 15–22

Gli otto diritti, in ordine

I diritti del Capo III sono la spina dorsale operativa del GDPR per qualsiasi attività rivolta ai clienti:

  • Diritto di essere informati (artt. 13–14) — soddisfatto tramite l'informativa privacy sopra descritta
  • Diritto di accesso (art. 15) — conferma del trattamento + una copia dei dati personali + i metadati dell'art. 13
  • Diritto di rettifica (art. 16) — correggere dati inesatti, completare dati incompleti
  • Diritto alla cancellazione / "diritto all'oblio" (art. 17) — sei motivi specifici (non più necessario, consenso revocato, trattamento illecito, ecc.); non è assoluto
  • Diritto di limitazione (art. 18) — contrassegnare i dati come "congelati" mentre è in corso una controversia
  • Diritto alla portabilità dei dati (art. 20) — ricevere i dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico, trasferirli a un altro titolare
  • Diritto di opposizione (art. 21) — al trattamento basato su legittimo interesse o compito di interesse pubblico; assoluto per il marketing diretto
  • Diritto di non essere sottoposti a un processo decisionale interamente automatizzato, compresa la profilazione (art. 22) — eccezioni ristrette per contratto, legge, consenso esplicito

Tempi di risposta e formato

L'articolo 12 stabilisce le regole operative:

  • Un mese come termine predefinito — prorogabile di ulteriori due mesi per richieste complesse o numerose, con notifica motivata all'interessato
  • Gratuito — eccetto per le richieste "manifestamente infondate o eccessive", per le quali è consentito un contributo ragionevole o il rifiuto (l'onere della prova ricade sul titolare)
  • Stesso formato della richiesta — richiesta via email, risposta via email; formato strutturato e leggibile da dispositivo automatico per la portabilità
  • Verifica dell'identità richiesta, ma proporzionata — controlli di identità eccessivamente onerosi costituiscono essi stessi una violazione (linee guida CNIL)

Come i venditori e-commerce operativizzano tutto questo

  1. Casella di posta dedicata per le richieste degli interessati (ad es. [email protected]) instradata al DPO o al team privacy
  2. Flusso di ticketing con timer SLA di un mese ed escalation automatica al 25° giorno
  3. Mappa dei dati fonte unica (il registro ex art. 30) che indica quali sistemi contengono cosa — Zunapro centralizza questo aspetto per marketplace, storefront, CRM e dati di pagamento
  4. Risposte basate su modelli con i metadati richiesti dalla legge già precompilati
  5. Traccia di audit di ogni richiesta e risposta — le autorità di controllo richiedono regolarmente i registri delle richieste degli interessati degli ultimi 12 mesi durante le indagini

6. Notifica delle violazioni — Il termine di 72 ore (Articoli 33–34)

Cosa costituisce una "violazione dei dati personali"

L'articolo 4(12) definisce una violazione dei dati personali come "una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati". Seguono tre categorie in base alle Linee guida EDPB 9/2022:

  • Violazione della riservatezza — divulgazione o accesso non autorizzati (tipicamente un attacco informatico / database trapelato)
  • Violazione dell'integrità — modifica non autorizzata dei dati
  • Violazione della disponibilità — perdita accidentale o illecita di accesso o distruzione (tipicamente ransomware)

La notifica all'autorità di controllo entro 72 ore

L'articolo 33 richiede la notifica all'autorità di controllo competente "senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza", a meno che la violazione non presenti probabilmente rischi per i diritti e le libertà delle persone fisiche. Le notifiche tardive devono essere accompagnate dalle motivazioni del ritardo. Il termine decorre dal momento in cui il titolare ha una ragionevole certezza che si sia verificata una violazione — non dal primo vago allarme.

La notifica ai clienti in caso di "rischio elevato"

L'articolo 34 impone un obbligo parallelo di notificare agli interessati "senza ingiustificato ritardo" quando la violazione presenta probabilmente un rischio elevato per i loro diritti e libertà. Esenzioni: dati crittografati, misure di mitigazione applicate successivamente, o sforzo sproporzionato (in tal caso è sufficiente una comunicazione pubblica).

