Remarketing e privacy: i limiti della normativa eCommerce

Negli ultimi anni, l’eCommerce ha vissuto un’evoluzione profonda, trasformandosi da canale emergente a componente strutturale del sistema economico. Un cambiamento che richiede oggi regole altrettanto strutturate.

La normativa, un tempo lacunosa e interpretabile, si sta progressivamente affinando per rispondere alla crescente complessità del settore. In questo scenario, colmare i vuoti legislativi non è solo una necessità giuridica: è una responsabilità verso il consumatore e un’occasione per rafforzare la fiducia nel digitale.Per chi fa business online, comprendere a fondo il quadro normativo non significa adattarsi per obbligo, ma fare scelte consapevoli, capaci di generare valore e relazioni durature.

Per una panoramica completa sulle normative di consenso e il loro impatto nel 2025, leggi anche: 🎯 Cookie Law e GDPR: Consenso E-commerce 2025

In questo articolo esploriamo uno dei nodi più delicati della regolamentazione digitale: il remarketing e il suo rapporto con la privacy. Analizzeremo cosa impongono il GDPR e le Cookie Law – due ambiti normativi sempre più centrali nelle strategie di marketing e gestione dei dati.

Navigare tra remarketing e GDPR: obblighi, limiti e buone pratiche

In cosa consiste il remarketing

Oggi, pensare di non avere una presenza eCommerce equivale a chiamarsi fuori dal mercato. Ma essere online, senza conoscere le regole del gioco, può tradursi in errori costosi.
Per questo è fondamentale aggiornarsi, comprendere i limiti imposti dalla legge e agire nel rispetto delle normative: non solo per evitare sanzioni, ma per costruire un ecosistema digitale più trasparente e sostenibile.

Per comprendere meglio il rapporto tra privacy e remarketing è opportuno sapere in cosa consiste questa tecnica di marketing.

Conosciuto meglio come retargeting, il remarkering mira a tutti quegli utenti che, dopo aver visitato un sito web, non hanno acquistato alcun prodotto o servizio, magari lasciandolo nel carrello online.

Tramite la pubblicità sui social o su altri siti, che a molti può apparire casuale ma non lo è affatto, si punta a riportare i clienti sui proprio passi e tornare sulla pagina che si è abbandonata per completare il proprio acquisto.

Vediamo quindi quali sono i canali utilizzati e come questi interferiscano con il concetto di privacy sugli eCommerce secondo la normativa vigente.

Attraverso quali canali agisce il remarketing?

Sul web esistono diversi canali pubblicitari utilizzati dalle aziende, ma il principale è certamente la rete display di Google.

Questa è formata da oltre un milione di siti differenti, che ogni giorno inseriscono la propria pubblicità aggiornata su Google AdWords. In questo modo è possibile raggiungere un target ampio di clienti, che il sistema identifica in modo prioritario tra quelli che si sono mostrati interessati al sito e agli articoli o servizi presenti su di esso.

Il secondo canale attraverso il quale maggiormente agisce il remarketing è Facebook, che però si rivolge esclusivamente a un segmento specifico e quindi raggiunge un numero di utenti minore.

La modalità attraverso la quale viene configurato un remarketing efficace sono i cookies. Generalmente è il proprietario del sito, anche tramite i suoi gestori del marketing, a configurare il pubblico al quale si desidera arrivare attraverso una specifica iniezione di cookies, messi appunto a disposizione dalla piattaforma tramite il pixel di remarketing, un codice javascript che ha il compito di monitorare e tracciare il comportamento degli utenti che accettano.

Lo scopo del codice è quindi duplice, inserendo i cookies nel sistema dell'utente e registrandolo così all'interno dei database principali, come quelli di Google e Facebook, con l'obiettivo di classificarlo e poter così inviare la pubblicità più vicina alle sue ultime ricerche.

Nel corso del tempo il remarketing si è sempre più perfezionato e si è mostrato la tecnica più efficace.

