Il 25 maggio 2018 ha segnato un punto di svolta per chiunque gestisca una presenza digitale. Da quella data, il GDPR ha trasformato la conformità dei siti web da semplice formalità burocratica a requisito strutturale. La protezione dei dati personali non è più un’aggiunta opzionale, ma deve essere integrata fin dalle prime fasi di progettazione del servizio.
Le sanzioni per chi ignora queste regole sono tutt’altro che simboliche: possono raggiungere il 4% del fatturato annuo globale o 20 milioni di euro, a seconda di quale importo risulti superiore. Questo ha trasformato la compliance privacy da voce di costo marginale a priorità strategica per qualsiasi attività online.
Cosa sono i cookie e perché se ne parla tanto
Prima di addentrarci nelle regole, è utile capire cosa sono esattamente i cookie. Si tratta di piccoli file di testo che i siti web salvano sul tuo computer, smartphone o tablet quando li visiti. Immagina i cookie come dei post-it digitali che il sito attacca sul tuo dispositivo per ricordarsi di te.
Quando torni a visitare lo stesso sito, il browser legge questi post-it e comunica al sito chi sei. È così che un sito “ricorda” che hai già fatto il login, quali prodotti hai messo nel carrello, o quale lingua preferisci usare.
I cookie in sé non sono né buoni né cattivi: dipende da come vengono usati. Alcuni sono indispensabili per far funzionare il sito (come quelli che ti mantengono collegato al tuo account). Altri tracciano ogni tuo movimento online per costruire un profilo dettagliato dei tuoi interessi e mostrarti pubblicità mirata.
Il nome “cookie” deriva da un termine informatico degli anni ’90, “magic cookie”, che indicava un pacchetto di dati scambiato tra programmi. Oggi esistono anche tecnologie alternative ai cookie tradizionali, ma il principio rimane lo stesso: permettere al sito di riconoscerti e ricordare informazioni su di te.
La normativa europea si concentra sui cookie perché rappresentano il principale strumento di tracciamento online. Capire quali cookie usa il tuo sito è il primo passo per sapere se devi mostrare il banner di consenso.
Capire quali dati raccoglie il tuo sito
Prima di qualsiasi intervento tecnico, serve capire con precisione quali informazioni personali vengono raccolte dal tuo sito, attraverso quali strumenti e per quali scopi. Questo primo passo è fondamentale per costruire una presenza online rispettosa della privacy.
Ogni volta che raccogli dati personali, devi avere una motivazione legale valida secondo il GDPR. Nel contesto di un sito web, le motivazioni più comuni sono tre:
Il consenso dell’utente serve quando installi cookie pubblicitari, strumenti di analisi come Google Analytics, o quando invii newsletter promozionali. Deve essere una scelta libera e consapevole. Non puoi dare per scontato che il silenzio equivalga a un “sì”.
L’esecuzione di un servizio richiesto copre i moduli di contatto per richieste di preventivi, le registrazioni account e gli acquisti negli e-commerce. In questi casi non serve chiedere un consenso aggiuntivo, perché l’utente sta già compiendo un’azione volontaria per ottenere qualcosa.
Il legittimo interesse può giustificare alcune attività tecniche come la protezione del sito da attacchi informatici, ma non vale mai per mostrare pubblicità personalizzata.
Cookie: quali richiedono il banner e quali no
I cookie rappresentano il tema centrale della normativa sul tracciamento online. Capire le differenze tra le varie tipologie ti permette di sapere se il tuo sito necessita o meno del banner di consenso.
I cookie tecnici sono quelli indispensabili per far funzionare il sito: ti permettono di accedere alla tua area riservata, mantengono la lingua che hai scelto, ti fanno completare un acquisto. Per questi non serve alcun consenso né banner. Basta descriverli nella pagina della privacy policy.
I cookie analitici raccolgono statistiche su quante persone visitano il sito, quali pagine guardano e per quanto tempo. Strumenti come Google Analytics rientrano in questa categoria. Nella maggior parte dei casi sono equiparati ai cookie pubblicitari e richiedono il consenso, a meno che tu non adotti configurazioni molto specifiche che anonimizzano completamente i dati.
I cookie pubblicitari tracciano il tuo comportamento online per mostrarti pubblicità mirata. Per questi è obbligatorio chiedere il consenso esplicito prima di installarli. Non puoi attivarli e poi chiedere permesso dopo.
