Il GDPR (Regolamento UE 2016/679) si applica dal 2018 a qualunque soggetto che tratti dati personali di cittadini europei. Per i siti web aziendali, questo significa una serie di obblighi concreti che troppe PMI ancora ignorano o gestiscono in modo improvvisato. Le sanzioni sono reali e proporzionate al fatturato.
In questa guida vediamo la checklist completa per essere conformi, con riferimenti alla normativa e indicazioni pratiche.
I 12 punti di compliance GDPR per un sito web
1. Informativa privacy completa
Pagina dedicata, raggiungibile da ogni pagina (footer), aggiornata.
Deve contenere:
- Identità del titolare del trattamento (nome, sede, contatti)
- DPO se presente (obbligatorio in alcuni casi)
- Tipologie di dati raccolti
- Finalità del trattamento
- Base giuridica (consenso, contratto, obbligo legale, interesse legittimo)
- Destinatari dei dati (chi li riceve)
- Trasferimento extra-UE se applicabile
- Tempi di conservazione
- Diritti dell'interessato (accesso, rettifica, cancellazione, portabilità, opposizione)
- Modalità per esercitare i diritti
- Diritto di reclamo al Garante
2. Banner cookie conforme
Probabilmente l'aspetto più frequentemente sbagliato.
Cosa è obbligatorio:
- Banner visibile al primo accesso
- Possibilità di accettare, rifiutare, personalizzare
- Pulsanti con stesso peso visivo (no "accetta tutto" gigante e "rifiuta" piccolo)
- Cookie tecnici sempre attivi
- Cookie non tecnici (statistiche, marketing, profilazione) attivi solo dopo consenso esplicito
- Possibilità di revocare consenso in ogni momento (link in footer)
- Log dei consensi conservato
Errore comune: banner che si chiude solo accettando, o che attiva i cookie analytics prima del consenso.
3. Cookie policy dedicata
Pagina che elenca tutti i cookie utilizzati.
Per ogni cookie:
- Nome
- Fornitore (prima parte vs terza parte)
- Finalità
- Durata
- Categoria (tecnico, statistico, marketing)
4. Form contatti conformi
Ogni form che raccoglie dati personali deve avere:
- Informativa visibile prima dell'invio (link a privacy policy)
- Checkbox di consenso esplicito (non pre-spuntata)
- Campi minimi (principio di minimizzazione)
- Indicazione finalità chiara
- Distinzione consensi (es. consenso per contatto vs consenso per newsletter)
5. Newsletter con double opt-in
Iscrizione a newsletter richiede:
- Iscrizione esplicita (no liste comprate, no aggiunta automatica)
- Email di conferma con link di attivazione (double opt-in)
- Possibilità di disiscriversi in ogni email
- Conservazione log iscrizione e conferma
6. Analytics conformi
Google Analytics standard può violare GDPR per trasferimento dati extra-UE.
Soluzioni accettabili:
- Configurazione anonimizzazione IP
- Caricamento solo dopo consenso esplicito
- Alternative privacy-friendly (Plausible, Matomo, Fathom, ecc.)
7. Strumenti di marketing conformi
Pixel Meta, ads, retargeting richiedono consenso esplicito attivo prima del caricamento.
Implementazione corretta:
- Tag Manager configurato per caricare solo dopo consenso
- Categoria "marketing" nel banner cookie
- Test che senza consenso nessun pixel viene caricato
8. Sicurezza tecnica
GDPR richiede misure tecniche adeguate.
Minimo richiesto:
- HTTPS su tutto il sito (no eccezioni)
- Hosting con certificazioni adeguate
- Backup regolari
- Aggiornamenti sicurezza sistematici
- Password admin robuste
- Accesso amministrativo limitato e tracciato
- Crittografia dati sensibili a riposo
9. Trattamento di terze parti
Ogni servizio che riceve dati (hosting, email marketing, CRM, payment gateway) è "responsabile esterno".
Cosa serve:
- Lista completa dei responsabili esterni
- Contratto/accordo di trattamento dati con ognuno (DPA - Data Processing Agreement)
- Verifica che il fornitore sia GDPR-compliant
- Particolare attenzione a fornitori extra-UE
10. Procedure per esercizio diritti utente
Utente può chiedere:
- Accesso ai propri dati
- Rettifica
- Cancellazione (diritto all'oblio)
- Portabilità
- Limitazione trattamento
- Opposizione
Cosa serve:
- Email dedicata o form per richieste
- Procedura interna di risposta entro 30 giorni
- Log delle richieste ricevute e gestite
11. Registro dei trattamenti
Documento interno (obbligatorio per molte PMI) che descrive:
- Tutti i trattamenti svolti
- Finalità
- Categorie di dati e interessati
- Destinatari
- Tempi di conservazione
- Misure di sicurezza
12. DPO (Data Protection Officer) quando obbligatorio
Obbligatorio in alcuni casi: trattamenti su larga scala di categorie particolari, monitoraggio sistematico, autorità pubbliche.
