La confusione intorno al GDPR
Il GDPR (Regolamento Generale sulla Protezione dei Dati) è in vigore dal 2018, ma nel 2026 la maggior parte dei siti web italiani di PMI è ancora non conforme — per ignoranza, per rimandare, o per aver seguito consigli sbagliati. Questa guida elimina la confusione e ti dice cosa è davvero obbligatorio per il tuo sito.
Cosa raccoglie il tuo sito (anche senza saperlo)
Anche un sito "semplice" raccoglie dati personali:
- Indirizzi IP dei visitatori (attraverso il server o Google Analytics)
- Dati compilati nei form di contatto (nome, email, telefono)
- Comportamento di navigazione (attraverso Analytics)
- Cookie di profilazione (se usi Google Ads, Meta Pixel, o strumenti di remarketing)
Se raccoglie qualcosa di tutto questo, il GDPR si applica.
Gli obblighi reali per un sito web italiano
1. Privacy Policy
Obbligatoria. Deve essere accessibile da qualsiasi pagina (di solito nel footer) e contenere:
- Chi è il titolare del trattamento (tu, con dati completi)
- Quali dati raccogli e perché
- La base giuridica del trattamento (consenso, legittimo interesse, obbligo legale)
- Per quanto tempo conservi i dati
- Con chi li condividi (fornitori, Google, Meta...)
- I diritti degli utenti (accesso, cancellazione, portabilità)
- Come esercitare i diritti (email di contatto)
2. Cookie Policy e banner
Se usi cookie non tecnici, il banner è obbligatorio. Le regole del Garante Privacy italiano (più restrittive del GDPR base):
- Il consenso deve essere attivo (no all'accettazione implicita scrollando)
- Rifiutare i cookie deve essere facile quanto accettarli (stesso numero di clic)
- Il pulsante "Rifiuta" deve essere visibile quanto "Accetta"
- I cookie non tecnici non devono essere caricati prima del consenso
- L'utente deve poter cambiare idea in qualsiasi momento
Il 90% dei cookie banner italiani viola almeno uno di questi punti. Il pulsante "X" che chiude senza rifiutare è illegale secondo il Garante.
3. Form di contatto
Ogni form che raccoglie dati deve avere:
- Informativa sul trattamento (link alla privacy policy)
- Checkbox di consenso non pre-spuntata
- Indicazione di cosa viene fatto con i dati
4. Sicurezza del sito
Il GDPR richiede misure di sicurezza adeguate. Per un sito standard questo significa:
- HTTPS obbligatorio (certificato SSL attivo)
- Password dell'area admin complessa e non condivisa
- Aggiornamenti regolari (se usi WordPress o CMS)
- Backup periodici dei dati
Cosa NON è obbligatorio (ma spesso venduto come tale)
- Registro dei trattamenti: obbligatorio solo per aziende con più di 250 dipendenti o che trattano categorie particolari di dati (salute, dati giudiziari)
- DPO (Data Protection Officer): non obbligatorio per PMI che non trattano dati sensibili su larga scala
- Valutazione d'impatto (DPIA): solo per trattamenti ad alto rischio
- Consenso scritto per newsletter: il doppio opt-in è buona pratica ma non obbligatorio per legge
Google Analytics è legale?
Google Analytics 4, configurato correttamente, è utilizzabile in Italia. Cosa devi fare:
- Abilitare l'anonimizzazione dell'IP nelle impostazioni GA4
- Disabilitare i segnali di Google e la raccolta dati pubblicitari se non li usi
- Menzionare Google Analytics nella cookie policy con link all'opt-out
- Non caricare GA4 prima del consenso dell'utente
L'Autorità Garante italiana ha dichiarato illegale Universal Analytics (versione precedente) nel 2022. GA4 con le configurazioni corrette è diverso, ma deve comunque rispettare il banner.
Cosa rischi se non sei in regola
Il Garante Privacy italiano è uno dei più attivi in Europa. Nel 2024 ha emesso sanzioni per oltre €50 milioni in totale. Le PMI non sono immuni: sanzioni concrete a piccole imprese nell'ordine di €10.000-50.000 sono documentate.
Oltre alle sanzioni, un sito non conforme espone a:
- Reclami da parte degli utenti (chiunque può segnalare al Garante)
- Danni reputazionali se la notizia circola
- Blocco delle attività di marketing finché non si risolve
Come mettersi in regola
Per la maggior parte dei siti web di PMI italiane, la compliance GDPR richiede:
- Una privacy policy completa (scritta da un avvocato o da un servizio specializzato)
- Un cookie banner conforme (non il primo "accetta tutto" trovato su Google)
- Form con consenso esplicito e informativa
- HTTPS attivo
Se hai un sito già esistente e vuoi verificare la conformità, o se stai costruendo un nuovo sito con cookie banner GDPR integrato, scrivimi. Realizzo siti web con gestione della privacy integrata fin dall'inizio.