GDPR Sito Web: Guida Completa 2026 con Checklist per PMI Italiane
Come rendere il tuo sito web conforme al GDPR nel 2026. 10 elementi obbligatori, cookie banner, DPA, sanzioni reali e checklist interattiva gratis. Guida pratica per PMI italiane.
Indice
Indice dei contenuti
In questo articolo
- GDPR si applica a TUTTI i siti web che raccolgono dati personali
- 10 elementi obbligatori: banner, informativa, DPA, consensi, retention
- Sanzioni reali da 2.000 € a 4% del fatturato annuo
- Checklist interattiva gratis: 10 check in 2 minuti
- Costi per PMI: 500-2.500 € setup, manutenzione minima
Il GDPR applicato al sito web non è un adempimento da rimandare. Dal 2018 il Regolamento Europeo sulla protezione dati è pienamente in vigore e il Garante Privacy italiano ha emesso centinaia di sanzioni. Nel 2026 la giurisprudenza è consolidata: anche le PMI con siti vetrina sono nel mirino. Questa guida spiega cosa serve davvero, senza marketing della paura.
Lavoro come Digital Systems Architect a Milano aiutando PMI italiane a costruire siti e piattaforme digitali. La parte GDPR non è ostacolo ma fondamenta. Secondo il Garante Privacy italiano, nel 2024 sono state applicate oltre 80 milioni di euro di sanzioni alle aziende italiane per violazioni GDPR. La buona notizia: la maggior parte sono prevenibili con un setup corretto in partenza.
Cosa dice il GDPR sui siti web
Il GDPR(General Data Protection Regulation, Regolamento UE 2016/679) si applica a qualsiasi trattamento di dati personali di cittadini europei. Non importa dove è l'hosting, non importa se sei PMI o multinazionale: se il sito raccoglie dati personali, il GDPR si applica.
Cosa sono i dati personali
Qualsiasi informazione che identifica o rende identificabile una persona. Nome, email, indirizzo IP, cookie di profilazione, dati di navigazione, numero di telefono, anche il CAP se combinato con altri dati. Il tuo sito raccoglie dati personali anche se hai solo un form di contatto con nome ed email.
I 6 principi del GDPR
Il GDPR si basa su sei principi fondamentali: liceità (devi avere una base giuridica per trattare dati), correttezza, trasparenza (l'utente sa cosa fai con i suoi dati), minimizzazione (chiedi solo i dati che ti servono), esattezza, limitazione della conservazione (non conservi per sempre), sicurezza.
Diritti dell'interessato
Gli utenti hanno 8 diritti: accesso ai propri dati, rettifica, cancellazione (diritto all'oblio), limitazione trattamento, portabilità, opposizione, revoca consenso, diritto di non essere sottoposto a decisioni automatizzate. Il tuo sito deve permettere loro di esercitarli in modo semplice.
10 elementi obbligatori per un sito a norma
Ecco la lista concreta di cosa deve esserci sul tuo sito web per essere GDPR-compliant nel 2026. Nessun accadimento teorico, solo quello che nella pratica il Garante controlla.
| # | Elemento | Obbligatorio quando |
|---|---|---|
| 1 | Cookie banner con scelte granulari | Sempre |
| 2 | Informativa privacy completa e accessibile | Sempre |
| 3 | Link privacy e cookie in footer | Sempre |
| 4 | Consensi espliciti nei form (non pre-spuntati) | Form presenti |
| 5 | HTTPS su tutto il sito | Sempre |
| 6 | DPA con hosting provider | Sempre |
| 7 | DPA con tool di terze parti (GA4, email, CRM) | Se usi tool esterni |
| 8 | Registro dei trattamenti | Aziende con 250+ dipendenti o alta frequenza |
| 9 | Data retention policy | Sempre |
| 10 | Procedura per diritti dell'interessato (accesso/cancellazione) | Sempre |
Nell'esperienza concreta con PMI italiane, i punti più dimenticati sono DPA con fornitori tech (quasi nessuno li ha firmati davvero), consensi granulari nei form (spesso c'è un unico “accetto privacy e marketing” che non basta) e data retention policy (nessuno la scrive davvero).