🎯 Leggi anche: Google Analytics e GDPR: Cosa Cambia per l'E-commerce nel 2025

Come conciliare remarketing e GDPR

Classificando il cliente tramite i sistemi che abbiamo citato si acquisiscono dati personali e si traggono informazioni sensibili che lo identificano in modo quasi univoco. Se talvolta hai l'impressione che il pc conosca ogni tua mossa e desiderio del momento, è proprio perché cliccando sull'accettazione dei cookies hai dato accesso alle tue informazioni e hai permesso un monitoraggio delle attività giornaliere.

La direttiva europea 95/46/CE definisce le modalità e la tipologia di dati che si possono raccogliere per profilare il cliente, come nome, cognome, indirizzo, numero di telefono e l'indirizzo e-mail.

Se in genere la semplice consultazione degli annunci di remarketing non comporta l'uso di Personally Identifiable Information o PII, se il proprietario del sito desidera coniugare i cookies del remarketing all'identificazione del cliente deve inserire l'informativa precisa con i termini di trattamento.

Per compiere tale operazione può utilizzare mezzi propri o affidarsi a terze parti, così da avere une gestione professionale del sistema, nell'ottica di uno sviluppo del marketing nel rispetto della normativa di legge.

Come attivare campagne di remarketing nel rispetto del GDPR e della Cookie Law

Quando si istituisce il trattamento di remarketing è necessario seguire una serie di step per evitare di contravvenire al concetto di privacy. In primo luogo avviene l'esecuzione di una DPIA, seguita da un aggiornamento della privacy policy, della cookie policy estesa e della cookie policy breve. Infine si richiede al cliente di prestare il consenso.

Entriamo nel dettaglio delle specifiche voci e vediamo in cosa consistono e come comportarsi per non contravvenire la normativa di legge.

Esecuzione di una DPIA

Il regolamento europeo prescrive che, prima di eseguire ogni genere di trattamento di remarketing, sia necessario effettuare i controlli privacy by design e by default.

Esistono infatti dei rischi per i diritti e la libertà dell'utente, che coinvolgono sia la profilazione sia l'incrocio dei dati e la loro raccolta su database come quelli di Facebook o Google.

Ad esempio, grazie al pixel di remarketing di Facebook, il proprietario di un sito può raggiungere gli utenti che hanno visitato al pagina, impostante un tempo variabile di alcuni giorni per la proiezione della pubblicità inerente. L'esecuzione di una DPIA è comunque regolamentata dal WP 248 rev. 01, che può essere consultato nel dettaglio delle sue singole norme.

Aggiornamento dell’informativa privacy

Descrivere il trattamento di remarketing che si andrà a compiere sul cliente è essenziale nel rispetto del GDPR in termini di trattamento e privacy.

Pertanto, l'informativa deve essere aggiornata periodicamente, citando necessariamente le obbligazioni di cui all'articolo 13 del GDPR relativo al consenso dell'utente stesso.

Oltre alla più ampia informativa, contenente tutti i dettagli che abbiamo citato, è possibile inserirne una più breve, con maggiore probabilità che il cliente la legga e presti il proprio consenso. Infine, la stessa informativa deve recare tutte le indicazioni per negare il consenso oppure cancellarlo anche dopo averlo fornito.

🎯 Per comprendere quali regole GDPR sono ancora in vigore e come applicarle correttamente nell’eCommerce, leggi: GDPR E-commerce: quali regole valgono ancora nel 2025.

Aggiornamento della cookie policy estesa

Colui che somministra il trattamento deve fornire all'utente anche una serie di indicazioni connesse alla privacy, da inserire nella cookie policy estesa.

In primo luogo è necessario specificare il nome, il tipo e la finalità dei cookie, con la possibilità di accettarli e successivamente poter revocare il consenso seguendo le direttive presenti nella spiegazione del trattamento.

Il titolare del trattamento deve inoltre essere raggiungibile tramite link, non solo sulla pagina principale ma anche su quelle secondarie. Non è un obbligo ma una prassi utile citare come strumento lo European Interactive Digital Advertising Alliance (EDAA), che gestisce il programma europeo relativo alla pubblicità comportamentale.

