Guida GDPR: le nuove disposizioni per la Politica dei Cookie

Il GDPR (Regolamento UE 2016/679, in vigore dal 25 maggio 2018) si applica a ogni sito web che raccoglie dati personali, anche un semplice modulo contatti o gli IP nei log. Per essere a norma servono informativa privacy, cookie policy con banner a blocco preventivo, consenso nei form, registro dei consensi, HTTPS e una procedura per le richieste degli utenti. In questa guida vedi tutti gli adempimenti concreti, le novità 2026 sulla trasparenza AI e come capire se il tuo sito è davvero in regola.

C’è un errore che vedo ripetersi di continuo: affrontare il GDPR alla fine, incollando un generatore di policy il giorno prima della messa online. Così ci si ritrova quasi sempre con un sito a metà a norma. La conformità si costruisce insieme al sito, non ci si appiccica sopra.

Il tuo sito raccoglie dati personali molto più di quanto pensi: un modulo contatti, gli indirizzi IP nei log, il codice di Analytics. E nel momento in cui raccoglie dati, il GDPR per il tuo sito web non è un optional, è un obbligo. Il Regolamento europeo 2016/679 si applica dal 25 maggio 2018 a chiunque tratti dati di cittadini europei, e un sito internet è uno degli strumenti di trattamento più comuni in assoluto.

Il GDPR riguarda anche il tuo sito? (sì, quasi sempre)

C’è un equivoco diffuso: “ho un sito vetrina, non vendo niente, quindi il GDPR non mi tocca”. Falso. Il regolamento non si attiva quando vendi, si attiva quando tratti dati personali. E quasi ogni sito lo fa, anche senza accorgersene.

Basta un form contatti che chiede nome ed email. Bastano i log del server che registrano gli IP dei visitatori. Basta uno script di Analytics o un pixel social. In tutti questi casi stai raccogliendo dati riferibili a una persona, e diventi quello che la normativa chiama titolare del trattamento, con i relativi obblighi.

Ecco cosa fa scattare il GDPR e cosa no:

Cosa fa il tuo sitoRientra nel GDPR?
Modulo contatti o richiesta preventivo
Iscrizione newsletter
Google Analytics, Meta Pixel, altri tracker
Indirizzi IP salvati nei log del server
Area riservata o registrazione utenti
E-commerce con dati di pagamento e spedizione
Solo statistiche totalmente anonime e aggregateNo

La regola pratica è semplice: se sul tuo sito una persona può lasciare anche un solo dato che la identifica, sei dentro. Il GDPR si applica anche alle aziende con sede fuori dalla UE, se trattano dati di utenti europei. Quindi no, non è una questione di dimensioni né di settore.

Cosa significa essere a norma: gli adempimenti concreti

Mettere un sito a norma GDPR vuol dire coprire sette punti. Non uno in più per scaricarsi la coscienza, non uno in meno per pigrizia. Questi:

  1. Informativa privacy – una pagina chiara che spiega quali dati raccogli, perché, per quanto tempo li conservi e chi è il titolare. È il documento base, obbligatorio per tutti.
  2. Cookie policy – l’elenco dei cookie usati dal sito, distinti per categoria (tecnici, analitici, di profilazione) con le rispettive finalità.
  3. Cookie banner con blocco preventivo – deve raccogliere il consenso prima di attivare cookie analitici o di marketing, non dopo. Su questo si gioca quasi tutta la differenza tra un sito conforme e uno che sembra conforme.
  4. Consenso nei form – ogni modulo (contatti, newsletter) deve avere una casella di accettazione dell’informativa, separata dal consenso marketing.
  5. Prova dei consensi – devi poter dimostrare che l’utente ha acconsentito: data, ora, versione dell’informativa. Senza registro, il consenso per la legge non esiste.
  6. Certificato SSL (HTTPS) – la trasmissione dei dati va cifrata. Un sito in HTTP che raccoglie dati non rispetta il requisito di sicurezza.
  7. Gestione delle richieste degli utenti – un canale per chi vuole accedere, correggere o cancellare i propri dati.

Se anche uno solo di questi punti manca, il sito non è a norma. La buona notizia è che, impostati bene fin dalla costruzione, diventano parte naturale del sito e non un cantiere aperto ogni volta che cambia una regola.

Le basi giuridiche: perché puoi trattare i dati

Qui entriamo in un punto che i generatori automatici saltano volentieri, perché è quello che richiede di ragionare. Non puoi trattare dati personali “perché ti servono”. Ti serve una base giuridica, una giustificazione prevista dall’articolo 6 del GDPR. Sono sei in tutto, ma per un sito web ne contano soprattutto tre.

Il consenso è la più conosciuta: l’utente acconsente liberamente a una finalità specifica e può revocare quando vuole. È la base dell’iscrizione alla newsletter o dei cookie di profilazione. Deve essere libero, informato e revocabile con la stessa facilità con cui è stato dato.