Cosa contiene una notifica di violazione

  • Natura della violazione, incluse le categorie e il numero approssimativo di interessati e di record coinvolti
  • Dati di contatto del DPO o altro punto di contatto
  • Probabili conseguenze
  • Misure adottate o proposte per affrontare la violazione e mitigarne gli effetti negativi

Schemi comuni di applicazione

Le notifiche tardive o mancanti generano regolarmente sanzioni indipendentemente dalla violazione sottostante. Esempi: Twitter International (ora X) sanzionata con 450.000 euro dal DPC irlandese nel 2020 per notifica tardiva di una violazione; Uber sanzionata con 600.000 euro dall'AP olandese per il mancato rispetto del termine di 72 ore nella notifica di una violazione del 2016 dopo l'entrata in vigore del GDPR. In entrambi i casi, la violazione tecnica in sé era relativamente contenuta; il mancato rispetto procedurale ha dominato la sanzione.

⏱️

Consiglio operativo: un playbook documentato per la risposta agli incidenti con un termine di 72 ore, un DPO reperibile designato, un modello di notifica pre-redatto per l'autorità di controllo, e una mappatura preventiva delle autorità per ogni Stato membro rappresentano il minimo indispensabile. Zunapro registra ogni evento di autenticazione, esportazione di dati e azione amministrativa, così la sequenza dei fatti entro 72 ore può essere ricostruita in ore, non giorni. Scopri gli strumenti di risposta alle violazioni →

7. Trasferimenti transfrontalieri — SCC, adeguatezza e Schrems II

La regola predefinita — Capo V

Il Capo V del GDPR (artt. 44–50) vieta i trasferimenti di dati personali verso un "paese terzo" (non UE/SEE) o un'organizzazione internazionale, a meno che non si applichi una delle tre garanzie:

  1. Decisione di adeguatezza (art. 45) — la Commissione ha formalmente stabilito che il paese terzo offre un livello di protezione "sostanzialmente equivalente".
  2. Garanzie appropriate (art. 46) — Clausole Contrattuali Standard (SCC), Norme vincolanti d'impresa (BCR), codici di condotta approvati o certificazioni.
  3. Deroghe specifiche (art. 49) — eccezioni ristrette: consenso esplicito, esecuzione del contratto, rilevante interesse pubblico, interessi vitali.

Decisioni di adeguatezza in vigore (2026)

Al 2026, decisioni di adeguatezza totali o parziali coprono: Andorra, Argentina, Canada (organizzazioni commerciali), Isole Faroe, Guernsey, Israele, Isola di Man, Giappone, Jersey, Nuova Zelanda, Repubblica di Corea (Corea del Sud), Svizzera, Regno Unito (rinnovata nel 2025, in vigore fino al 2031), Uruguay, e — nell'ambito del Data Privacy Framework UE–USA (DPF) adottato il 10 luglio 2023 — le organizzazioni statunitensi certificate.

Schrems II e le SCC

Il 16 luglio 2020 la CGUE, con la sentenza Schrems II (C-311/18), ha invalidato il Privacy Shield UE–USA e ha chiarito che le sole SCC non sono sufficienti quando la legislazione locale del paese terzo (ad es. la sorveglianza FISA 702 statunitense) crea obblighi contrastanti. I titolari del trattamento devono:

  • Utilizzare le nuove SCC adottate con la Decisione di esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021, organizzate in quattro moduli (C2C, C2P, P2P, P2C)
  • Eseguire una valutazione d'impatto sul trasferimento (TIA) del quadro giuridico del paese di destinazione
  • Applicare misure supplementari laddove la TIA riveli un rischio — tipicamente crittografia end-to-end, pseudonimizzazione o controlli contrattuali/organizzativi (Raccomandazioni EDPB 01/2020)

Il Data Privacy Framework UE–USA

Il DPF del 2023 ha ristabilito un meccanismo di adeguatezza in stile Privacy Shield per i destinatari statunitensi certificati. I venditori che trasferiscono dati a un responsabile del trattamento statunitense certificato DPF (la maggior parte dei grandi hyperscaler — AWS, Google Cloud, Microsoft Azure — sono certificati) non necessitano di SCC per quel destinatario specifico, ma dovrebbero comunque documentare la base giuridica e monitorare eventuali nuovi contenziosi: una contestazione "Schrems III" è già pendente e potrebbe riaprire la questione.