Cookie banner: come farlo bene
Il cookie banner è l'elemento più visibile ma anche quello più sbagliato. Il Garante Privacy ha pubblicato linee guida specifiche nel 2021 e sanziona chi non le rispetta.
Cosa deve avere il banner
Tre opzioni visibili allo stesso livello di evidenza: accetta tutti, rifiuta tutti, personalizza. Non puoi mettere il pulsante “accetta” grande e colorato e nascondere “rifiuta” in un link piccolo. Questo è un dark pattern, vietato.
Cosa NON deve fare
Il banner non deve: bloccare la lettura della pagina fino al clic (accettazione forzata), considerare “accetta” qualsiasi azione dell'utente come scroll o clic su link, caricare cookie di profilazione prima del consenso. Se l'utente chiude il banner senza scegliere, deve essere interpretato come rifiuto.
Cookie tecnici vs profilazione
I cookie tecnici (sessione, carrello, lingua) funzionano senza consenso perché essenziali al servizio. I cookie di profilazione (GA4, Meta Pixel, ADV, remarketing) richiedono consenso esplicito PRIMA di essere caricati. Questa distinzione è la chiave: il Garante sanziona chi carica analytics senza consenso.
Soluzioni tecniche consigliate
Per PMI italiane uso tipicamente Iubenda (completo, da 29 €/anno per sito base), Cookiebot (enterprise, da 600 €/anno), oppure soluzioni custom integrate nel codice Next.js con Consent Mode v2 di Google. Evito le soluzioni gratuite generiche (CookieYes free, Complianz free) perché spesso non distinguono correttamente i cookie o hanno dark pattern.
Checklist interattiva: il tuo sito è a norma?
Fai il check rapido qui sotto. 10 punti concreti, spunti solo quelli VERI per il tuo sito, ottieni uno score GDPR da 0 a 100 e la lista dei punti da sistemare. Nessuna email richiesta, risultato istantaneo.
Il tuo sito è a norma GDPR? — 10 check in 2 minuti
Spunta solo ciò che è VERO per il tuo sito. Risultato istantaneo, nessuna email.
Informativa privacy: cosa deve contenere
L'informativa privacy è il documento che spiega agli utenti cosa fai con i loro dati. Deve essere accessibile, chiara, completa. Non può essere un copia-incolla generico preso dal sito di qualcun altro.
Titolare del trattamento
Nome della persona fisica o della società, indirizzo, partita IVA, email di contatto dedicata (es. privacy@tuaazienda.it). Se hai un DPO, indica nome e contatti. Se non ce l'hai, spiega perché non è obbligatorio nel tuo caso.
Finalità del trattamento
Perché raccogli quei dati? Elenco puntato: rispondere a richieste di contatto, inviare preventivi, gestire newsletter, analizzare traffico sito, remarketing. Ogni finalità separata con la sua base giuridica (consenso, contratto, obbligo legale, legittimo interesse).
Durata conservazione dati
Per quanto tempo conservi i dati? Esempio: lead da form contatti 24 mesi, clienti attivi durata rapporto + 10 anni per obblighi fiscali, iscritti newsletter finché non si cancellano. Evita “per il tempo necessario” vago, indica periodi concreti.
Destinatari dei dati
Elenco delle terze parti che ricevono i dati: hosting provider, email marketing (Mailchimp, SendGrid), CRM (HubSpot, Pipedrive), pagamenti (Stripe), analytics (GA4). Per ognuno specifica se è responsabile del trattamento con DPA firmato o autonomo titolare.
Diritti dell'interessato
Spiega come l'utente può esercitare i suoi 8 diritti (accesso, rettifica, cancellazione, ecc). Fornisci un canale concreto: email dedicata, form web, indirizzo postale. Indica che ha diritto a reclamare al Garante Privacy italiano.
