Quando si parla di GDPR e privacy, si pensa subito a scartoffie, contratti o alla nomina del DPO. Ma c’è un aspetto spesso sottovalutato, che può diventare il tallone d’Achille di molte aziende: il sito web.

Hai mai dato un’occhiata da vicino al tuo? Sei sicuro che rispetti davvero le regole?

Cookie che partono senza consenso, moduli di contatto senza le dovute informative, strumenti di analytics che tracciano l’utente di nascosto… sono errori più comuni di quanto immagini. E, purtroppo, possono costare caro — in termini di sanzioni, ma anche di reputazione e fiducia da parte dei clienti.

In questa guida chiara e concreta, ti spieghiamo cosa deve prevedere un sito per essere davvero a norma, secondo il GDPR, la cookie law e le indicazioni del Garante. È pensata per chi ha un ruolo operativo — che tu ti occupi di gestione, comunicazione o compliance — e vuole affrontare la privacy online in modo semplice, sicuro e senza brutte sorprese.

Checklist: da dove iniziare per mettere in regola il tuo sito

Il sito web non è solo una vetrina: è uno strumento vivo di comunicazione, marketing e, spesso, raccolta di dati personali. Proprio per questo, deve essere trattato con la stessa attenzione riservata ad altri aspetti più “visibili” della compliance.
Sì, anche il tuo sito rientra a pieno titolo tra le attività da rendere conformi al GDPR e alla Direttiva ePrivacy.
Ma niente panico: ora vediamo insieme punto per punto cosa controllare e, se necessario, cosa sistemare subito senza perdere tempo.

1. Cookie banner: è davvero conforme?

Quante volte ti è capitato di cliccare “Accetta” su un banner cookie senza sapere davvero cosa stavi autorizzando? Tranquillo, succede a tutti. Ma quando si tratta del tuo sito, la musica cambia. La normativa è chiara: l’utente deve poter scegliere, davvero.
Non basta mostrare un avviso generico — serve un banner che informi in modo trasparente e permetta di decidere in piena libertà. E sì, richiede un po’ di attenzione in più (e zero scorciatoie).
Secondo il Garante Privacy e le linee guida dell’EDPB, un banner cookie a norma deve rispettare alcune regole fondamentali:

  • I cookie non tecnici non possono essere attivati senza un consenso esplicito;
  • Il consenso deve essere granulare, cioè separato per categoria (marketing, profilazione, statistiche avanzate…);
  • Deve essere libero, specifico, informato e sempre revocabile;
  • L’utente deve poter rifiutare con la stessa facilità con cui accetta.

Eppure, tanti siti continuano a violare queste regole. Pulsanti ambigui, scelte nascoste o — peggio — cookie attivi già al primo accesso, senza alcuna autorizzazione.
Attenzione: non basta installare un plugin e spuntare qualche impostazione.
Il banner va valutato nel contesto del sito, degli strumenti realmente in uso e delle finalità di trattamento.
È qui che entra in gioco chi lo fa di mestiere: noi analizziamo il tuo sito da cima a fondo — cookie banner, strumenti di tracciamento, documentazione — e ti aiutiamo a correggere ogni non conformità, in modo concreto, responsabile e tracciabile.

2. Privacy policy: aggiornata, visibile, comprensibile

Ogni sito web, anche il più semplice, deve avere una privacy policy chiara, completa e facilmente accessibile. Ma attenzione: non si tratta di caricare un documento qualsiasi, magari scritto in “legalese” o copiato da un concorrente.
Una buona privacy policy racconta in modo trasparente cosa succede davvero ai dati raccolti sul tuo sito: chi li gestisce, perché, e con quali tutele per l’utente. È il tuo modo di dire “ecco come trattiamo con rispetto le informazioni che ci affidi”.
Per essere conforme al GDPR, la privacy policy deve includere almeno:

  • le finalità per cui vengono raccolti i dati;
  • la base giuridica di ogni trattamento (consenso, legittimo interesse, obbligo di legge…);
  • l’elenco o la tipologia dei soggetti terzi coinvolti (es. provider, CRM, piattaforme esterne);
  • i diritti dell’interessato, come accesso, rettifica, cancellazione, opposizione;
  • i dati di contatto del Titolare e, se nominato, del DPO (come richiesto dall’art. 37 del GDPR).

Queste informazioni non sono dettagli da nota a piè di pagina. Sono l’equivalente di un vero e proprio “manuale d’uso” per chi visita il tuo sito. Servono a costruire fiducia e a dimostrare che prendi sul serio la protezione dei dati.

Consiglio utile: inserisci sempre il link alla privacy policy nel footer e in tutti i punti del sito in cui raccogli dati (form di contatto, iscrizione alla newsletter, richieste di preventivo…).
Evita testi troppo tecnici o vaghi. Una policy davvero efficace si capisce al primo colpo d’occhio, senza fraintendimenti.
E se non sai da dove iniziare, ci pensiamo noi: ti aiutiamo a scrivere una policy corretta, personalizzata e facile da leggere — per i tuoi utenti e per chi controlla.