Cosa significa questo operativamente

  • Mappare ogni sub-responsabile e il paese in cui i dati vengono effettivamente trattati (non solo l'indirizzo di fatturazione)
  • Firmare le SCC 2021 con i destinatari non adeguati, con il modulo corretto per il rapporto in questione
  • Mantenere le TIA per ciascuno — la maggior parte delle CMP e degli strumenti di gestione della conformità offre modelli
  • Aggiornare annualmente o in caso di cambiamenti normativi o dei sub-responsabili

8. Il prossimo Regolamento ePrivacy — cosa cambia per cookie e marketing

Il contesto legislativo

Il Regolamento ePrivacy (ePR) è stato proposto dalla Commissione nel gennaio 2017 per sostituire la Direttiva ePrivacy 2002/58/CE (la "Direttiva Cookie"). A differenza di una direttiva, si applicherebbe direttamente senza recepimento nazionale — risolvendo l'attuale frammentazione in cui Francia (Deliberazione CNIL 2020-091), Germania (TTDSG/TDDDG), Spagna (LSSI-CE), Italia (linee guida cookie del Garante 2021) e altri interpretano diversamente la stessa base normativa UE.

Cosa rientra probabilmente nell'ambito di applicazione (stato 2026)

  • Cookie e tecnologie simili — incluso il fingerprinting e gli identificatori a livello di SDK
  • Metadati delle comunicazioni elettroniche — estensione della riservatezza delle comunicazioni oltre i tradizionali operatori telefonici alla messaggistica OTT
  • Marketing diretto — opt-in per il marketing elettronico (email, SMS) con il mantenimento del "soft opt-in" esistente per prodotti simili nell'ambito della relazione con il cliente
  • Segnali di consenso a livello di browser — riconoscimento esplicito dei segnali in stile "Do Not Track" / Global Privacy Control
  • Comunicazioni indesiderate — opt-in rigoroso per il B2C, meno rigoroso per il B2B

Cosa non cambia

Il GDPR resta la lex generalis sulla qualità del consenso (artt. 4(11), 7). L'ePR è la lex specialis su quando è richiesto il consenso per le comunicazioni elettroniche e il tracciamento. Una CMP TCF v2.2 progettata oggi dovrebbe essere già predisposta per la transizione all'ePR.

Impatto previsto sull'e-commerce

  • Le differenze nazionali (ad es. le sfumature del diritto delle telecomunicazioni tedesco) si comprimono verso un'unica regola UE
  • I segnali "Rifiuta tutto" a livello di browser diventano più difficili da ignorare — gli stack analitici e adtech dovranno rispettarli automaticamente
  • Le regole del marketing B2B potrebbero divergere più nettamente dal B2C, con alcuni Stati membri che mantengono regimi B2C più severi
  • Le campagne di marketing transfrontaliere diventano più facili da verificare in termini di conformità da un'unica fonte di riferimento

9. Sanzioni — 20 milioni di euro o il 4% del fatturato globale (Articolo 83)

I due livelli

L'articolo 83 stabilisce due livelli massimi di sanzione:

  • Livello 1 — fino a 10 milioni di euro o al 2% del fatturato globale annuo, a seconda di quale sia maggiore: violazioni degli obblighi del titolare/responsabile del trattamento (artt. 8, 11, 25–39, 42, 43)
  • Livello 2 — fino a 20 milioni di euro o al 4% del fatturato globale annuo, a seconda di quale sia maggiore: violazioni dei principi fondamentali (art. 5), della base giuridica (art. 6), delle condizioni per il consenso (art. 7), delle categorie particolari di dati (art. 9), dei diritti degli interessati (artt. 12–22) e dei trasferimenti internazionali (artt. 44–49)