DPA con i fornitori tech
Il DPA (Data Processing Agreement) è il contratto tra titolare del trattamento (tu) e responsabile del trattamento (i tuoi fornitori tech che trattano dati per tuo conto). È obbligatorio ex articolo 28 GDPR. Senza DPA firmato, sei in violazione anche se il fornitore è GDPR-compliant.
Chi richiede DPA
Ogni fornitore che riceve dati personali dei tuoi utenti. Hosting (Vercel, Aruba, SiteGround, AWS), email transazionale (Resend, SendGrid, Mailgun), email marketing (Mailchimp, Brevo), analytics (GA4, Plausible), CRM (HubSpot, Salesforce, Pipedrive), pagamenti (Stripe, PayPal, Nexi), chatbot (Intercom, Tidio), form builder (Typeform, Jotform), file storage (Dropbox, Google Drive).
Come si firma
La maggior parte dei provider moderni ha un DPA standard firmabile online dall'area business: account settings, compliance, data processing agreement. Lo accetti digitalmente con un clic. Per provider enterprise potrebbe servire una versione firmata dai legali. Conserva sempre una copia del DPA firmato in archivio per eventuale ispezione.
Trasferimenti extra-UE
Provider USA (Vercel, Google, Meta, HubSpot) trasferiscono dati fuori UE. Per essere conformi serve adesione al framework Data Privacy Framework (DPF) o Standard Contractual Clauses (SCC). Tutti i big provider aderiscono al DPF dal 2023, ma va verificato caso per caso e menzionato in informativa.
Quanto costa avere DPA
Gratis. Tutti i DPA standard sono inclusi nei piani dei provider, anche quelli free o entry-level. Non c'è motivo per non averli. Il costo nascosto è il TEMPO: una PMI con 10 fornitori tech deve accedere a ciascun account, trovare il DPA, accettarlo. 2-3 ore di lavoro totale. Un consulente digitalizzazione lo fa in metà tempo.
Sanzioni reali e casi concreti
Le sanzioni GDPR sul siti web non sono teoriche. Il Garante Privacy italiano pubblica tutti i provvedimenti sul suo sito. Ecco alcuni casi reali che ho analizzato per capire cosa succede davvero.
Caso 1: PMI con GA4 senza consenso
Nel 2022 il Garante ha sanzionato diverse aziende italiane per aver caricato Google Analytics senza consenso preventivo. Importi tipici: 2.000 - 8.000 € per PMI. La violazione era il caricamento di GA prima del clic su “accetta” nel cookie banner. Secondo la normativa GDPR, questo era un trattamento dati senza base giuridica.
Caso 2: E-commerce con newsletter senza opt-in
E-commerce che aveva importato la lista clienti nel software di email marketing senza raccogliere consenso esplicito al marketing (era solo consenso alla privacy). Sanzione: 15.000 €. La lezione: la base giuridica “contratto” copre le email transazionali (conferma ordine, spedizione) ma non quelle promozionali, per cui serve consenso esplicito separato.
Caso 3: Studio professionale con CRM USA senza DPA
Studio legale che usava un CRM americano senza avere firmato il DPA (credeva bastasse pagare la licenza). Sanzione: 4.500 €. Il provider era GDPR-compliant ma senza DPA firmato dall'utente, il rapporto contrattuale non era valido. Lezione: pagare il tool non ti esime dalla firma DPA.
Soglia di attenzione reale
Il Garante Privacy italiano apre circa il 20% dei reclami ricevuti. La maggior parte delle sanzioni è nella fascia 2.000 - 50.000 € per PMI. Sanzioni più alte (100K+) arrivano per dati sanitari, finanziari o trattamenti massivi. Sotto i 1.000 € sono rari (il Garante preferisce avvertimento). La cosa importante: una sanzione anche di 3.000 € è un danno reputazionale significativo perché il provvedimento è pubblico.
