Come avere il sito conforme al GDPR: guida pratica alla conformità online

Il 25 maggio 2018 ha segnato un punto di svolta per chiunque gestisca una presenza digitale. Da quella data, il GDPR (Regolamento UE 2016/679) ha trasformato la conformità dei siti web da semplice formalità burocratica a requisito strutturale. La protezione dei dati personali non è più un’aggiunta opzionale: l’articolo 25 del Regolamento introduce i principi di privacy by design e privacy by default, che impongono di integrare la tutela dei dati fin dalle prime fasi di progettazione del servizio.

Le sanzioni per chi ignora queste regole sono tutt’altro che simboliche: possono raggiungere il 4% del fatturato annuo globale o 20 milioni di euro, a seconda di quale importo risulti superiore. Questo ha trasformato la compliance privacy da voce di costo marginale a priorità strategica per qualsiasi attività online.

Nel contesto italiano, il Garante per la Protezione dei Dati Personali ha emanato le Linee guida cookie e altri strumenti di tracciamento (10 giugno 2021), entrate a pieno regime il 10 gennaio 2022. L’obiettivo: rafforzare il potere decisionale degli utenti e porre fine alle pratiche elusive note come dark patterns.

Cosa sono i cookie e perché se ne parla tanto

Prima di addentrarci nelle regole, è utile capire cosa sono esattamente i cookie. Si tratta di piccoli file di testo che i siti web salvano sul tuo computer, smartphone o tablet quando li visiti. Immagina i cookie come dei post-it digitali che il sito attacca sul tuo dispositivo per ricordarsi di te.

Quando torni a visitare lo stesso sito, il browser legge questi post-it e comunica al sito chi sei. È così che un sito “ricorda” che hai già fatto il login, quali prodotti hai messo nel carrello, o quale lingua preferisci usare.

I cookie in sé non sono né buoni né cattivi: dipende da come vengono usati. Alcuni sono indispensabili per far funzionare il sito (come quelli che ti mantengono collegato al tuo account). Altri tracciano ogni tuo movimento online per costruire un profilo dettagliato dei tuoi interessi e mostrarti pubblicità mirata.

La normativa europea si concentra sui cookie perché rappresentano il principale strumento di tracciamento online. Capire quali cookie usa il tuo sito è il primo passo per sapere se devi mostrare il banner di consenso.

Il primo passo: mappare i dati che raccogli

Prima di qualsiasi intervento tecnico, serve capire con precisione quali informazioni personali vengono raccolte dal tuo sito, attraverso quali strumenti e per quali scopi. Questo processo, chiamato data mapping, rappresenta il punto di partenza obbligatorio per qualsiasi percorso di conformità.

In pratica, devi identificare:

• quali dati personali entrano nel sito (email nei form, IP nei log, identificativi cookie)
• attraverso quali strumenti (form, cookie, script, log del server, plugin)
• per quali finalità (rispondere a richieste, prevenire abusi, misurare traffico, marketing)
• dove i dati vengono archiviati (database WordPress, casella email, CRM, piattaforme esterne)
• se passano a soggetti terzi (hosting, servizi email, plugin cloud)

Questa mappa è la base per fare le scelte giuste su informativa, consenso, misure di sicurezza e tempi di conservazione.

Le basi giuridiche: perché puoi trattare quei dati

Ogni volta che raccogli dati personali, devi avere una motivazione legale valida secondo l’articolo 6 del GDPR. Nel contesto di un sito web, le motivazioni più comuni sono tre.

Consenso dell’utente (art. 6, par. 1, lett. a)

Serve quando installi cookie pubblicitari, strumenti di analisi come Google Analytics non anonimizzati, o quando invii newsletter promozionali. Il consenso deve essere libero, specifico, informato e inequivocabile. Non puoi dare per scontato che il silenzio equivalga a un “sì”, né che lo scorrimento della pagina significhi accettazione.

