Cosa raccogli a ogni vendita (e perché finora non ci hai pensato)
Prima di mettere in discussione qualcosa, mettiamo le cose in chiaro: vendere online è un mestiere vero, e gli strumenti che usi per farlo — la piattaforma del negozio, il gestionale, il tool di spedizione, quello di email — fanno tutti un lavoro onesto. Senza, non venderesti. Il punto non è quello. Il punto è cosa succede a ogni ordine, sotto al cofano.
Quando un cliente compra, tu raccogli un piccolo dossier su di lui: nome e cognome, indirizzo di spedizione e di fatturazione, email, telefono, cosa ha comprato e quando, e i dati legati al pagamento. È informazione che ti serve davvero per evadere l’ordine, emettere la fattura, spedire il pacco. Fin qui è tutto sano: raccogliere quei dati per completare la vendita è normale, ed è anche giusto.
Questo è il punto da cui partiamo: raccogliere i dati dell’ordine è normale e necessario. Il punto non è se puoi tenerli. Puoi, e devi. Il punto è un altro, ed è il motivo per cui sei finito su questa pagina: con quale consenso li hai raccolti, e dove finiscono a vivere una volta che il pacco è partito?
Comprare e iscriversi alle offerte non sono la stessa cosa (e trattarli uguale ti espone)
Cominciamo dalla parte che ti tiene sveglio: la conformità. C’è una distinzione che cambia tutto, e quasi nessun negozio online la rispetta al checkout. Una cosa è raccogliere i dati per completare l’ordine: per quello non ti serve il permesso del cliente, perché senza quei dati non gli puoi spedire la merce. Tutt’altra cosa è iscrivere quel cliente alla tua newsletter, mandargli offerte, profilarlo per la pubblicità: per questo ti serve un consenso vero, dato apposta, separato dall’acquisto. Cosa impone il GDPR a chi vende online parte proprio da qui — distinguere il dato che ti serve per lavorare dal dato che usi per fare marketing.
Non è teoria da convegno. Al checkout di moltissimi negozi succede l’opposto: la casella “acconsento a ricevere offerte” è già spuntata, oppure è incastrata dentro l’accettazione delle condizioni di vendita, così che chi compra si ritrova iscritto senza averlo scelto. Il consenso al marketing, per valere, deve essere libero e separato: il cliente deve poter comprare senza essere obbligato a dire sì alle email. Se lo costringi — “spunta qui per finire l’ordine” — quel consenso non vale, e tu ti ritrovi un database di contatti raccolti su una base che non regge.
Il problema pratico è che quasi nessuno lo ha messo a norma davvero. La casella è lì da quando hai aperto il negozio, magari pre-spuntata di default dal tema che hai scaricato, magari mai più toccata. E un consenso raccolto male non è un dettaglio formale: è la cosa che, il giorno in cui qualcuno controlla o un cliente si lamenta perché “non si è mai iscritto”, ti trovi a dover spiegare senza una risposta pronta.
Non hai un problema con i tuoi clienti. Hai un problema con un consenso preso al volo al checkout, che mescola l’acquisto con le offerte e che, raccolto così, non vale.
E qui c’è una distinzione che ti salva metà delle preoccupazioni, se la conosci. I dati che servono per evadere l’ordine — spedire, fatturare, gestire un reso — li tratti perché stai eseguendo un contratto con il cliente: per quelli non devi rincorrere un consenso, basta dirlo chiaro nella tua privacy policy. Il consenso vero serve per le cose in più: la newsletter, le offerte personalizzate, la profilazione. Trattare le due famiglie allo stesso modo — chiedere il permesso per tutto, o non chiederlo per niente — è dove quasi tutti sbagliano al checkout. La via onesta è una sola: tenere separati il “ti spedisco il pacco” e il “ti mando le offerte”, e chiedere il consenso solo dove serve davvero.
Ma la conformità del checkout è solo metà della storia. Perché anche con un consenso pulito, quei dati appena raccolti partono subito in viaggio — e si sparpagliano. Di questo secondo problema nessuno ti parla.