L’esecuzione di un contratto copre i casi in cui il trattamento serve a fornire un servizio richiesto: il checkout di un e-commerce ne è l’esempio tipico, perché senza l’indirizzo non spedisci l’ordine. Qui il consenso non serve, il dato è necessario per eseguire ciò che l’utente ha chiesto.

Il legittimo interesse è la più delicata. Permette di trattare dati per un interesse concreto del titolare, a patto che non prevalga sui diritti dell’utente: rientrano qui, per esempio, i log di sicurezza che proteggono il sito dagli attacchi. Va valutata caso per caso, non è una scorciatoia per evitare il consenso.

Capire su quale base poggia ogni trattamento è metà del lavoro di adeguamento. È anche ciò che distingue un sito messo a norma da un professionista da uno con l’informativa copiata da un altro sito.

Cookie banner a norma: dove quasi tutti sbagliano

Parliamo del punto su cui vedo cadere più siti, anche quelli fatti da chi dovrebbe saperne. Il cookie banner.

L’errore classico è tecnico, non legale. Il banner appare, l’utente non ha ancora cliccato niente, e intanto Google Analytics è già partito. Cookie già scritti, tracciamento già attivo. Quel banner non sta raccogliendo un consenso, sta solo informando di una cosa già successa. Per il GDPR è come chiedere il permesso di entrare quando sei già in salotto.

Un banner conforme rispetta quattro condizioni. Il blocco preventivo: i cookie analitici e di profilazione si attivano solo dopo il consenso, mai prima. Il rifiuto facile: dire “no” deve costare un click come dire “sì”, quindi pulsante “Rifiuta tutto” sullo stesso livello dell’”Accetta”, non nascosto due menu più sotto. La granularità: l’utente può scegliere per categoria, accettando gli statistici e rifiutando il marketing. E niente cookie wall: non puoi negare l’accesso al sito a chi rifiuta, salvo le eccezioni previste.

La differenza tra un banner che sembra a norma e uno che lo è davvero sta tutta in quel “prima”. Si imposta in fase di sviluppo, gestendo l’ordine con cui gli script vengono caricati. Appiccicare un plugin a sito finito spesso non basta, perché i tracker sono già cablati nel tema.

Sicurezza dei dati: l’articolo 32 che i legali non ti spiegano

C’è una parte del GDPR che gli studi legali tendono a citare e basta, perché è territorio da chi i siti li costruisce: l’articolo 32, sulla sicurezza del trattamento. Dice una cosa semplice e scomoda. Non basta dichiarare di proteggere i dati, devi proteggerli sul serio, con misure tecniche adeguate.

Su un sito web questo si traduce in cose molto concrete. HTTPS attivo su tutto il sito, non solo sul checkout. Backup regolari e verificati, perché perdere i dati degli utenti è a sua volta una violazione. Aggiornamenti costanti di CMS, plugin e tema: un sito WordPress fermo a versioni vecchie è una falla di sicurezza, punto. Controllo degli accessi, con password robuste e ruoli ben assegnati. E un hosting che regga, perché anche l’infrastruttura fa parte della sicurezza del trattamento.

È qui che il confine tra “sito a norma” e “sito sicuro” sparisce. Un sito non aggiornato che subisce un attacco e perde i dati dei clienti non ha un problema tecnico, ha una violazione del GDPR con obbligo di notifica al Garante entro 72 ore. La manutenzione, vista così, non è un costo accessorio: è parte della conformità.

I diritti degli utenti: come gestire accesso, oblio e portabilità

Il GDPR non protegge i dati in astratto, protegge le persone. E alle persone dà dei diritti che il tuo sito deve poter rispettare nella pratica, non solo nominare nell’informativa.

L’utente può chiederti di accedere ai suoi dati, di correggerli se sbagliati, di cancellarli (il famoso diritto all’oblio), di portarli altrove in un formato leggibile, e di revocare un consenso dato in precedenza. La revoca, in particolare, deve essere facile quanto è stato dare il consenso: se ci si iscrive alla newsletter con un click, ci si deve poter disiscrivere con un click.

In concreto, servono due cose. Un canale chiaro dove l’utente può fare la richiesta, di solito un’email o un modulo dedicato indicato nell’informativa. E la capacità tecnica di rispondere: recuperare i dati di quella persona, esportarli o eliminarli senza rompere il resto del sito. Sui CMS più diffusi esistono strumenti che semplificano l’operazione, ma vanno configurati, non danno per scontato che funzionino da soli.

Novità 2026: trasparenza sull’AI e nuovi obblighi

Il GDPR non è un blocco di marmo fermo al 2018. Si muove, e nel 2026 il tema caldo è uno: l’intelligenza artificiale dentro i siti.

Se il tuo sito usa un chatbot, un assistente automatico o un sistema che profila gli utenti con l’AI, hai un obbligo di trasparenza in più. L’informativa deve spiegare che c’è un trattamento automatizzato, come funziona e con quali finalità. Non basta più scrivere “usiamo i cookie”: l’utente ha diritto di sapere se sta parlando con una macchina e cosa quella macchina fa con quello che scrive. È un’area in rapida evoluzione, e i siti con informative copiate due anni fa sono già scoperti.