Esecuzione di un contratto o misure precontrattuali (art. 6, par. 1, lett. b)

Copre i moduli di contatto per richieste di preventivi, le registrazioni account e gli acquisti negli e-commerce. In questi casi non serve chiedere un consenso aggiuntivo tramite checkbox, perché l’utente sta già compiendo un’azione volontaria per ottenere qualcosa. La base giuridica è insita nell’azione stessa.

Legittimo interesse del titolare (art. 6, par. 1, lett. f)

Può giustificare alcune attività tecniche come la protezione del sito da attacchi informatici o il blocco di indirizzi IP malevoli. Richiede però una valutazione formale (Legitimate Interest Assessment) per dimostrare che i tuoi interessi non prevalgano sui diritti degli utenti. Il Garante ha chiarito in modo perentorio che il legittimo interesse non vale mai per cookie e tracciatori di profilazione.

Cookie: quali richiedono il banner e quali no

I cookie rappresentano il tema centrale della normativa sul tracciamento online. Capire le differenze tra le varie tipologie ti permette di sapere se il tuo sito necessita o meno del banner di consenso.

Cookie tecnici: nessun consenso richiesto

I cookie tecnici sono quelli indispensabili per far funzionare il sito: ti permettono di accedere alla tua area riservata, mantengono la lingua che hai scelto, ti fanno completare un acquisto. Per questi non serve alcun consenso né banner. Basta descriverli nella pagina della privacy policy.

Cookie analitici: dipende dalla configurazione

I cookie analitici raccolgono statistiche su quante persone visitano il sito, quali pagine guardano e per quanto tempo. Strumenti come Google Analytics rientrano in questa categoria.

Nella maggior parte dei casi sono equiparati ai cookie pubblicitari e richiedono il consenso. Per essere esentati, devono verificarsi tre condizioni cumulative:

1. L’indirizzo IP dell’utente deve essere mascherato o anonimizzato
2. Il fornitore del servizio deve impegnarsi contrattualmente a non incrociare i dati con altri database
3. I dati devono essere utilizzati solo per statistiche aggregate

Se manca anche solo una di queste condizioni, scatta l’obbligo del banner.

Cookie di profilazione: sempre consenso preventivo

I cookie pubblicitari tracciano il tuo comportamento online per mostrarti pubblicità mirata. Per questi è obbligatorio chiedere il consenso esplicito prima di installarli. Non puoi attivarli e poi chiedere permesso dopo.

La stessa disciplina si applica al fingerprinting, tecnica che identifica l’utente analizzando le caratteristiche del suo dispositivo (risoluzione schermo, font installati, versione del sistema operativo) senza salvare cookie tradizionali.

Come progettare un cookie banner conforme

Quando il tuo sito usa cookie pubblicitari o strumenti di analisi standard, il banner diventa obbligatorio. Le Linee Guida del Garante del 2021 hanno stabilito regole precise per evitare pratiche manipolatorie.

Il banner deve apparire subito alla prima visita, sovrapponendosi parzialmente alla pagina. In alto a destra serve una “X” per chiuderlo: cliccandola, l’utente rifiuta i cookie non essenziali e può navigare liberamente senza penalizzazioni.

I pulsanti per accettare, rifiutare o personalizzare devono avere pari evidenza visiva. È vietato usare un bottone grande e colorato per “Accetta tutti” e uno piccolo e grigio per “Rifiuta”. Dire no deve essere facile quanto dire sì.

Scorrere la pagina non vale più come consenso. Sono vietati anche i cookie wall, meccanismi che bloccano l’accesso ai contenuti finché l’utente non accetta il tracciamento.

Dal punto di vista tecnico, gli script pubblicitari devono rimanere bloccati finché l’utente non clicca su “Accetta”. Questo blocco preventivo è cruciale: la legge vieta l’accesso alle informazioni sul dispositivo prima del consenso.

Serve inoltre conservare un registro delle preferenze con timestamp, identificativo della sessione e versione della policy mostrata, per dimostrare la conformità in caso di controlli.

WordPress senza Google Analytics: serve il banner?