🔒 Scansiona il tuo sito gratis
Scanner gratuito che verifica HTTPS, security headers, configurazione base sicurezza. Primo step verso la compliance.
Vai allo scanner sicurezzaQuanto costa e quanto tempo serve
Mettere a norma un sito web PMI costa meno di quanto pensi e richiede meno tempo del previsto se si parte bene. Ecco i numeri reali che applico a Milano nel 2026.
| Tipo sito | Setup una tantum | Annuale | Tempi |
|---|---|---|---|
| Sito vetrina semplice (form contatti) | €500 – €1.200 | €50 – €150 | 3-5 giorni |
| Sito con newsletter/blog | €1.000 – €2.000 | €100 – €300 | 1 settimana |
| E-commerce medio | €2.000 – €4.000 | €200 – €500 | 2 settimane |
| Piattaforma con CRM/marketing | €3.000 – €6.000 | €400 – €800 | 2-3 settimane |
| Sanità, finanza, dati sensibili | €5.000 – €15.000 | €1.000 – €3.000 | 4-6 settimane |
Il costo setup include: audit GDPR sito esistente, scrittura informativa personalizzata, configurazione cookie banner conforme, firma DPA con fornitori, registro trattamenti base. Il costo annuale copre aggiornamenti minori, rinnovo informativa se cambiano fornitori, controllo annuale.
Per un confronto con altre spese digitali, leggi la mia guida ai costi di digitalizzazione aziendale.
Data retention: quanto conservare i dati
Uno degli aspetti più dimenticati del GDPR è la data retention. Il principio base: conservi i dati personali solo per il tempo strettamente necessario alle finalità dichiarate. Poi li cancelli o li anonimizzi. Il Garante Privacy controlla sempre se hai una policy scritta e se la applichi davvero.
Tempi di retention tipici per PMI
Per una PMI italiana tipica, questi sono i tempi di retention che applico negli audit. Non sono regole fisse ma riferimenti di mercato validati dal Garante.
| Tipo di dato | Retention tipica | Base giuridica |
|---|---|---|
| Lead form contatti (non convertiti) | 24 mesi | Legittimo interesse |
| Clienti attivi (contratto in corso) | Durata rapporto + 10 anni | Obbligo fiscale |
| Ex clienti (rapporto chiuso) | 10 anni da chiusura | Obbligo fiscale |
| Iscritti newsletter | Finché non si cancellano | Consenso |
| Log server / accesso | 6 mesi (Garante 2008) | Legittimo interesse |
| Cookie di profilazione (GA4) | 14 mesi max | Consenso |
| Registrazioni chatbot | 6-12 mesi | Legittimo interesse / Consenso |
| Curriculum candidati | 24 mesi | Consenso |
Cancellazione automatica
Il Garante preferisce retention automatizzata via script o cron. Esempio: script che ogni mese cancella dal CRM i lead non convertiti da più di 24 mesi. Questo dimostra che la policy è attuata davvero, non solo scritta. In Next.js/Supabase è fattibile con un cron che esegue query SQL di pulizia periodica.
Anonimizzazione vs cancellazione
Se vuoi conservare dati per statistiche interne ma non più identificati, puoi anonimizzare(rimuovere informazioni identificative in modo irreversibile). Un dato anonimizzato non è più personale, quindi esce dall'ambito GDPR. Attenzione: la pseudonimizzazione (hash, ID casuale) non è anonimizzazione vera se l'identificazione è ancora possibile.
GDPR e marketing automation
Marketing automation e GDPR sono spesso in tensione. Strumenti come HubSpot, ActiveCampaign, Brevo, Mailchimp raccolgono dati dettagliati sul comportamento dei contatti (aperture, clic, pagine visitate) e li usano per segmentazione e scoring. Tutto legittimo, se configurato bene.
Lead scoring e profilazione
Il lead scoring che combina comportamento email + visite sito + dati form è profilazioneai sensi del GDPR. Richiede consenso esplicito separato. L'informativa deve spiegare chiaramente che fai scoring e come influenza le comunicazioni che ricevi. L'utente ha diritto di opporsi alla profilazione automatizzata.