Sempre nel 2025 è entrato in vigore un altro fronte di obblighi per i siti, distinto dal GDPR ma vicino come logica: l’European Accessibility Act, che impone requisiti di accessibilità a molte aziende. Privacy e accessibilità viaggiano insieme: sono entrambe parte di cosa significa, oggi, avere un sito a norma e non solo bello da vedere.

Cosa cambia se hai WordPress o un e-commerce

I principi che hai letto finora valgono per qualsiasi sito, costruito con qualunque tecnologia. Ma sul piano pratico, il “come” cambia parecchio a seconda di cosa hai sotto. Su WordPress e su WooCommerce ci sono passaggi specifici: la gestione dei consensi va integrata con il tema, l’export e la cancellazione dei dati utente seguono procedure proprie, il checkout di un negozio raccoglie dati che un sito vetrina non tocca nemmeno. Trattare bene questi aspetti richiede una guida a parte, ed è esattamente quella che ho scritto qui: adeguare un sito WordPress al GDPR, con gli strumenti e i passaggi concreti per la piattaforma più usata al mondo.

Sanzioni: cosa rischi davvero se non sei a norma

Arriviamo alla domanda che tutti si fanno e pochi pongono ad alta voce: cosa succede se il mio sito non è a norma? Le cifre del GDPR fanno impressione. L’articolo 83 prevede sanzioni fino a 20 milioni di euro o al 4% del fatturato globale annuo, a seconda di quale importo è più alto.

Detto questo, va inquadrato con onestà. Le maxi-sanzioni da milioni colpiscono le grandi piattaforme che trattano dati su scala enorme, non l’artigiano o lo studio professionale di Bari. Per una piccola impresa il rischio concreto è diverso e più vicino: il reclamo di un utente al Garante per la protezione dei dati personali, un controllo che parte da lì, e soprattutto il danno reputazionale di chi scopre che gestisci male i suoi dati. In un mercato locale dove il passaparola conta, quel danno pesa spesso più di una multa.

La verità è che mettere a norma un sito costa molto meno del primo problema serio che eviti. Non lo si fa per paura del Garante, lo si fa perché è parte di un lavoro fatto bene.

Alla fine il GDPR non è il mostro burocratico che spaventa, e non è nemmeno la spunta da mettere all’ultimo per stare tranquilli. È semplicemente parte di cosa vuol dire avere un sito serio nel 2026: rispettare le persone che ti lasciano i loro dati, e proteggerli come si deve. Un sito costruito bene è già a norma in partenza, perché la conformità è una conseguenza del lavoro fatto con criterio, non una toppa applicata dopo.

Domande frequenti sul GDPR per i siti web

Serve il GDPR anche per un sito senza vendite online?

Sì. Il GDPR non si attiva con la vendita ma con il trattamento di dati personali. Un sito vetrina con un semplice modulo contatti, o anche solo i log che registrano gli IP dei visitatori, rientra già negli obblighi. Vale per qualsiasi sito che raccolga anche un solo dato riferibile a una persona.

Basta installare un plugin per essere a norma GDPR?

No. Un plugin aiuta a gestire cookie banner e consensi, ma da solo non rende un sito conforme. Servono informativa e cookie policy corrette, il blocco preventivo dei cookie configurato bene, HTTPS attivo e una procedura per le richieste degli utenti. Il plugin è uno strumento, non la soluzione completa.

Quanto costa adeguare un sito al GDPR?

Dipende dalla complessità del sito e da quanto è già impostato bene. Un sito vetrina con pochi form richiede un intervento contenuto, un e-commerce con area utenti e tracciamenti multipli è più articolato. La cosa più conveniente è curare la conformità mentre si costruisce il sito, perché rimetterci mano dopo costa sempre di più.

Il GDPR vale anche per aziende con sede fuori dalla UE?

Sì, se trattano dati di cittadini europei. Il regolamento segue il dato, non la sede dell’azienda. Un sito gestito da una società extra-UE che raccoglie dati di utenti italiani deve rispettare il GDPR esattamente come un’impresa europea.

Che differenza c’è tra privacy policy e cookie policy?

La privacy policy è il documento generale: spiega quali dati raccoglie il sito, perché, per quanto tempo e chi è il titolare. La cookie policy è più specifica e riguarda solo i cookie e le tecnologie di tracciamento, distinti per categoria e finalità. Sono due documenti diversi e un sito a norma li ha entrambi.

Vuoi essere sicuro che il tuo sito sia davvero a norma GDPR, e non solo in apparenza?

Chiamami al 329 6277 257 o scrivimi per un preventivo gratuito. Controlliamo insieme cosa manca e lo sistemiamo per bene.

Richiedi un preventivo gratuito

Tags: