Questo blog è stato sviluppato utilizzando Nuxt.js per il front-end, Vercel per hosting e Sanity come CMS headless. Vedi il case.

+39 0444 625024 info@ictsviluppo.it
Home / Ecommerce / Da Schrems II al Data Privacy Framework: Shopify e la normativa europea sul dato.
Categoria:
  1. Ecommerce
Tag:

Da Schrems II al Data Privacy Framework: Shopify e la normativa europea sul dato.

3 maggio 2025

| Giovanni Fracasso |
4 minuti per leggere
Da Schrems II al Data Privacy Framework: Shopify e la normativa europea sul dato.

Il 16 luglio 2020, la Corte di Giustizia dell'Unione Europea (CGUE) ha emesso una sentenza storica nel caso C-311/18, noto come Schrems II, invalidando il Privacy Shield, l'accordo che regolava il trasferimento di dati personali tra l'UE e gli Stati Uniti. La Corte ha ritenuto che il Privacy Shield non offrisse un livello di protezione adeguato ai sensi del Regolamento Generale sulla Protezione dei Dati (GDPR), principalmente a causa delle leggi statunitensi che permettono l'accesso ai dati da parte delle agenzie di intelligence senza garanzie sufficienti per i cittadini europei.

L'annullamento del Privacy Shield ha creato un vuoto normativo, mettendo in difficoltà le aziende europee che trasferivano dati personali negli Stati Uniti. In assenza di un accordo valido, le imprese dovevano fare affidamento su strumenti alternativi, come le Clausole Contrattuali Standard (SCCs), per garantire la conformità al GDPR.

Per affrontare le criticità evidenziate dalla sentenza Schrems II, la Commissione Europea ha adottato, il 4 giugno 2021, nuove Clausole Contrattuali Standard per il trasferimento di dati personali verso paesi terzi. Queste clausole aggiornate mirano a fornire garanzie più robuste e a facilitare la conformità al GDPR.

Il 10 luglio 2023, la Commissione Europea ha approvato il Data Privacy Framework (DPF), un nuovo accordo che stabilisce un livello adeguato di protezione per i dati personali trasferiti dall'UE agli Stati Uniti. Il DPF introduce meccanismi per limitare l'accesso ai dati da parte delle agenzie di intelligence statunitensi e offre ai cittadini europei strumenti di ricorso più efficaci.

Con l'adozione del DPF, le aziende italiane possono nuovamente trasferire dati personali negli Stati Uniti, a condizione che i destinatari statunitensi siano certificati nell'ambito del nuovo accordo. Tuttavia, è fondamentale che le imprese verifichino la conformità dei loro partner statunitensi e aggiornino le loro politiche e contratti per riflettere le nuove disposizioni.

In sintesi, la sentenza Schrems II ha rappresentato una sfida significativa per le aziende che operano a livello internazionale. Tuttavia, grazie all'adozione delle nuove SCCs e del Data Privacy Framework, le imprese italiane hanno ora strumenti aggiornati per garantire la conformità al GDPR e continuare le loro attività transfrontaliere in modo sicuro e legale.

Partiamo da un punto: potete utilizzare Shopify, restando nel perimetro della legislazione europea sul trasferimento dei dati personali? Sì, con le dovute attenzioni - come dovreste fare con ogni sistema.

Attualmente, Shopify non risulta tra le aziende statunitensi auto-certificate nell'ambito del EU–US Data Privacy Framework (DPF), il nuovo accordo che regola il trasferimento di dati personali dall'Unione Europea agli Stati Uniti.

Questo significa che i dati trattati da Shopify non possono beneficiare direttamente della decisione di adeguatezza della Commissione Europea del 10 luglio 2023, che consente trasferimenti di dati verso aziende statunitensi aderenti al DPF senza necessità di ulteriori garanzie.

Tuttavia, Shopify ha implementato diverse misure per aiutare i commercianti a conformarsi alle normative sulla privacy, come il GDPR. Tra queste, l'introduzione di funzionalità che permettono ai clienti di modificare le preferenze di consenso in qualsiasi momento e la possibilità di visualizzare il banner dei cookie anche durante il checkout, assicurando così una maggiore trasparenza e controllo sui dati personali .​

Inoltre, Shopify ha aggiornato il proprio Data Processing Addendum (DPA), delineando le responsabilità tra Shopify e i commercianti in merito al trattamento dei dati personali, e ha reso disponibili strumenti per la gestione delle richieste di accesso, rettifica e cancellazione dei dati da parte degli utenti.

Per i commercianti italiani che utilizzano Shopify, è fondamentale:​

  • Verificare se i fornitori di servizi terzi integrati nel proprio store sono certificati DPF.​
  • Aggiornare le informative sulla privacy per riflettere le modalità di trattamento dei dati.​
  • Implementare strumenti adeguati per la raccolta e la gestione del consenso degli utenti.​

Tutte le info erogate da Shopify si trovano in questa pagina, dedicata al trasferimento dei dati personali.

Condividi il post

Alcune informazioni sull'autore

Giovanni Fracasso

Giovanni Fracasso

COO e CMO @ICT Sviluppo

Post correlati

Gli svantaggi di un e-commerce headless
Ecommerce

Gli svantaggi di un e-commerce headless (che nessuno ti dice)

15 dicembre 2024
Foto di: Giovanni Fracasso
Giovanni Fracasso

Le agenzie spesso vendono progetti headless per gonfiare l'ego degli sviluppatori e il portafolio dei soci. Ma stanno facendo i tuoi interessi?

HeadlessShopify plus

Leggi tutto

cosa-shopify-plus.jpg
Ecommerce

Shopify Plus: cos'è

14 aprile 2024
Foto di: Giovanni Fracasso
Giovanni Fracasso

Scopri cos'è Shopify Plus e come può aiutare le aziende a vendere di più e meglio.

Shopify plus

Leggi tutto