Sito Web & UX

Checklist GDPR Sito Web: Tutto Quello che Devi Verificare per Essere in Regola

35 punti di verifica per la conformita GDPR del tuo sito web: cookie policy, informativa privacy, moduli di contatto, diritti degli utenti e sicurezza dei dati. La checklist completa per le PMI italiane.

Redazione Smartegia
11 Jul 2026
8 min 0 0

Checklist GDPR Sito Web: Tutto Quello che Devi Verificare per Essere in Regola

Il Regolamento Generale sulla Protezione dei Dati (GDPR, Reg. UE 2016/679) e in vigore dal 25 maggio 2018, ma molte PMI italiane sono ancora lontane dalla piena conformita. Le sanzioni possono arrivare fino al 4% del fatturato globale annuo o 20 milioni di euro, e il Garante Privacy italiano ha dimostrato di intervenire anche contro le piccole imprese. Questa checklist ti permette di verificare in modo sistematico la conformita GDPR del tuo sito web, dalla cookie policy al trattamento dei dati degli utenti.

Nota: questa checklist ha scopo informativo. Per situazioni specifiche o settori regolamentati, consulta sempre un avvocato specializzato in privacy o un Data Protection Officer qualificato.

Informativa Privacy e Cookie Policy

Privacy Policy: Elementi Obbligatori

  1. L'informativa privacy e presente e accessibile da tutte le pagine: deve essere raggiungibile tipicamente dal footer. Non nasconderla in pagine difficili da trovare o in link con testo non descrittivo.
  2. L'informativa contiene tutti gli elementi richiesti dall'art. 13 e 14 GDPR: identita e contatti del titolare, finalita e base giuridica, destinatari dei dati, periodo di conservazione, diritti dell'interessato e diritto di reclamo al Garante Privacy.
  3. E identificato chiaramente il Titolare del Trattamento: nome o ragione sociale, indirizzo, email e numero di telefono devono essere presenti, precisi e aggiornati nell'informativa.
  4. E indicata la base giuridica per ogni finalita di trattamento: consenso, contratto, obbligo legale o interesse legittimo. Ogni trattamento deve avere una base giuridica specifica dichiarata nel documento.
  5. Sono elencati tutti i responsabili del trattamento esterni: hosting provider, servizi email, CRM, strumenti di analytics, chat live. Tutti devono essere menzionati come responsabili esterni del trattamento dati.
  6. E indicato il periodo di conservazione per ogni categoria di dati: per ogni tipo di dato trattato deve essere specificato per quanto tempo viene conservato o i criteri usati per determinarlo.
  7. L'informativa e in italiano chiaro e accessibile: il GDPR richiede che le informazioni siano fornite in forma concisa, trasparente, intelligibile e facilmente accessibile con un linguaggio semplice.

Cookie Policy e Consenso Cookie

  1. Il sito usa un Consent Management Platform (CMP) conforme: strumenti come Cookiebot, iubenda, Usercentrics o CookieYes devono essere configurati correttamente per raccogliere consensi validi con log e prova del consenso.
  2. Il banner cookie appare prima che vengano caricati cookie non tecnici: gli utenti devono vedere il banner prima dell'impostazione di cookie analitici o di marketing. Non precaricare cookie di terze parti prima del consenso.
  3. Il banner offre la possibilita di rifiutare con la stessa facilita di accettare: le linee guida del Garante italiano richiedono che rifiutare sia facile quanto accettare. Il solo pulsante Accetta tutto non e sufficiente per la conformita.
  4. Il rifiuto dei cookie non penalizza l'accesso al sito: non puoi condizionare l'accesso ai contenuti all'accettazione dei cookie (cookie wall), salvo eccezioni specifiche e giustificate dalla normativa vigente.
  5. La cookie policy elenca tutti i cookie con nome, provider, finalita e durata: usa uno scanner automatico come Cookiebot per mantenere la lista aggiornata quando installi nuovi plugin o strumenti di terze parti.
  6. I cookie di terze parti si attivano solo dopo il consenso: Google Analytics, Facebook Pixel, Google Ads e chat live non devono caricarsi prima del consenso esplicito alla rispettiva categoria di cookie nel banner.
  7. Il consenso viene registrato con timestamp come prova: devi poter dimostrare che un utente ha dato consenso in una data specifica. Il CMP deve loggare questi dati in modo verificabile per eventuali controlli.

Moduli di Contatto e Raccolta Dati

ElementoRequisito GDPRDa Verificare
Form di contattoLink all'informativa obbligatorioLink visibile accanto al pulsante invio?
NewsletterConsenso esplicito non pre-spuntatoCheckbox separata per email marketing?
Richiesta preventivoBase giuridica: contrattoInformativa specifica presente?
Download lead magnetConsenso marketing separato dal downloadConsenso non bundled?
Registrazione utenteInformativa al momento dell'iscrizioneInformativa visibile prima della conferma?
Checkout e-commerceInformativa precontrattualeLink privacy nel processo di acquisto?
  1. Tutti i form hanno il link all'informativa privacy: il link deve essere chiaramente visibile vicino al pulsante di invio, non in piccolo nel footer lontano dal modulo di contatto o di iscrizione.
  2. I form newsletter hanno checkbox di consenso non pre-spuntata: il consenso per l'email marketing deve essere un'azione positiva e esplicita. Le checkbox pre-selezionate non costituiscono consenso valido secondo il GDPR europeo.
  3. Il consenso al marketing e separato dall'accettazione dei termini: non puoi unire il consenso al marketing con l'accettazione dei termini di servizio. Devono essere checkbox separate e indipendenti per essere valide.
  4. I dati dei form vengono trasmessi in HTTPS: tutti i form devono inviare dati tramite connessione HTTPS cifrata. Verifica che il certificato SSL sia valido e che non ci siano pagine miste HTTP/HTTPS nel sito.