Pixel di tracciamento email
I pixel 1x1 inseriti nelle email per tracciare aperture sono un tema grigio. Tecnicamente raccolgono IP e timestamp, quindi dati personali. Il Garante non ha ancora sanzionato specificamente, ma l'orientamento prudente è includere una frase nell'email tipo “questa email contiene un pixel per tracciare l'apertura a fini statistici” e permettere disabilitazione.
Liste clienti acquistate
Comprare liste email e caricarle su Mailchimp per fare DEM è illegale in Italia. Il GDPR richiede che il consenso sia raccolto dal titolare che usa i dati, non ereditato. Le liste acquistate non hanno consenso valido. Sanzioni certe se arriva un reclamo. Unica eccezione: partnership con preciso accordo di co-titolarità e re-opt-in.
Retargeting Meta/Google
Meta Pixel e Google Ads remarketing sono cookie di profilazione di terze parti. Richiedono consenso esplicito prima del caricamento. Il banner deve menzionarli per nome. La lista “custom audience” caricata su Facebook deve essere composta solo da email con consenso al marketing. Caricare la lista clienti intera = violazione.
GDPR, AI Act e chatbot: cosa cambia nel 2026
Il 2025-2026 porta due novità normative che si intrecciano con il GDPR: l'AI Act europeo (in vigore dal 1 agosto 2024, applicabilità progressiva fino al 2027) e il crescente uso di chatbot AI nei siti web. Due aree di attenzione nuova per le PMI italiane.
AI Act: obblighi per sistemi AI
L'AI Act classifica i sistemi AI in 4 livelli di rischio. I chatbot generativi sul sito (tipo ChatGPT embedded) rientrano nel rischio limitato. Obbligo: trasparenza, l'utente deve sapere chiaramente che sta parlando con un'AI. Serve avviso in primo messaggio tipo “Ciao, sono l'assistente AI di [azienda]”.
Chatbot AI e dati personali
Quando un utente chatta con un chatbot AI, i suoi messaggi (che possono contenere dati personali) vengono inviati al modello AI (GPT, Claude, Gemini). Questo è un trasferimento dati al provider AI. Richiede DPA con il provider, residenza dati EU preferibile, e informativa che spiega il trattamento. Ne parlo in dettaglio nella mia guida ai chatbot aziendali.
Decisioni automatizzate
Se usi AI per decisioni significative sull'utente (es. credit scoring, selezione CV, assegnazione prezzi dinamici), il GDPR articolo 22 dà all'utente il diritto di NON essere sottoposto a decisioni unicamente automatizzate. Deve esserci sempre intervento umano significativo o opzione di richiederlo. L'AI Act rafforza questo principio.
Modelli AI con residenza EU
Per ridurre rischi di trasferimento extra-UE, preferire modelli con residenza dati europea. Claude di Anthropic Business Plan ha residenza EU di default. Gemini Enterprise permette scelta regione. ChatGPT Enterprise ha zero retention e residenza EU opzionale. Per agenti AI aziendali che trattano dati sensibili, questa scelta è strategica.
5 errori comuni da evitare
Dopo aver fatto audit GDPR a decine di PMI italiane, ecco i 5 errori che vedo ripetersi sempre, anche in aziende strutturate.
1. Copiare l'informativa da un altro sito
Classico: prendo l'informativa del sito di un concorrente e la modifico con i miei dati. Sbagliato per due ragioni: diritto d'autore (è un testo protetto) e contenuto (i tuoi trattamenti sono diversi). L'informativa deve essere scritta sui TUOI processi, non copiata.
2. Cookie banner “accetta” in grande, “rifiuta” nascosto
Il classico dark pattern. Pulsante verde enorme “Accetta”, link minuscolo “Rifiuta o personalizza”. Il Garante Privacy ha chiarito più volte: tutte e tre le opzioni (accetta, rifiuta, personalizza) devono avere la stessa evidenza visiva. Stesso colore, stessa dimensione, stesso peso.