3. Moduli di contatto: attenzione a consensi e informative

Form di contatto, richieste di preventivo, iscrizioni alla newsletter, invio di CV: sono attività comuni su qualsiasi sito, ma non per questo esenti da regole. Ogni volta che chiedi un dato personale, stai avviando un trattamento ai sensi del GDPR — e ci sono alcuni requisiti precisi da rispettare.
Ecco cosa non può mancare in un modulo a norma:

  • un link ben visibile all’informativa privacy, da mostrare prima che l’utente invii i suoi dati
  • almeno una checkbox di consenso per ogni finalità non strettamente necessaria (es. newsletter o promozioni)
  • caselle non preselezionate: il consenso va dato in modo attivo, mai dato per scontato
  • l’indicazione chiara di chi tratta i dati (Titolare) e, se presente, anche del DPO.

Ogni campo del modulo è anche una micro-responsabilità. Curarlo nel modo giusto significa prevenire problemi legali e dimostrare attenzione verso i tuoi utenti.

Caso reale
Nel 2022, un’azienda italiana è stata multata per oltre 20.000 € dal Garante Privacy. Il motivo? Aveva raccolto contatti commerciali tramite un modulo privo di informativa chiara e senza consenso esplicito per il marketing.
Questo dimostra quanto un semplice form — se sottovalutato — possa diventare un vero punto critico.

Best practice
Aggiungi sempre una frase del tipo:
“Compilando il modulo accetti la nostra privacy policy”
 e rendi cliccabile il link all’informativa, ben visibile e leggibile.
Non lasciare che una distrazione formale ti costi caro: ogni dettaglio conta, soprattutto online.

Buona pratica per moduli online

4. Google Analytics e strumenti di tracciamento: cosa cambia davvero?

Negli ultimi anni, Google Analytics è stato oggetto di attenzione da parte di diverse autorità europee per la protezione dei dati, incluso il Garante Privacy italiano.
Il motivo è legato al trasferimento di dati personali verso Paesi extra UE, che può avvenire anche quando l’indirizzo IP dell’utente viene anonimizzato. Questo tipo di trattamento può risultare non conforme al GDPR, in assenza di adeguate garanzie.
Per essere in regola, l’uso di strumenti di analisi richiede oggi alcune precauzioni fondamentali:

  • Raccolta del consenso: prima di attivare cookie analitici non tecnici, è necessario ottenere il consenso esplicito dell’utente.
  • Minimizzazione dei dati: i dati raccolti devono essere anonimizzati o pseudonimizzati, riducendo il più possibile la possibilità di identificazione.
  • Valutazione delle alternative: strumenti come Matomo, Plausible o Fathom offrono soluzioni di analisi più rispettose della privacy, senza trasferimenti illeciti di dati al di fuori dell’UE.

Molti siti web continuano a utilizzare strumenti di tracciamento senza adeguarsi a questi requisiti, esponendosi così a rischi concreti di sanzione.

Cosa succede se il sito non è conforme?

Il primo pensiero va alla sanzione, ed è comprensibile: un sito non conforme al GDPR può effettivamente portare a multe anche molto salate. Ma il vero problema spesso va oltre il portafoglio.
Le conseguenze più serie, infatti, riguardano la fiducia. E quando quella viene meno, è difficile recuperarla.
Ecco cosa può succedere se il sito non rispetta le regole:

  • Diffide o segnalazioni da parte del Garante Privacy o di altri enti di controllo;
  • Ispezioni mirate, soprattutto in settori delicati come Pubblica Amministrazione, sanità, e-commerce;
  • Danni reputazionali, che minano la credibilità costruita nel tempo;
  • Perdita di fiducia da parte di clienti, utenti, partner;
  • Segnalazioni spontanee da parte degli utenti stessi, magari per un banner ambiguo o un modulo poco chiaro.

Anche un sito semplice, magari con poche pagine, può nascondere insidie. E se a scoprirle non sei tu, ma un’autorità o un utente, potresti ritrovarti a gestire conseguenze serie, da un giorno all’altro.

Un caso concreto:
Nella newsletter n. 487 del Garante Privacy (ottobre 2022), sono riportate diverse sanzioni a carico di comuni e studi professionali per l’utilizzo di banner non conformi e moduli privi di informativa o di consenso esplicito.

Il consiglio? Non aspettare che arrivi una segnalazione per accorgerti del problema. Con una verifica preventiva puoi evitare spiacevoli sorprese — e dimostrare di prenderti cura dei dati dei tuoi utenti, fin da subito.

Come rimediare: audit, formazione, soluzioni tecniche su misura

Mettere in regola il sito web con il GDPR e la normativa sui cookie non si risolve con un plugin da installare e dimenticare. Serve un lavoro più profondo, che guardi all’intero ecosistema digitale della tua organizzazione — non solo alla homepage.
Per farlo davvero bene, è necessario agire su tre livelli:

  • Analisi tecnica: per capire cosa fa davvero il tuo sito — dai cookie attivi ai moduli che raccolgono dati, passando per gli strumenti di tracciamento.
  • Revisione legale: per assicurarsi che informative, consensi e finalità siano allineati al GDPR, senza zone d’ombra.
  • Verifica organizzativa: per chiarire chi fa cosa, aggiornare i processi interni e formare il personale, così da evitare errori (anche involontari).

È qui che il supporto di un DPO esterno può fare la differenza:
non solo per eseguire controlli mirati, ma anche per proporti soluzioni concrete, proporzionate e documentabili, che si adattano davvero alla tua realtà.

Noi di Servizio DPO affianchiamo aziende e pubbliche amministrazioni con audit tecnici e normativi, corsi di formazione su misura e piani di adeguamento personalizzati — perfetti anche per contesti complessi come PA, sanità, e-commerce o ambienti digitali in continua evoluzione.

Sicurezza del sito web: sei conforme all’art. 32 del GDPR?

C’è però un ultimo aspetto, spesso dato per scontato, ma decisivo: la sicurezza del sito web.
Il GDPR, all’articolo 32, impone al titolare del trattamento di adottare misure tecniche e organizzative adeguate per garantire la sicurezza dei dati personali. Questo vale anche e soprattutto per il sito web, che è uno dei principali punti di accesso ai dati.
La domanda da porsi non è solo “ho una privacy policy?”, ma anche:

  • il mio sito è tecnicamente sicuro?
  • è protetto da accessi non autorizzati?
  • viene mantenuto e aggiornato nel tempo?

Alcuni controlli essenziali riguardano, ad esempio:

  • aggiornamenti regolari del CMS (come WordPress), dei plugin e dei temi
  • gestione corretta degli accessi e delle credenziali
  • sistemi di backup e ripristino
  • utilizzo di soluzioni di sicurezza adeguate (firewall applicativi, protezione da malware, monitoraggio delle vulnerabilità).

Un sito non aggiornato, privo di misure di protezione o gestito in modo approssimativo può esporre i dati personali a violazioni, anche involontarie. E in caso di data breach, l’assenza di misure di sicurezza adeguate è uno degli elementi più critici valutati dal Garante. La sicurezza non è un’opzione tecnica: è un obbligo giuridico.

Ecco perché, quando si parla di GDPR e sito web, non basta verificare cookie, informative e consensi. È necessario valutare anche se l’infrastruttura è realmente conforme all’art. 32, in modo proporzionato al contesto e ai dati trattati.

Domande Frequenti sulla privacy dei siti web (FAQ)

Se il mio sito usa solo cookie tecnici, devo comunque mostrare un banner?
No, non è obbligatorio. Ma è comunque buona prassi indicare chiaramente nell’informativa che vengono usati solo cookie tecnici e che, di conseguenza, non è richiesto alcun consenso.

E se ho solo una landing page? Serve comunque la privacy policy?
Sì. Anche una semplice landing page che raccoglie un dato personale (come l’indirizzo IP, l’email o una preferenza) è soggetta agli obblighi del GDPR. In questi casi, va sempre fornita un’informativa ai sensi dell’art. 13.

Posso usare Google Fonts caricati da server esterni?
Meglio di no. Alcune autorità (come il Garante tedesco) hanno già sanzionato siti che li usavano in questo modo, perché può comportare un trasferimento illecito di dati personali. La scelta più sicura? Installare i font localmente sul tuo server.

È obbligatorio nominare un DPO solo perché ho un sito web?
No, non per il solo fatto di avere un sito. Tuttavia, se il sito è parte di un sistema più ampio (per esempio in ambito sanitario, pubblico o con attività di profilazione), allora la nomina di un DPO può diventare necessaria.

Nota importante: ogni situazione può avere particolarità tecniche o normative diverse. Le risposte che trovi qui sono utili per orientarti, ma non sostituiscono una valutazione personalizzata.

Vuoi dormire sonni tranquilli? Facciamo un check insieme

Hai dei dubbi sulla conformità del tuo sito? Non aspettare che sia un utente — o peggio, il Garante — a farti notare un errore.

Richiedi il nostro check-up gratuito: analizzeremo insieme banner, moduli, informative e strumenti di tracciamento, per individuare eventuali criticità e aiutarti a correggerle in modo semplice, concreto e su misura per la tua realtà.

Metti il tuo sito in regola, con consapevolezza e serenità.
Nessun rischio. Solo chiarezza.