Lo stesso cliente vive in cinque posti, e nessuno di quei posti è tuo
Mettiamo che tu abbia sistemato il consenso al checkout. Resta il fatto che i dati di quell’ordine, appena raccolti, non restano fermi in un posto solo: partono subito a fare il giro dei tuoi strumenti. Ed è qui che nasce il guaio vero, quello operativo, di cui il GDPR è solo la spia.
Pensa a cosa succede dietro le quinte dopo un singolo acquisto. Il cliente entra nella piattaforma del negozio. La sua email finisce nel tool di email marketing. Il suo indirizzo va nel software delle spedizioni. La fattura passa nel gestionale o dal commercialista. E intanto i pixel pubblicitari sul sito hanno già mandato qualche segnale alle piattaforme di advertising. Lo stesso cliente, dopo un solo ordine, vive contemporaneamente in cinque posti diversi — ed è la definizione di un Frankenstein operativo: cinque pezzi cuciti insieme, ciascuno con la sua copia di un dato che non torna mai uguale.
Il risultato lo conosci anche se non l’hai mai chiamato così. Un cliente ti chiede di cancellare i suoi dati, e tu non sai nemmeno in quanti posti li hai. Aggiorni un indirizzo nella piattaforma, ma nel gestionale resta quello vecchio. Cancelli un iscritto dalla newsletter, ma il suo profilo resta acceso da un’altra parte. Per le tue decisioni — e per i tuoi obblighi — quei dati sono ovunque e da nessuna parte: e gestire i diritti di un cliente quando il suo dato è sparso su cinque pannelli è una rincorsa che non finisce mai.
E c’è il lato proprietà, che è il più scomodo. Nessuno di quei cinque posti è davvero tuo. Il database dei tuoi clienti — la cosa più preziosa che il negozio produce — vive in affitto su pannelli di altri, a cui accedi finché paghi l’abbonamento e finché quel servizio esiste. Il giorno che cambi piattaforma, o che un tool chiude, ti porti dietro i dati a fatica, a pezzi, sperando di non perderne per strada.
Il modo più rapido per dirlo: un negozio in regola non è quello che raccoglie meno dati, è quello che sa esattamente dove vivono e li tiene in un posto solo, suo. Lo si ottiene facendo confluire i dati di tutti gli ordini in un posto unico dove i clienti vivono una volta sola — un database tuo, sotto il tuo controllo, da cui gli altri strumenti pescano invece di tenere ciascuno la sua copia scollegata.
Cosa ti dà il negozio “alla rinfusa”, e cosa gli manca
| Dati clienti sparsi sui pannelli | Database clienti unico e tuo | |
|---|---|---|
| Consenso al checkout | Marketing e acquisto mescolati, casella pre-spuntata | Acquisto e consenso offerte separati e liberi |
| Dove vive il cliente | In cinque posti diversi, mai allineati | In un posto solo, da cui gli altri pescano |
| Se il cliente chiede di cancellarsi | Caccia al tesoro su ogni pannello | Un’azione sola, su un dato solo |
| Privacy policy | Generica, scollegata da dove tieni i dati | Allineata ai trattamenti che fai davvero |
| Dati di pagamento | Gestiti a metà, senza sapere chi vede cosa | Trattati dal circuito giusto, registrati a norma |
| Di chi è il database | In affitto sui pannelli, finché paghi | Tuo, esportabile, sotto il tuo controllo |
| Cosa hai in mano | Cinque copie parziali che non tornano | Un cliente vero, completo, una volta sola |
Letta così, sparisce la domanda sbagliata (“sono a norma sì o no?”) e resta quella giusta: i dati dei miei clienti li raccolgo con un consenso pulito e li tengo in un posto che è mio, o li ho lasciati sparsi su cinque pannelli di altri sperando che vada bene?
Prima di rifare il checkout o mettere mano alla privacy policy, scopri a che punto sei davvero: il voto GDPR del tuo negozio in pochi minuti, gratis e senza carta di credito.
I dati clienti sparsi ti costano due volte: in lavoro sprecato e in esposizione
Tenere i dati dei clienti sparsi su cinque pannelli, così come sono, ti presenta il conto da due lati nello stesso momento.