Diritti degli Utenti, Sicurezza e Fornitori

  1. E disponibile una procedura per il diritto di accesso ai dati: l'utente deve poter richiedere quali dati hai su di lui. Indica nell'informativa come presentare questa richiesta e il termine di risposta di 30 giorni previsto dal GDPR.
  2. E prevista una procedura per il diritto alla cancellazione: l'utente puo richiedere la cancellazione dei propri dati (diritto all'oblio). Devi avere un processo documentato per evadere queste richieste entro il termine previsto.
  3. Tutti i responsabili del trattamento esterni hanno firmato un DPA: il Data Processing Agreement e obbligatorio per tutti i fornitori che trattano dati per tuo conto. Google, Mailchimp e altri SaaS forniscono DPA standardizzati da accettare nelle impostazioni account.
  4. I trasferimenti extra-UE sono coperti da garanzie adeguate: per trasferimenti verso USA come Google Analytics e Facebook, verifica che il provider aderisca al Data Privacy Framework EU-USA o usi Clausole Contrattuali Standard (SCC) aggiornate.
  5. Il sito usa HTTPS con certificato SSL valido: senza HTTPS il sito non e conforme al GDPR, che richiede misure di sicurezza adeguate per proteggere i dati in transito tra browser e server.
  6. E presente una procedura per la gestione dei Data Breach: in caso di violazione dei dati, hai 72 ore per notificare il Garante se la violazione rappresenta un rischio per gli interessati e, in certi casi, devi notificare anche gli utenti coinvolti.
  7. L'accesso all'area amministrativa e protetto con autenticazione forte: abilita l'autenticazione a due fattori (2FA) per tutti gli account amministratori. Usa password complesse e uniche per ogni servizio che tratta dati degli utenti.
  8. L'uso di Google Analytics e configurato in modo conforme: con GA4 attiva la Consent Mode v2, accetta il DPA di Google e configura il consenso cookie correttamente prima di attivare qualsiasi tracciamento degli utenti.
  9. L'informativa viene aggiornata ad ogni cambio di trattamento: ogni volta che introduci un nuovo strumento che tratta dati degli utenti, aggiorna l'informativa prima di attivarlo sul sito per mantenere la conformita.

FAQ sul GDPR per Siti Web PMI

Q: Il GDPR si applica anche al mio piccolo sito web aziendale?
A: Si, il GDPR si applica a qualsiasi organizzazione che tratta dati personali di residenti nell'Unione Europea, indipendentemente dalle dimensioni. Anche un sito con un semplice form di contatto tratta dati personali (nome, email, IP) e deve essere conforme alle norme vigenti.

Q: Cosa rischio se il mio sito non e conforme al GDPR?
A: Le sanzioni vanno da ammonizioni formali fino al 4% del fatturato globale annuo o 20 milioni di euro. Il Garante Privacy italiano ha emesso sanzioni anche a piccole imprese, con importi che partono da alcune migliaia di euro per violazioni minori. Oltre alle sanzioni economiche, rischi danni reputazionali significativi.

Q: Google Analytics e illegale in Italia?
A: Il Garante italiano ha dichiarato l'uso di Universal Analytics non conforme al GDPR. Con GA4 configurato correttamente (Consent Mode v2, DPA accettato, IP anonimizzato) e possibile usarlo. Alcuni Garanti europei continuano pero a considerare problematico qualsiasi trasferimento a Google LLC negli USA: valuta il rischio per il tuo settore specifico.

Q: Ho bisogno di un DPO per il mio sito?
A: Il DPO e obbligatorio per enti pubblici, chi effettua monitoraggio sistematico su larga scala e chi tratta dati sensibili su larga scala. La maggior parte delle PMI con sito aziendale standard non e obbligata a nominare un DPO, ma puo scegliere di farlo volontariamente per avere supporto qualificato sulla compliance privacy.

Q: Ogni quanto aggiorno la privacy policy?
A: Aggiorna l'informativa ogni volta che cambia qualcosa nel trattamento dei dati: nuovo strumento, cambio di hosting, nuove finalita o periodi di conservazione modificati. Indipendentemente dai cambiamenti, fai una revisione annuale per verificare l'allineamento con le ultime linee guida del Garante Privacy italiano.

Redazione Smartegia

La redazione di Smartegia: professionisti di SEO e digital marketing che pubblicano guide pratiche, aggiornate e testate sul campo per aiutare le PMI italiane a crescere online.

Vedi profilo

Potrebbe interessarti

Commenti (0)

Lascia un commento
oppure accedi per commentare

Newsletter Smartegia

Ricevi ogni settimana le migliori strategie di digital marketing. Gratis, senza spam.