3. Caricare GA4 prima del consenso
Google Analytics installato nel tag manager che parte al caricamento pagina, senza attendere il consenso. Violazione automatica perché tratti dati (IP, cookie) prima di avere base giuridica. La soluzione tecnica è Google Consent Mode v2, che blocca GA4 fino al consenso e usa modellazione statistica per ricostruire i dati mancanti.
4. Un unico consenso per tutto
Form con UN SOLO checkbox “Accetto privacy e marketing”. No. I consensi vanno SEMPRE separati: uno per il trattamento necessario al contatto (privacy), uno per la newsletter/marketing, uno per la profilazione. Ognuno deve essere facoltativo e non pre-spuntato.
5. Nessuna procedura per le richieste utenti
Un utente chiede di cancellare i suoi dati, in azienda nessuno sa cosa fare. Violazione del GDPR perché il diritto alla cancellazione deve essere onorato entro 30 giorni. Serve una procedura scritta: chi riceve le richieste, come le smista, chi cancella i dati da quali sistemi, come conferma all'utente.
🎯 Serve un sito GDPR-compliant da zero?
Lavoro come Digital Systems Architect a Milano. Costruisco siti e piattaforme nativamente GDPR-compliant, senza dover aggiungere patch dopo. Consulenza gratuita per valutare il tuo caso.
ParliamoneDomande frequenti sul GDPR sito web
Il mio sito è obbligato ad avere informativa GDPR?
Sì, se raccogli qualsiasi dato personale (form contatti, newsletter, cookie di analytics, login) il GDPR si applica. Anche un sito vetrina con semplice form contatti deve avere informativa privacy, cookie banner e consensi espliciti. Non ci sono esenzioni per siti piccoli.
Quali sono le sanzioni per un sito non conforme?
Le sanzioni GDPR arrivano fino a 20 milioni di euro o al 4% del fatturato annuo globale. Per PMI italiane, le sanzioni del Garante Privacy vanno tipicamente da 2.000 a 50.000 euro per violazioni concrete, dopo un reclamo formale o ispezione.
Serve un DPO per una PMI con sito web?
Il DPO è obbligatorio solo per enti pubblici, aziende con trattamenti su larga scala o dati sensibili. Per una PMI con sito vetrina e form contatti, il DPO non è obbligatorio. Serve però un referente interno responsabile del GDPR.
Posso usare Google Analytics GA4 con il GDPR?
Sì, con consenso esplicito dell'utente via cookie banner prima del caricamento. Devi attivare l'anonimizzazione IP, avere un DPA con Google, e usare Consent Mode v2. Senza consenso preventivo, è violazione.
Quanto costa mettere a norma un sito PMI?
Per un sito PMI tipico con form contatti e analytics, 500-2.500 euro una tantum (informativa + cookie banner + DPA + audit). Manutenzione annuale minima. Per e-commerce complessi sale a 2.500-6.000 euro.
Cookie banner: a tendina o popup bloccante?
La forma è libera ma non può essere dark pattern. Il Garante richiede tre opzioni visibili allo stesso livello: accetta tutti, rifiuta tutti, personalizza. Chiudere il banner senza scegliere va interpretato come rifiuto.
Approfondisci
- Scanner Sicurezza, scansione gratuita SSL, headers, tech stack
- Verifica Accessibilità EAA, altro adempimento normativo 2025
- Bandi Digitalizzazione 2026, contributi 45% anche per sistemi GDPR-compliant
- Consulente Digitalizzazione PMI, come scegliere chi costruisce sistemi compliant
- Quanto Costa un Sito Web nel 2026, prezzi reali per PMI italiane
- Chatbot Aziendale, anche i chatbot richiedono compliance GDPR specifica
- Servizi Siti Web, realizzo siti nativamente GDPR-compliant da zero
- Contattami per una Consulenza, analizziamo il tuo caso specifico