Come le autorità calcolano l'importo

L'EDPB ha pubblicato le Linee guida 04/2022 sul calcolo delle sanzioni amministrative (adottate il 24 maggio 2023), che stabiliscono una metodologia in cinque fasi:

  1. Identificare le operazioni di trattamento e applicare l'art. 83(3) per determinare se si applica una o più sanzioni
  2. Identificare l'importo di partenza in base alla gravità della violazione (art. 83(2)(a) (b) (g))
  3. Applicare circostanze aggravanti o attenuanti (art. 83(2)(c)–(k))
  4. Garantire che non venga superato il limite massimo dinamico (art. 83(4)–(6))
  5. Valutare efficacia, proporzionalità e carattere dissuasivo

Il panorama delle sanzioni nel 2026

Le sanzioni GDPR cumulative superano i 5,5 miliardi di euro entro il 2026. Le penalità più rilevanti includono:

  • 1,2 miliardi di euro — Meta Platforms Ireland (DPC irlandese, 22 maggio 2023) — trasferimenti illeciti verso gli USA
  • 746 milioni di euro — Amazon Europe Core (CNPD lussemburghese, 16 luglio 2021) — consenso adtech
  • 405 milioni di euro — Meta / Instagram (DPC irlandese, 5 settembre 2022) — dati dei minori
  • 390 milioni di euro — Meta / Facebook + Instagram (DPC irlandese, gennaio 2023) — base giuridica per la pubblicità
  • 345 milioni di euro — TikTok (DPC irlandese, settembre 2023) — privacy dei minori
  • 290 milioni di euro — Uber B.V. (AP olandese, agosto 2024) — dati degli autisti verso gli USA
  • 225 milioni di euro — WhatsApp (DPC irlandese, settembre 2021) — carenze di trasparenza

La realtà per le PMI

Le sanzioni più eclatanti colpiscono i titolari più grandi, ma autorità di controllo come l'AEPD emettono regolarmente centinaia di sanzioni comprese tra 1.000 e 50.000 euro all'anno contro le PMI — le infrazioni tipiche sono informative privacy mancanti, videosorveglianza non dichiarata, cookie illegali e risposte tardive alle richieste degli interessati. Per un venditore online UE con un fatturato di 1-10 milioni di euro, l'esposizione realistica si colloca nell'intervallo di 5.000-100.000 euro per rilievo — significativa, ma sostenibile, a condizione che sia in atto una conformità di base.

📊 Previsione del rischio sanzionatorio nel pannello

La dashboard di conformità Zunapro confronta le tue attività di trattamento con la metodologia di calcolo delle sanzioni dell'EDPB e segnala per prime le lacune a più alto rischio.

Avvia la valutazione del rischio →

10. Checklist GDPR per l'e-commerce + autorità nazionali

La checklist operativa in 12 punti

  1. Nominare un titolare del trattamento e (se richiesto) un DPO — documentare pubblicamente la nomina e i dati di contatto
  2. Mantenere un registro ex art. 30 delle attività di trattamento, indicizzato per finalità, base giuridica, destinatari, conservazione, trasferimenti
  3. Pubblicare un'informativa privacy conforme al GDPR ai sensi degli artt. 13–14 — a più livelli, chiaramente redatta, nella lingua del mercato
  4. Implementare una CMP compatibile TCF v2.2 con pulsanti "Accetta tutto" / "Rifiuta tutto" equivalenti e controlli granulari
  5. Documentare la base giuridica per ogni attività di trattamento — distinguendo in particolare contratto, legittimo interesse e consenso
  6. Firmare DPA (art. 28) con ogni responsabile del trattamento — gateway di pagamento, fornitori di hosting, partner logistici, strumenti di marketing
  7. Configurare i flussi per le richieste degli interessati — artt. 15–22, SLA di un mese, verifica dell'identità, traccia di audit
  8. Definire i piani di conservazione ed eliminazione — dati degli ordini, dati di marketing, dati di log, dati di pagamento, ciascuno con il proprio termine
  9. Implementare un piano di risposta alle violazioni entro 72 ore — playbook, DPO designato, modelli per le autorità, monitoraggio
  10. Firmare le SCC 2021 + eseguire le TIA per ogni trasferimento non adeguato; affidarsi al DPF UE–USA quando il responsabile è certificato
  11. Eseguire DPIA (art. 35) per i trattamenti ad alto rischio — profilazione, dati su larga scala di categorie particolari, monitoraggio sistematico
  12. Formare il personale, registrare le decisioni, documentare tutto — la responsabilizzazione (art. 5(2)) è essa stessa un obbligo sostanziale