Per le PMI tipiche: spesso non obbligatorio ma consigliabile avere consulente esterno di riferimento.
Tabella priorità intervento
| Priorità | Aspetto | Rischio se manca |
|---|---|---|
| Critica | Banner cookie conforme | Alta probabilità sanzione |
| Critica | Informativa privacy | Sanzione certa se ispezionato |
| Alta | Form con consensi corretti | Sanzione su segnalazione |
| Alta | Analytics conformi | Sanzione possibile |
| Alta | DPA con fornitori | Sanzione su audit |
| Media | Registro trattamenti | Sanzione su audit |
| Media | Procedura diritti utente | Sanzione su richiesta non gestita |
| Media | Sicurezza tecnica | Sanzione + danno in caso breach |
Errori frequenti che vediamo nelle PMI
1. Privacy policy copiata da un altro sito
Descrive trattamenti che non fai, omette quelli che fai. Inutile e dannosa.
Fix: privacy policy specifica per il tuo trattamento reale.
2. Banner cookie "accetta tutto o niente"
Niente possibilità di personalizzare. Non conforme.
Fix: banner con scelte granulari, cookie marketing/analytics opt-in esplicito.
3. Cookie attivati prima del consenso
Si vedono cookie analytics/marketing nel browser appena entri nel sito, prima di toccare il banner. Violazione classica.
Fix: caricamento condizionale al consenso via Tag Manager.
4. Newsletter senza double opt-in
Aggiunti contatti dal form contatti generico alla newsletter. Niente consenso esplicito specifico.
Fix: consenso separato per newsletter, double opt-in obbligatorio.
5. Niente DPA con fornitori cloud
Hosting, email marketing, CRM senza contratto di trattamento dati firmato.
Fix: richiedere DPA a tutti i fornitori (la maggior parte li fornisce gratis).
6. Privacy policy che non si aggiorna
Documento vecchio di 3-5 anni, citazioni di norme ormai superate.
Fix: review annuale + aggiornamento ogni volta che cambia qualcosa nel trattamento.
Vuoi un audit GDPR del tuo sito?
Verifichiamo i 12 punti di conformità sul tuo sito attuale, identifichiamo i rischi concreti, ti diamo una roadmap prioritizzata di interventi. Approccio pragmatico, focus su rischi reali, niente allarmismo.
Richiedi un audit GDPRCosa fare adesso
Settimana 1: audit attuale dei 12 punti, identifica gap.
Settimana 2: priorità su critici (banner cookie, informativa, form, analytics).
Settimana 3: implementazione fix critici.
Mese 2: completamento punti alta priorità.
Mese 3: documentazione interna (registro, DPA, procedure).
Continuo: review annuale, aggiornamenti normativi, formazione team.
Conclusione
Il GDPR non è un adempimento da evitare: è una pratica di rispetto dei dati altrui che ha senso fare bene. Le aziende che lo trattano come opportunità (trasparenza = fiducia = conversioni) ne traggono vantaggio competitivo. Quelle che lo trattano come fastidio bureaucratico accumulano rischio finché non arriva una sanzione.
Le PMI conformi non lo sono perché hanno fatto investimenti enormi: lo sono perché hanno applicato metodo. La maggior parte degli interventi descritti in questa guida sono fattibili in poche settimane di lavoro strutturato.
Conformarsi al GDPR è un investimento in solidità del business, non un costo. La domanda non è "posso permettermi di farlo?" ma "posso permettermi di non farlo?".
Domande frequenti
Servizi correlati
I servizi di cui parla questo articolo
Privacy, GDPR e WCAG
Audit privacy, adeguamento GDPR, cookie banner conformi 2025, DPIA, registro trattamenti e accessibilità WCAG 2.1 AA. Consulenza + implementazione tecnica.
Scopri il servizio →Consulenza
Registrazione marchi, tutela software, privacy/GDPR, brevetti e consulenza proprietà intellettuale: proteggi gli asset del tuo business prima che sia troppo tardi.
Scopri il servizio →