Molti proprietari di siti semplici si chiedono se un’installazione base di WordPress, senza strumenti di analisi o pubblicità, richieda comunque il cookie banner. La risposta è no, nella maggior parte dei casi.

WordPress utilizza alcuni cookie progettati esclusivamente per funzioni tecniche:

Tutti questi rientrano nella categoria dei cookie tecnici. Non tracciano comportamenti, non creano profili pubblicitari, non inviano dati a terze parti per scopi commerciali. Servono solo a far funzionare correttamente il sito.

La conseguenza è chiara: se il tuo sito WordPress usa solo questi cookie nativi, senza plugin di statistiche, pixel pubblicitari o strumenti di marketing, non devi mostrare alcun banner. Ti basta inserire una spiegazione di questi cookie nella privacy policy, raggiungibile dal footer.

Questo vale anche se hai attivato i commenti o usi moduli di contatto come Contact Form 7, purché non ci siano tracciatori aggiuntivi.

Il problema nascosto degli indirizzi IP nei commenti

L’assenza del banner non significa però che sei automaticamente a posto. WordPress ha un aspetto critico nel sistema dei commenti: quando qualcuno lascia un commento, il sistema registra automaticamente il suo indirizzo IP completo nel database e lo conserva per sempre.

L’indirizzo IP è una sequenza numerica che identifica univocamente ogni dispositivo connesso a internet. È come l’indirizzo di casa del tuo computer o smartphone. Questo dato è considerato personale perché, incrociandolo con i registri dei fornitori di internet, si può risalire all’identità della persona.

La conservazione illimitata di questi indirizzi viola i principi di minimizzazione e limitazione della conservazione sanciti dall’articolo 5 del GDPR.

Per risolvere il problema puoi usare plugin come “Remove IP” che sostituiscono automaticamente l’IP con valori neutri. Oppure puoi chiedere al tuo sviluppatore di aggiungere questo codice al file functions.php:

add_filter('pre_comment_user_ip', 'no_ips');
function no_ips($comment_author_ip){
    return '';
}

Esistono anche soluzioni più sofisticate che mascherano solo l’ultimo blocco dell’indirizzo IP (trasformando 192.168.1.45 in 192.168.1.0). Questo mantiene l’utilità per i filtri antispam, che possono ancora bloccare intere reti sospette, ma impedisce l’identificazione della singola persona.

Ricorda anche di bonificare i dati storici già presenti nel database con una query SQL che azzeri gli IP pregressi.

I moduli di contatto: come gestirli correttamente

I form di contatto sono uno dei punti più delicati. La scelta dello strumento che usi influisce direttamente sulla sicurezza dei dati.

Plugin senza salvataggio nel database

Alcuni plugin come Contact Form 7 funzionano come semplici messaggeri: prendono i dati inseriti, li mettono in un’email e te la inviano. Non salvano nulla nel database di WordPress. Se qualcuno violasse il database del tuo sito, i dati degli utenti rimarrebbero al sicuro nella tua casella di posta elettronica.

Plugin con salvataggio nel database

Altri plugin come WPForms o Gravity Forms copiano invece ogni messaggio nel database di WordPress, spesso in chiaro. Offrono più comodità per gestire i contatti ma aumentano la responsabilità: servono maggiori misure di sicurezza (art. 32 GDPR) e devi ricordarti di cancellare periodicamente i messaggi vecchi.

Quando serve il consenso nei form

Se il modulo serve solo a ricevere richieste di informazioni o preventivi, l’invio stesso del messaggio costituisce la base giuridica (misure precontrattuali). Non serve una casella di consenso aggiuntiva, che risulterebbe ridondante. Basta una frase che rimandi alla privacy policy.

Se invece vuoi iscrivere l’utente a newsletter promozionali, serve un consenso separato tramite una casella non già spuntata. Per massimizzare la certezza, usa il sistema double opt-in: l’utente riceve un’email con un link di conferma, e solo cliccando quel link l’iscrizione diventa definitiva.