Autorità nazionali di controllo — chi contattare e quando

Stato membro Autorità Città Focus di applicazione rilevante 2026
Francia CNIL Parigi Cookie, adtech, TCF, sanzioni elevate
Spagna AEPD Madrid Applicazione verso le PMI, videosorveglianza, ritardi nelle richieste degli interessati
Italia Garante Roma AI/ChatGPT, telemarketing, cookie
Germania — federale BfDI Bonn Organismi federali, operatori telefonici, servizi postali
Germania — Länder 16 autorità dei Länder Per Land Applicazione nel settore privato (LfDI BW, BlnBDI, HmbBfDI le più attive)
Paesi Bassi Autoriteit Persoonsgegevens (AP) L'Aia Cookie wall, registro AI, fughe di dati governative
Irlanda Data Protection Commission (DPC) Dublino Autorità guida per le big tech, sanzioni più elevate
Ungheria NAIH Budapest Videosorveglianza, riconoscimento facciale, dati HR
Belgio Gegevensbeschermingsautoriteit (APD/GBA) Bruxelles Adtech, sentenze IAB Europe TCF
Regno Unito ICO (UK GDPR) Wilmslow Adtech, codice per i minori, linee guida sull'AI

Come leggere la tabella: per i casi transfrontalieri si applica il meccanismo dello "sportello unico" e l'autorità capofila è quella dello Stato in cui si trova lo stabilimento principale del titolare. Per i reclami puramente nazionali, se ne occupa l'autorità locale. Zunapro memorizza una configurazione dell'autorità capofila per ciascun tenant, così i reclami dei clienti vengono instradati automaticamente.

Come rendere uno storefront Zunapro pronto per il GDPR — passo dopo passo

1. Configura il titolare del trattamento e il DPO

Nel pannello Zunapro → Impostazioni → Privacy, dichiara l'entità giuridica titolare, l'indirizzo registrato, il rappresentante UE (se ti trovi al di fuori dell'UE) e i dati di contatto del DPO. Questi valori popolano l'informativa privacy ex art. 13, il primo livello del banner cookie e la configurazione della casella di posta per le richieste degli interessati.

2. Attiva la CMP TCF v2.2

  • Abilita la Consent Management Platform in Impostazioni → Cookie
  • Scegli il layout (banner, modale, barra) e conferma il trattamento equivalente di "Accetta tutto" / "Rifiuta tutto"
  • Seleziona le finalità 1-11 dalla GVL del TCF — Zunapro pre-seleziona le impostazioni predefinite per l'e-commerce
  • Conferma il link permanente "Impostazioni cookie" nel footer

3. Genera l'informativa privacy ex art. 13

Zunapro genera un'informativa multilingue a partire dai dati inseriti al punto 1 e dalle integrazioni collegate (gateway di pagamento, strumenti di marketing, regione di hosting). Rivedi, modifica la versione localizzata per ogni mercato, pubblica.

4. Configura il flusso per le richieste degli interessati

  • Configura la casella di posta privacy (o l'endpoint del modulo web)
  • Mappa il diritto (accesso, cancellazione, ecc.) al relativo SLA e ai sistemi che devono intervenire
  • Attiva il registro di audit

5. Attiva il monitoraggio delle violazioni + la libreria SCC

Attiva il playbook di risposta agli incidenti entro 72 ore e importa le SCC 2021 pre-firmate per ogni sub-responsabile che opera al di fuori dell'UE/SEE. Zunapro invia promemoria annuali per l'aggiornamento delle TIA.

