Privacy policy

1. PROTEZIONE DEI DATI PERSONALI (GDPR)

Carenza riscontrata

Assenza o inadeguatezza di una Informativa Privacy conforme al RegUE 679/2016, nonché mancata strutturazione dei presidi minimi di accountability.

Portata della carenza

Il sito tratta dati personali (account, ordini, contatti, newsletter, analytics).

In assenza di informativa valida e basi giuridiche esplicitate, ogni trattamento è giuridicamente illecito.

La carenza non è meramente formale ma strutturale, poiché incide sulla liceità complessiva dell’operatività del sito.

Intervento richiesto – Strutturazione tecnica

Redazione e pubblicazione di una Privacy Policy completa, accessibile:

da footer;

da ogni modulo di raccolta dati;

prima della conclusione dell’ordine.

Struttura minima dell’informativa (obbligatoria):

Identità del Titolare del trattamento (denominazione, sede, contatti).

Finalità del trattamento, distinte per tipologia di dato.

Base giuridica per ciascuna finalità (contratto, consenso, obbligo legale, legittimo interesse).

Destinatari e categorie di destinatari dei dati.

Trasferimenti extra-UE (se presenti) e garanzie.

Periodi di conservazione o criteri di determinazione.

Diritti dell’interessato (artt. 15-22 GDPR).

Diritto di reclamo al Garante.

Natura obbligatoria/facoltativa del conferimento.

Adeguamento dei moduli di raccolta dati:

checkbox di consenso non preselezionate;

consensi separati per marketing/profilazione;

link diretto all’informativa.

Predisposizione del Registro dei trattamenti (art. 30 GDPR).

Formalizzazione dei rapporti con fornitori terzi (hosting, e-commerce platform, analytics) mediante accordi ex art. 28 GDPR.

Fonti normative di riferimento

RegUE 679/2016, artt. 5, 6, 12-14, 24, 25, 30, 32

DLgs 196/2003, come modificato dal DLgs 101/2018

Soglie minime e tolleranze

Nessuna tolleranza sulla mancanza di informativa e basi giuridiche.

L’informativa deve essere preventiva, non sanabile ex post.

Tolleranza solo su elementi marginali di stile, non sul contenuto sostanziale.

Profili di responsabilità e sanzioni

Sanzioni amministrative fino a 20 milioni € o 4% del fatturato mondiale (art. 83 GDPR).

Possibile blocco dei trattamenti da parte del Garante.

Responsabilità civile per danno agli interessati (art. 82 GDPR).

Rilevanza ai fini DLgs 231/2001 (reati privacy).

2. COOKIE, TRACCIAMENTO E PROFILAZIONE

Carenza riscontrata

Assenza o non conformità del meccanismo di gestione dei cookie, con potenziale installazione di cookie non tecnici senza consenso valido.

Portata della carenza

I cookie di profilazione e terze parti richiedono consenso preventivo.

L’installazione automatica configura trattamento illecito di dati.

È una delle violazioni più frequentemente sanzionate dal Garante.

Intervento richiesto – Strutturazione tecnica

Implementazione di un Cookie Banner conforme, con:

pulsanti “Accetta” e “Rifiuta” di pari evidenza;

nessun cookie non tecnico prima della scelta;

assenza di consenso implicito (scroll, chiusura automatica).

Cookie Policy estesa, contenente:

elenco dettagliato dei cookie;

finalità;

durata;

soggetti terzi;

modalità di revoca.

Gestione granulare delle preferenze (categorie cookie).

Meccanismo permanente di modifica/revoca del consenso (link sempre visibile).

Blocco tecnico preventivo di:

pixel marketing;

analytics non anonimizzati;

strumenti di advertising.

Fonti normative di riferimento

Art. 122 DLgs 196/2003

RegUE 679/2016, artt. 4, 6, 7

Provvedimento Garante Privacy 10.06.2021 (Linee guida cookie)

Soglie minime e tolleranze

Zero tolleranza per cookie non tecnici senza consenso.

Il consenso deve essere:

libero;

specifico;

informato;

revocabile.

Profili di responsabilità e sanzioni

Sanzioni GDPR fino a 20 milioni € / 4% fatturato.

Ordine di disattivazione dei tracciamenti.

Pubblicazione del provvedimento sanzionatorio.

Rischio reputazionale elevato.

3. TRASPARENZA SOCIETARIA E INFORMAZIONI LEGALI OBBLIGATORIE

Carenza riscontrata

Inadeguata esposizione dei dati identificativi dell’operatore economico, richiesti dalla normativa sul commercio elettronico e dal diritto societario.

Portata della carenza

Il consumatore non è posto in condizione di identificare chiaramente il venditore.

La carenza incide sulla validità delle comunicazioni commerciali e sulla fiducia del mercato.

Rilevante anche in ottica fiscale.

Intervento richiesto – Strutturazione tecnica

Inserimento stabile (footer / “Note legali”) dei seguenti dati:

Denominazione sociale completa.

Forma giuridica.

Sede legale.

Codice Fiscale e Partita IVA.

Numero REA e CCIAA.

Recapiti email (e PEC se disponibile).

Indicazione chiara della P.IVA in homepage.

Aggiornamento costante in caso di variazioni societarie.

Fonti normative di riferimento

DLgs 70/2003, art. 7

Codice Civile, art. 2250

DPR 633/1972, art. 35

Soglie minime e tolleranze

Nessuna tolleranza per omissione dei dati essenziali.

È ammessa flessibilità solo sul layout grafico, non sulla reperibilità.

Profili di responsabilità e sanzioni

Sanzioni amministrative:

fiscali (omessa P.IVA);

commercio elettronico.

Rischio qualificazione come pratica commerciale scorretta (AGCM).

Compromissione della validità delle comunicazioni contrattuali.

Allego una visura in maniera da poter immediatamente intervenire per apportare le integrazioni richieste.

CONCLUSIONE OPERATIVA

Gli interventi sopra indicati costituiscono condizioni minime e inderogabili di liceità del sito web.

Senza il completamento integrale della P1, il sito opera in una condizione di esposizione sanzionatoria elevata e permanente.

Si raccomanda pertanto:

attuazione immediata degli interventi;

validazione giuridica finale prima del rilascio;

integrazione successiva con gli interventi P2–P4.