Come deve essere fatto un banner conforme
Quando il tuo sito usa cookie pubblicitari o strumenti di analisi standard, il banner diventa obbligatorio. Le regole del Garante della Privacy del 2021 hanno messo fine alle pratiche scorrette con indicazioni precise.
Il banner deve apparire subito alla prima visita, sovrapponendosi parzialmente alla pagina. In alto a destra serve una “X” per chiuderlo: cliccandola, l’utente rifiuta i cookie non essenziali e può navigare liberamente.
I pulsanti per accettare, rifiutare o personalizzare devono essere ugualmente visibili. È vietato usare un bottone grande e colorato per “Accetta tutti” e uno piccolo e grigio per “Rifiuta”. Dire no deve essere facile quanto dire sì.
Scorrere la pagina non vale più come consenso. Sono vietati anche i blocchi totali del sito finché l’utente non accetta i cookie (i cosiddetti “muri di cookie”).
Dal punto di vista tecnico, gli script pubblicitari devono rimanere disattivati finché l’utente non clicca su “Accetta”. Questo è cruciale: non puoi tracciare le persone prima che ti diano il permesso.
WordPress senza Google Analytics: serve il banner?
Molti proprietari di siti semplici si chiedono se un’installazione base di WordPress, senza strumenti di analisi o pubblicità, richieda comunque il cookie banner. La risposta è no, nella maggior parte dei casi.
WordPress utilizza alcuni cookie progettati esclusivamente per funzioni tecniche:
- Cookie che verificano se il tuo browser supporta i cookie durante il login
- Cookie che ti mantengono collegato quando accedi al pannello di amministrazione
- Cookie che ricordano le tue preferenze di lingua
- Cookie che pre-compilano il tuo nome quando lasci un commento
Tutti questi rientrano nella categoria dei cookie tecnici. Non tracciano i tuoi comportamenti, non creano profili pubblicitari, non inviano dati a terze parti per scopi commerciali. Servono solo a far funzionare correttamente il sito.
La conseguenza è chiara: se il tuo sito WordPress usa solo questi cookie nativi, senza plugin di statistiche, pixel pubblicitari o strumenti di marketing, non devi mostrare alcun banner. Ti basta inserire una spiegazione di questi cookie nella privacy policy, raggiungibile dal fondo della pagina.
Questo vale anche se hai attivato i commenti o usi moduli di contatto semplici come Contact Form 7, purché non ci siano tracciatori aggiuntivi.
Il problema nascosto degli indirizzi IP
L’assenza del banner non significa però che sei automaticamente a posto. WordPress ha un aspetto critico nel sistema dei commenti: quando qualcuno lascia un commento, il sistema registra automaticamente il suo indirizzo IP completo nel database e lo conserva per sempre.
L’indirizzo IP è una sequenza numerica che identifica univocamente ogni dispositivo connesso a internet. È come l’indirizzo di casa del tuo computer o smartphone. Questo dato è considerato personale perché, incrociandolo con i registri dei fornitori di internet, si può risalire all’identità della persona.
La conservazione illimitata di questi indirizzi viola i principi base del GDPR. Anche se l’intenzione originaria è prevenire lo spam, non puoi tenerli per sempre.
Per risolvere il problema puoi usare plugin come “Remove IP” che sostituiscono automaticamente l’IP con valori neutri. Oppure, se hai un minimo di dimestichezza tecnica, puoi chiedere al tuo sviluppatore di aggiungere un piccolo codice che impedisce il salvataggio dell’IP.
Esistono anche soluzioni intermedie che mascherano solo l’ultima parte dell’indirizzo IP. Questo mantiene l’utilità per i filtri antispam, che possono ancora bloccare intere reti sospette, ma impedisce l’identificazione della singola persona.
Ricorda anche di cancellare gli IP già presenti nel database dalle visite precedenti.
I moduli di contatto: come gestirli correttamente
I form di contatto sono uno dei punti più delicati. La scelta dello strumento che usi influisce direttamente sulla sicurezza dei dati.
Alcuni plugin come Contact Form 7 funzionano come semplici messaggeri: prendono i dati inseriti, li mettono in un’email e te la inviano. Non salvano nulla nel database di WordPress. Se qualcuno violasse il database del tuo sito, i dati degli utenti rimarrebbero al sicuro nella tua casella di posta elettronica.