Dal lato dei soldi: ogni volta che vuoi fare qualcosa di utile con i tuoi clienti — una campagna su chi ha già comprato, un richiamo a chi ha lasciato il carrello, un’offerta a chi non torna da mesi — devi prima ricucire a mano dati che vivono in posti diversi e non tornano. Sprechi ore a esportare, incollare, correggere, e intanto il momento giusto per parlare a quel cliente è già passato. Un’agenzia brava — che fa un mestiere vero e ti porta acqua pulita ogni mese — lavora peggio se le passi un database a pezzi: riempie a fatica una piscina che perde dal fondo.
Dal lato del rischio: hai i dati personali dei tuoi clienti — anagrafica, indirizzi, abitudini d’acquisto, riferimenti di pagamento — in cinque posti, raccolti con un consenso confuso, senza che tu sappia con certezza chi vede cosa. Finché nessuno guarda, non succede niente. Ma il GDPR non è una cosa che “speri non capiti”: è un dovere che hai già adesso, ogni giorno che il negozio è aperto. E un cliente arrabbiato che fa una segnalazione costa molto più di mezza giornata spesa a mettere le cose a posto.
Qui i dati del negozio smettono di essere un argomento da addetti ai lavori e diventano un pezzo del tuo backend operativo. Il principio è lo stesso che applico ovunque: il dato vive in un posto solo, tuo, raccolto a norma e governabile. Un negozio online è una PMI a tutti gli effetti, e si mette in ordine come ogni altra: si parte dal capire quali dati raccogli, dove vivono e con quale consenso — esattamente il percorso della guida madre dell’adeguamento per le PMI. Non un negozio più bello: un sistema dove il dato del cliente non si perde — e non ti espone — tra un pezzo e l’altro.
La domanda non è “sono a norma sì o no”. È: oggi i dati dei miei clienti li controllo io, o li ho lasciati in affitto su cinque pannelli che non sono miei?
Cinque domande oneste sui dati dei tuoi clienti
Non serve una consulenza da migliaia di euro per capire se i dati del tuo negozio sono un problema. Bastano cinque domande.
- Al checkout, il cliente può comprare senza essere obbligato a iscriversi alle tue offerte — o la casella del marketing è incastrata dentro l’acquisto?
- Sai dire, di getto, in quanti posti diversi vive oggi il dato di un singolo cliente — o lo scopri solo quando devi cercarlo?
- Se un cliente ti chiede domani di cancellare i suoi dati, sai farlo in tutti i posti dove sono, o ne dimenticheresti qualcuno?
- La tua privacy policy descrive davvero come tratti i dati degli ordini e a chi li passi, o è un testo generico copiato da un altro sito?
- Il database dei tuoi clienti è qualcosa che potresti esportare e portarti via domani, o vive solo dentro pannelli a cui accedi finché paghi?
Se a queste domande hai risposto con un sospiro, non sei nei guai: sei nella situazione di quasi tutte le PMI italiane che vendono online. La differenza la fa misurare con precisione dove sei, invece di tirare a indovinare. E questo lo puoi fare adesso, da solo, in pochi minuti.
GDPR Quick Audit · il voto di conformità del tuo sito
Rispondi a poche domande sul tuo negozio — consenso al checkout, privacy policy, dove tieni i dati dei clienti, gestione dei diritti — e in pochi minuti hai un voto chiaro su quanto sei a norma e dove sei scoperto. Niente gergo da avvocato, solo dove intervenire per primo.
Inserisci i dati e parti. Senza carta di credito. Il risultato lo salvi nella tua Officina con la sola email, se vuoi tenertelo.
Il voto è il punto di partenza. Dice dove sei oggi; cosa farne, lo decidi tu.
Le domande che ti stai facendo adesso
Per gestire un ordine mi serve il consenso del cliente?
No, non per evadere l’ordine. I dati che servono a spedire, fatturare e gestire un eventuale reso li tratti perché stai eseguendo un contratto con il cliente: per quelli basta informare in chiaro nella privacy policy, non serve rincorrere un consenso. Il consenso serve invece per le cose in più — la newsletter, le offerte, la profilazione pubblicitaria. Confondere le due cose al checkout è l’errore più comune di chi vende online.
Come deve essere il consenso al marketing al checkout?
Libero e separato dall’acquisto. Il cliente deve poter comprare senza essere obbligato a iscriversi alle tue offerte: niente casella pre-spuntata, niente “spunta qui per completare l’ordine”. L’acquisto è una cosa, il “voglio ricevere le tue email” è un’altra, e vanno tenuti distinti. Un consenso strappato dentro l’acquisto, in pratica, è come non averlo.
Devo avere una privacy policy sul mio ecommerce?
Sì, e deve dire la verità su come tratti i dati. Non basta copiarne una da un altro negozio: deve descrivere quali dati raccogli a ogni ordine, perché li tratti, a chi li passi (il corriere, il tool di email, chi gestisce i pagamenti) e come il cliente può esercitare i suoi diritti. Una privacy policy generica e scollegata da quello che fai davvero ti dà l’illusione di essere a posto mentre non lo sei.
Dove devono stare i dati di pagamento dei miei clienti?
La regola pratica è non toccarli più del necessario. I dati delle carte li gestisce il circuito di pagamento che hai integrato, fatto apposta per trattarli in sicurezza: il tuo negozio, di norma, non deve conservare i numeri di carta. A te restano i dati dell’ordine e della fatturazione, che vanno tenuti dove sai chi li vede e con un registro di cosa succede. Meno dati sensibili passano dalle tue mani, meno sei esposto.
Quanto tempo ci vuole per mettere in regola il mio negozio?
Nessuno serio te lo dice prima di aver guardato come lavori. Dipende da quanti strumenti usi, da quanto sono sparsi oggi i dati, da com’è fatto il checkout e da quanto è disordinata la situazione di partenza. Chi ti spara una scadenza prima di guardare ti sta vendendo una promessa, non una stima. Il primo passo è sempre misurare lo stato attuale — consenso, privacy policy, dove vivono i dati — non firmare una tempistica al buio.
Da dove inizio, senza impegno?
Dagli strumenti diagnostici gratuiti: misuri il voto GDPR del tuo negozio — consenso al checkout, privacy policy, dati dei clienti — in pochi minuti, senza carta di credito e senza parlare con nessuno. Poi, se ha senso, ne parliamo.
Puoi continuare a vendere lasciando i dati dei tuoi clienti sparsi su cinque pannelli che non sono tuoi. Oppure puoi sapere, con un numero, esattamente a che punto sei.
Smetti di tenere i tuoi clienti in affitto. Misura dove vivono davvero i loro dati, e a quali condizioni.
La maggior parte degli imprenditori che mi scrive non ha un problema con i suoi clienti. Ha un problema con un consenso preso al volo al checkout, con i dati di ogni ordine che si sparpagliano su strumenti diversi, e con un database — la cosa più preziosa che il negozio produce — che vive in affitto su pannelli di altri.
Cambiare la piattaforma del negozio non lo risolve, perché il buco non è nella piattaforma: è nel modo in cui raccogli il consenso al checkout e in dove finiscono a vivere i dati dei clienti. Lo risolve separare l’acquisto dal marketing, scrivere una privacy policy che dice la verità, trattare i dati di pagamento dove devono stare, e far confluire tutto in un posto solo che è tuo — un database dei clienti completo, governabile, raccolto a norma dall’inizio. Se nel frattempo vuoi anche impostare bene il tuo negozio online, parte tutto da qui: il dato del cliente in ordine.
Non ti chiedo di firmare niente e non ti chiedo di credermi. Non sono un avvocato e non ti vendo la conformità garantita: l’interpretazione legale la cura chi di dovere. Io metto in ordine i dati dei tuoi ordini e dei tuoi clienti, così che il lavoro legale diventi semplice. Ti chiedo solo di guardare il voto GDPR del tuo negozio, gratis, in pochi minuti. Se quello che vedi ti suona familiare, andiamo avanti. Se non fa per te, chiudiamo qui senza rancore.
Ogni ordine ti lascia in mano i dati di un cliente. Adesso scopri dove sono finiti, e quanto ti stanno esponendo!
Strumenti gratuiti. Senza carta di credito. Senza parlare con nessuno.