Quanto tempo puoi conservare i log del server

Gli indirizzi IP registrati automaticamente dai server web (Apache, Nginx) sono considerati dati personali. La prassi di conservarli per mesi o anni è stata bloccata dal Garante.

Le indicazioni recenti stabiliscono che la conservazione normale dei log non deve superare i 7 giorni. In casi eccezionali, con motivazioni tecniche documentate di sicurezza informatica, il limite massimo è 21 giorni.

Oltre questa soglia devi cancellare definitivamente i file o renderli anonimi in modo irreversibile. Conservazioni più lunghe per controlli interni richiedono accordi specifici secondo lo Statuto dei Lavoratori (art. 4, L. 300/1970).

A livello infrastrutturale, implementa sempre:

• Protocolli crittografici TLS/SSL per tutte le comunicazioni
• Autenticazione multi-fattore per gli accessi amministrativi
• Backup crittografati e accessi ai dati limitati ai soli soggetti autorizzati

Il registro dei trattamenti: chi deve compilarlo

L’articolo 30 del GDPR impone la tenuta di un Registro delle Attività di Trattamento. Un equivoco diffuso riguarda l’esenzione per le organizzazioni sotto i 250 dipendenti: questa deroga decade se il trattamento presenta rischi, non è occasionale o include dati sensibili.

Gestire un sito web, raccogliere lead tramite form o analizzare il traffico sono attività sistematiche e continuative. Il Garante ha chiarito che la quasi totalità dei titolari che possiedono un sito web è assoggettata all’obbligo di compilare il registro.

Il registro deve contenere:

• Dati identificativi del titolare e dell’eventuale DPO
• Mappatura delle finalità con relative basi giuridiche
• Categorie di dati raccolti e soggetti interessati
• Identità dei fornitori terzi (hosting, servizi email, plugin cloud)
• Dettagli sui trasferimenti verso paesi extra-UE con garanzie adottate
• Tempi di conservazione per ciascuna categoria di dati
• Misure di sicurezza implementate

Il Garante ha rilasciato modelli semplificati in PDF ed Excel per facilitare la compilazione da parte delle PMI.

Privacy policy e cookie policy: cosa scrivere

La privacy policy deve essere completa ma comprensibile. Evita il linguaggio troppo tecnico o burocratico: un testo incomprensibile viene considerato dal Garante come violazione del principio di trasparenza (art. 12 GDPR).

Contenuti della privacy policy

• I tuoi dati completi con un indirizzo email dedicato per le richieste privacy
• Spiegazione chiara di perché raccogli i dati e su quale base giuridica (art. 6)
• Distinzione tra dati raccolti automaticamente (log) e dati forniti volontariamente (form)
• Chi sono i fornitori esterni che usi (hosting, email, eventuali strumenti di analisi)
• Spiegazione dei diritti dell’utente secondo gli articoli 15-22 del GDPR: accesso, rettifica, cancellazione, limitazione, portabilità, opposizione
• Possibilità di fare un reclamo al Garante della Privacy

Contenuti della cookie policy

• Spiegazione semplice su cosa sono i cookie
• Elenco completo dei cookie usati con nome tecnico, dominio, scopo e durata
• Per i cookie di terze parti: link alle loro pagine privacy e alle istruzioni per disattivarli (opt-out)
• Istruzioni su come disabilitare i cookie dalle impostazioni dei browser più comuni (Chrome, Firefox, Safari, Edge)

Entrambi i documenti devono essere disponibili in tutte le lingue in cui offri il servizio.

Checklist rapida

• Mappatura dati e terze parti (hosting, SMTP, plugin cloud, CDN)
• Basi giuridiche per ogni finalità (art. 6)
• Verifica cookie/tracker: tecnici vs analytics vs profilazione
• Banner solo se necessario, con blocco preventivo e pari evidenza
• Form minimizzati + informativa chiara + (se marketing) consensi separati
• Commenti WordPress: valutazione IP e retention/anonimizzazione
• Log server: tempi di conservazione definiti e misure di sicurezza
• Registro dei trattamenti + privacy/cookie policy aggiornate e accessibili