Altri plugin come WPForms o Gravity Forms copiano invece ogni messaggio nel database di WordPress. Offrono più comodità per gestire i contatti ma aumentano la responsabilità: servono maggiori misure di sicurezza e devi ricordarti di cancellare periodicamente i messaggi vecchi.
Sul piano legale, se il modulo serve solo a ricevere richieste di informazioni o preventivi, l’invio stesso del messaggio costituisce la motivazione legale. Non serve una casella di consenso aggiuntiva, che risulterebbe ridondante. Basta una frase che rimandi alla privacy policy.
Se invece vuoi iscrivere l’utente a newsletter promozionali, serve un consenso separato tramite una casella non già spuntata. Per massimizzare la certezza, usa il sistema “double opt-in”: l’utente riceve un’email con un link di conferma, e solo cliccando quel link l’iscrizione diventa definitiva.
Quanto tempo puoi conservare i log del server
Gli indirizzi IP registrati automaticamente dai server web sono considerati dati personali. La prassi di conservarli per mesi o anni è stata bloccata dal Garante.
Le indicazioni recenti stabiliscono che la conservazione normale dei log non deve superare i 7 giorni. In casi eccezionali, con motivazioni tecniche documentate di sicurezza informatica, il limite massimo è 21 giorni.
Oltre questa soglia devi cancellare definitivamente i file o renderli anonimi in modo irreversibile. Conservazioni più lunghe per controlli interni richiedono accordi specifici secondo le leggi sul lavoro.
Privacy policy e cookie policy: cosa scrivere
La privacy policy deve essere completa ma comprensibile. Evita il linguaggio troppo tecnico o burocratico che nessuno capisce.
Deve contenere:
- I tuoi dati completi con un indirizzo email dedicato per le richieste privacy
- Spiegazione chiara di perché raccogli i dati e su quale base legale
- Distinzione tra dati raccolti automaticamente (come i log) e dati che l’utente ti fornisce volontariamente (come i form)
- Chi sono i fornitori esterni che usi (hosting, email, eventuali strumenti di analisi)
- Spiegazione dei diritti dell’utente: può chiederti quali dati hai su di lui, può farti correggere errori, può chiederti di cancellarli, può scaricarli in un formato leggibile, può opporsi a certi usi
- Possibilità di fare un reclamo al Garante della Privacy
La cookie policy, anche se può essere parte della privacy policy, deve essere tecnicamente precisa:
- Spiegazione semplice su cosa sono i cookie
- Elenco completo dei cookie usati con nome, scopo e durata
- Per i cookie di terze parti: link alle loro pagine privacy e alle istruzioni per disattivarli
- Istruzioni su come disabilitare i cookie dalle impostazioni dei browser più comuni (Chrome, Firefox, Safari, Edge)
Entrambi i documenti devono essere disponibili in tutte le lingue in cui offri il servizio. Un testo incomprensibile viene considerato dal Garante come violazione della trasparenza.
Passi pratici per metterti in regola
Per rendere il tuo sito conforme al GDPR, segui questo percorso:
Inizia facendo un elenco di tutti gli strumenti attivi sul tuo sito. Verifica se usi cookie pubblicitari o strumenti di analisi. Se sì, installa un sistema di gestione cookie conforme che blocchi gli script finché l’utente non accetta.
Se hai un sito WordPress semplice senza tracciatori, puoi evitare il banner ma devi comunque risolvere il problema degli IP nei commenti e descrivere i cookie tecnici nella privacy policy.
Configura il server per cancellare automaticamente i log dopo 7-21 giorni. Scegli plugin per i form che non salvino dati nel database, oppure imposta procedure di cancellazione periodica.
Scrivi una privacy policy e una cookie policy complete e comprensibili, evitando il “legalese” incomprensibile.
Verifica che i fornitori esterni che usi (hosting, servizi email, eventuali strumenti di analisi) abbiano adottato le garanzie necessarie per proteggere i dati, specialmente se si trovano fuori dall’Europa.
La conformità non è qualcosa che fai una volta sola e poi dimentichi. Ogni volta che aggiungi un nuovo plugin, un nuovo servizio o modifichi il sito, devi rivalutare l’impatto sulla privacy. Solo con questo approccio continuo puoi proteggere davvero i diritti di chi visita il tuo sito ed evitare sanzioni che potrebbero compromettere la tua attività online.