6. Vai in produzione

  1. Accedi a Zunapro e apri il modulo UE
  2. Attiva il Privacy Hub nelle Impostazioni
  3. Segui la procedura guidata — titolare, DPO, CMP, informativa privacy, richieste degli interessati, piano per le violazioni, SCC
  4. Traduci in ogni mercato in cui vendi (Zunapro offre modelli in EN, DE, FR, ES, IT, NL, PL, HU, PT, RO, CS, SK)
  5. Vai in produzione — il primo passaggio completo end-to-end si conclude tipicamente in 10-15 minuti per un singolo storefront

Rendi ogni storefront UE pronto per il GDPR in un unico pannello

CMP TCF v2.2 · Informativa privacy ex art. 13 · Flusso per le richieste degli interessati · Risposta alle violazioni entro 72 ore · SCC 2021 + TIA · libreria di autorità pre-mappata per CNIL, AEPD, Garante, BfDI, AP, NAIH, ICO. Integrazione in 10 minuti, nessuna demo richiesta.

Connetti i marketplace UE →

FAQ sul GDPR UE 2026

Che cos'è il GDPR e quando è entrato in vigore?

Il GDPR è il Regolamento generale sulla protezione dei dati — formalmente il Regolamento (UE) 2016/679. È stato adottato il 27 aprile 2016 ed è diventato direttamente applicabile nei 27 Stati membri dell'UE e nei tre paesi SEE (Norvegia, Islanda, Liechtenstein) il 25 maggio 2018.

Essendo un Regolamento e non una Direttiva, è entrato in vigore nella stessa data in ogni Stato membro, senza recepimento nazionale. Ha sostituito la Direttiva sulla protezione dei dati del 1995 (95/46/CE).

Ho bisogno del consenso GDPR per i cookie sul mio sito e-commerce?

Sì, per qualsiasi cookie non essenziale: analitici, pubblicitari, di personalizzazione, di A/B testing, embed di terze parti. I cookie strettamente necessari (carrello, sessione di login, token CSRF) sono esenti ma devono comunque essere documentati.

Il framework IAB Europe TCF v2.2, obbligatorio da novembre 2023, è lo standard per raccogliere e segnalare il consenso. Caselle preselezionate, cookie wall senza un'opzione di rifiuto equivalente e la "navigazione continuata come consenso" sono esplicitamente vietati dalle linee guida dell'EDPB e dalle decisioni di applicazione di CNIL/AEPD.

L'informativa sulla privacy è obbligatoria ai sensi del GDPR?

Sì. Gli articoli 13 e 14 del GDPR richiedono a ogni titolare del trattamento — incluso ogni venditore e-commerce — di fornire un'informativa chiara e trasparente. I contenuti obbligatori includono l'identità del titolare, le finalità e le basi giuridiche del trattamento, i periodi di conservazione, i destinatari, i trasferimenti internazionali, i diritti degli interessati e il diritto di proporre reclamo a un'autorità di controllo.

L'informativa deve essere in linguaggio semplice, facilmente accessibile (di solito collegata dal footer di ogni pagina) e corrispondere alle effettive attività di trattamento. Le informative standardizzate che non corrispondono al registro ex art. 30 sono un motivo frequente di sanzione.

Quando un'attività e-commerce deve nominare un DPO?

L'articolo 37 del GDPR richiede un Responsabile della protezione dei dati quando (a) il trattamento è effettuato da un'autorità pubblica, (b) le attività principali richiedono il monitoraggio regolare e sistematico su larga scala degli interessati, oppure (c) le attività principali comportano il trattamento su larga scala di categorie particolari di dati o dati relativi a condanne penali.

La soglia dei 250 dipendenti, spesso citata, riguarda la tenuta dei registri ex art. 30, non la nomina del DPO. In pratica, la maggior parte dei marketplace, dei grandi rivenditori e delle attività e-commerce con forte pubblicità comportamentale necessita di un DPO indipendentemente dal numero di dipendenti. Le regole nazionali possono essere più severe — la legge tedesca BDSG richiede un DPO a partire da 20 persone coinvolte nel trattamento automatizzato.

Quali sono i diritti degli interessati previsti dal GDPR?

Il Capo III (artt. 15-22) garantisce otto diritti: accesso (art. 15), rettifica (art. 16), cancellazione / diritto all'oblio (art. 17), limitazione (art. 18), portabilità dei dati (art. 20), opposizione (art. 21), e il diritto di non essere sottoposti a decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione (art. 22), oltre al diritto di essere informati (artt. 13-14).

L'articolo 12 stabilisce le regole operative: rispondere entro un mese, prorogabile di ulteriori due mesi per richieste complesse o numerose, gratuitamente a meno che la richiesta non sia "manifestamente infondata o eccessiva".

Cos'è la regola della notifica delle violazioni entro 72 ore?

L'articolo 33 del GDPR richiede ai titolari del trattamento di notificare all'autorità di controllo competente una violazione dei dati personali entro 72 ore dal momento in cui ne sono venuti a conoscenza, a meno che la violazione non presenti probabilmente rischi per i diritti e le libertà delle persone fisiche. In caso di rischio elevato, l'articolo 34 richiede anche la notifica agli interessati senza ingiustificato ritardo.

Le notifiche tardive o mancanti generano regolarmente sanzioni indipendentemente dalla violazione sottostante — Twitter International (450.000 euro, DPC irlandese, 2020) e Uber (600.000 euro, AP olandese) sono esempi noti.

Come posso trasferire i dati dei clienti e-commerce fuori dall'UE dopo Schrems II?

Dopo Schrems II (CGUE C-311/18, 16 luglio 2020), il Privacy Shield è stato invalidato. I trasferimenti verso un paese terzo richiedono ora (i) una decisione di adeguatezza della Commissione — attualmente valida per Regno Unito, Svizzera, Giappone, Corea del Sud, Canada (organizzazioni commerciali), Israele e altri, oltre al Data Privacy Framework UE–USA adottato a luglio 2023 — oppure (ii) le Clausole Contrattuali Standard 2021 insieme a una Valutazione d'impatto sul trasferimento e a misure tecniche supplementari.

La crittografia end-to-end, la pseudonimizzazione e le misure contrattuali/organizzative sono le garanzie supplementari più comuni (Raccomandazioni EDPB 01/2020).

In che modo il Regolamento ePrivacy cambierà le regole sui cookie?

Il Regolamento ePrivacy, destinato a sostituire la Direttiva ePrivacy 2002/2009 (Direttiva 2002/58/CE, la "Direttiva Cookie"), è in fase di negoziazione dal 2017. Una volta adottato, armonizzerà le regole su cookie, marketing elettronico e metadati in tutta l'UE a livello di regolamento, sostituendo l'attuale mosaico di leggi nazionali.

L'aspettativa attuale nel 2026 è la finalizzazione durante la nuova legislatura della Commissione. Fino ad allora, le leggi ePrivacy nazionali (Francia LCEN / Deliberazione CNIL 2020-091, Germania TTDSG/TDDDG, Spagna LSSI-CE, linee guida cookie del Garante italiano 2021) restano in vigore insieme al GDPR. Una CMP TCF v2.2 è già compatibile in prospettiva con la bozza dell'ePR.

Quanto sono elevate le sanzioni GDPR e chi le emette?

L'articolo 83 del GDPR stabilisce due livelli: fino a 10 milioni di euro o al 2% del fatturato globale annuo (a seconda di quale sia maggiore) per le violazioni amministrative, e fino a 20 milioni di euro o al 4% del fatturato globale annuo per le violazioni dei principi fondamentali, della base giuridica, dei diritti degli interessati e dei trasferimenti internazionali.

Le sanzioni sono emesse dalle autorità nazionali di controllo — CNIL (Francia), AEPD (Spagna), Garante (Italia), BfDI e le 16 autorità dei Länder (Germania), AP (Paesi Bassi), NAIH (Ungheria), ICO (Regno Unito, secondo lo UK GDPR), il DPC irlandese (autorità capofila per la maggior parte dei casi delle big tech). La sanzione singola più elevata finora è di 1,2 miliardi di euro contro Meta Platforms Ireland (DPC irlandese, maggio 2023).

Come si presenta una checklist GDPR minima per un venditore e-commerce UE?

Dodici elementi essenziali: (1) nominare un titolare del trattamento e, ove richiesto, un DPO; (2) mantenere i registri delle attività di trattamento ex art. 30; (3) pubblicare un'informativa privacy conforme al GDPR; (4) implementare il consenso cookie TCF v2.2; (5) documentare la base giuridica per ogni attività di trattamento; (6) firmare Accordi sul Trattamento dei Dati con ogni responsabile; (7) configurare i flussi di gestione delle richieste degli interessati con SLA; (8) definire i piani di conservazione ed eliminazione; (9) implementare un piano di risposta alle violazioni entro 72 ore; (10) predisporre SCC 2021 + TIA per i trasferimenti non adeguati; (11) eseguire DPIA per i trattamenti ad alto rischio; (12) formare il personale e documentare tutto.

Il GDPR si applica ai venditori extra-UE che spediscono nell'UE?

Sì. L'articolo 3(2) del GDPR ha portata extraterritoriale: qualsiasi titolare o responsabile del trattamento al di fuori dell'UE che offra beni o servizi a interessati nell'UE/SEE, o ne monitori il comportamento, è soggetto al GDPR.

I venditori extra-UE devono nella maggior parte dei casi nominare un rappresentante nell'UE ai sensi dell'articolo 27 — una persona fisica o giuridica stabilita nell'UE che agisce come punto di contatto per le autorità di controllo e gli interessati. Le attività e-commerce turche, britanniche, statunitensi e asiatiche che vendono in modo transfrontaliero nell'UE necessitano quindi tutte della conformità al GDPR e, tipicamente, di un rappresentante ex art. 27.

Qual è la differenza tra titolare del trattamento e responsabile del trattamento?

Il titolare del trattamento determina le finalità e i mezzi del trattamento — tipicamente il venditore e-commerce stesso. Il responsabile del trattamento tratta i dati personali per conto del titolare secondo istruzioni documentate — tipicamente gateway di pagamento, partner logistici, strumenti di marketing, fornitori di hosting.

L'articolo 28 richiede un Accordo sul Trattamento dei Dati (DPA) scritto tra le parti, che copra l'oggetto, la durata, la natura, la finalità, le categorie di dati, gli obblighi del titolare e quelli del responsabile (inclusa l'autorizzazione dei sub-responsabili, la notifica delle violazioni al titolare, la cancellazione/restituzione al termine del servizio).

Quanto tempo serve per rendere conforme al GDPR uno storefront Zunapro?

Circa 10 minuti per lo strato tecnico. Zunapro offre storefront pronti per il GDPR con una Consent Management Platform compatibile TCF v2.2, modelli di informativa privacy ex art. 13 in 12 lingue UE, flussi per le richieste degli interessati, regole di conservazione configurabili, strumenti automatizzati per la notifica delle violazioni e SCC 2021 pre-firmate per i sub-responsabili.

Il lavoro restante è di natura organizzativa piuttosto che tecnica: documentare le basi giuridiche per ogni attività di trattamento, popolare il registro ex art. 30 e allineare i dati di contatto dell'autorità di controllo competente. La maggior parte dei venditori completa il primo giro completo nel giro di un pomeriggio, per poi perfezionarlo progressivamente.

Avvia il tuo stack e-commerce UE — conforme al GDPR fin dall'inizio

Regolamento (UE) 2016/679 · Consenso cookie TCF v2.2 · Informativa privacy ex art. 13 · 8 diritti degli interessati · Risposta alle violazioni entro 72 ore · SCC 2021 + TIA · libreria di autorità pre-mappata per CNIL, AEPD, Garante, BfDI, AP, NAIH, ICO. Un unico pannello, ogni storefront UE, ogni marketplace.

🇪🇺 Avvia in tutta l'UE →
Condividi:

Hai bisogno di aiuto?

Servizio correlato: E-Commerce

Contattaci

Ottieni una consulenza gratuita per il tuo progetto e-commerce.

Chatta su WhatsApp