Aggiornamento della cookie policy breve

Oltre alla policy estesa, come anticipato è necessario inserirne anche una breve. Questa deve riportare l'eventuale impiego di cookie a fini pubblicitari, l'uso di terze parti utilizzate per eseguire un remarketing professionale, un link che richiami in modo intuitivo e immediato l'informativa estesa e un tasto specifico per prestare il consenso a tutto quello che si è letto.

Per l'uso di remarketing è necessario inserire una descrizione nei banner cookie.

Registrazione del consenso

Come riportato dal GDPR, per consenso si intende una manifestazione di volontà libera, specifica e inequivocabile dell'interessato, al quale sono stati forniti tutti gli strumenti utili a prendere una consapevole decisione.

Tutti i consensi ottenuti devono essere dimostrabili da parte del titolare, tramite le seguenti informazioni registrate: indirizzo IP dell'utente, richiesta identificata con sessione ID, riferimento per il collegamento alla persona che ha prestato il consenso e data e ora della richiesta.

Qual è l'impatto del GDPR sul potenziale di sviluppo degli eCommerce

Il Regolamento E-privacy nel GDPR ha messo in parte ordine in un ambito delicato dal punto di vista della tutela del consumatore e dei suoi dati personali.

L'utilizzo di cookie e della profilazione è decisamente utile come strategia di marketing e ha portato successi tangibili, ma allo stesso tempo può essere uno strumento pericoloso se usato senza preoccuparsi della trasparenza.

Attualmente quasi tutti gli eCommerce hanno implementato al proprio sistema di email e newsletter anche la profilazione degli utenti, così da creare gruppi mirati al quale inviare pubblicità specifica, tramite social e piattaforme come Google.

Se la sicurezza è essenziale in ogni ambito, esistono settori lavorativi che richiedono accortezze specifiche, come ad esempio quelli legati alla vendita di prodotti a carattere politico e religioso.

Al fine di proteggere quindi i dati particolari, è necessario nominare una terza parte idonea che sappia come trattare il remarketing, valutando l'impatto del trattamento su piccola, media e larga scala ed eventualmente nominando un DPO.

Gli eCommerce che operano in modo strettamente connesso con il B2B sono meno vincolati dal punto di vista del GPDR, anche se devono comunque seguire i passi che abbiamo citato se desiderano eseguire una personale attività di remarketing.

Cosa comporta il mancato rispetto della normativa legata al remarketing

La stretta del GDPR sulla normativa eCommerce ha vincolato i titolari di siti al rispetto delle regole, inizialmente scoraggiando anche alcune attività a intraprendere questa strada, divenuta però ormai un canale quasi essenziale per la vendita.

Il mancato rispetto delle regole può infatti comportare salate sanzioni amministrative, che solitamente si attestano fino a un massimo di 10.000 euro.

Nel casi più gravi si può arrivare addirittura a multe di 40.000/50.000 euro se le clausole inserite nella policy sono considerate vessatorie o mancano della trasparenza richiesta. Oltre a pagare compensi pecuniari, le aziende che si macchiano di azioni illecite di questo genere possono essere soggette a class action, attivate dal singolo o da intere associazioni a seconda del tipo di reato commesso, con una conseguente perdita economica e un danno all'immagine non indifferente per l'azienda.

Conclusioni

In un contesto digitale in continua evoluzione, adottare strategie di remarketing efficaci non può prescindere dal rispetto delle normative vigenti in materia di privacy. Il GDPR e la Cookie Law non rappresentano un ostacolo alla crescita dell’eCommerce, ma una cornice di regole necessarie per costruire un rapporto di fiducia duraturo con l’utente.

Conoscere i limiti normativi e applicarli correttamente significa tutelare non solo i dati personali, ma anche la reputazione del proprio brand. Per chi vende online, il rispetto delle regole è ormai parte integrante di una strategia sostenibile, trasparente e orientata al lungo termine.

Vuoi approfondire come applicare queste normative al tuo eCommerce?
Parliamone insieme: analizzeremo il tuo caso specifico e individueremo le soluzioni più adatte per rendere le tue attività di marketing conformi, efficaci e rispettose della privacy.