Il GDPR è in vigore dal 2018. Nel 2026, molti siti web italiani non sono ancora conformi — e i titolari non lo sanno.
Non perché siano negligenti, ma perché la conformità GDPR per un sito web non si esaurisce nel banner cookie. Ci sono obblighi tecnici precisi che riguardano come i dati vengono raccolti, conservati e protetti — obblighi che la maggior parte delle agenzie web non implementa correttamente perché non è il loro core business.
Questa guida spiega cosa deve avere concretamente un sito web per essere conforme al GDPR nel 2026, quali sono le sanzioni reali che il Garante ha già comminato, e come verificare la situazione del tuo sito oggi.
Cosa si intende per GDPR sul sito web
Il GDPR — General Data Protection Regulation, Regolamento UE 2016/679 — si applica a qualsiasi sito web che raccoglie dati personali di utenti europei. Un sito web raccoglie dati personali quasi sempre: quando un visitatore compila un form di contatto, quando accetta i cookie analitici, quando si iscrive a una newsletter, quando acquista un prodotto.
Il titolare del trattamento — cioè l'azienda o il professionista proprietario del sito — è responsabile di garantire che questi dati vengano raccolti, conservati e trattati in modo conforme al GDPR. Questa responsabilità non si trasferisce all'agenzia web che ha realizzato il sito, anche se è stata lei a configurare i moduli e i cookie. In caso di violazione, le sanzioni ricadono sul titolare.
La conformità GDPR per un sito web ha tre livelli che devono essere tutti presenti:
Il livello informativo — privacy policy e cookie policy aggiornate, informative specifiche per ogni trattamento. Il livello consensuale — raccolta del consenso nelle forme corrette per ogni tipo di trattamento. Il livello tecnico — misure di sicurezza adeguate per proteggere i dati raccolti.
La maggior parte dei siti web italiani ha il primo livello parzialmente presente, il secondo spesso mal implementato, e il terzo quasi mai affrontato correttamente.
Cookie banner: cosa deve fare davvero
Il cookie banner è l'elemento più visibile della conformità GDPR — ed è anche quello più spesso implementato in modo scorretto.
Cosa NON è sufficiente
Un banner che dice "Questo sito usa cookie. Continuando la navigazione accetti l'uso dei cookie" non è conforme. Lo scroll della pagina non è consenso. La prosecuzione della navigazione non è consenso. Un bottone "Accetta" senza un bottone "Rifiuta" equivalente non è consenso libero.
Queste implementazioni erano già non conformi nel 2018 — il Garante italiano le ha esplicitamente sanzionate in più occasioni.
Cosa richiede il GDPR concretamente
Il cookie banner deve permettere all'utente di esprimere un consenso granulare per categoria di cookie: tecnici necessari (non richiedono consenso), analitici, di profilazione/marketing. Il rifiuto deve essere accessibile con la stessa facilità dell'accettazione — stesso numero di click. L'utente deve poter modificare le sue preferenze in qualsiasi momento dalla stessa interfaccia. Il consenso deve essere registrato e documentabile — data, versione della policy, scelte effettuate.
Le linee guida del Garante del 2021 e le successive pronunce hanno chiarito che il "cookie wall" — bloccare l'accesso al sito a chi non accetta i cookie — è lecito solo in presenza di un'alternativa di accesso a pagamento o equivalente.
I cookie di terze parti che molti dimenticano
Google Analytics, Meta Pixel, Microsoft Clarity, LinkedIn Insight Tag — tutti questi strumenti installano cookie di terze parti che richiedono il consenso esplicito dell'utente prima di essere caricati. Il banner deve bloccare questi script fino all'ottenimento del consenso, non limitarsi a informare della loro presenza.
Un sito con Google Analytics attivo prima che l'utente accetti i cookie analitici non è conforme — indipendentemente dalla qualità della privacy policy.
Privacy policy: cosa deve contenere
La privacy policy non è un documento standard scaricato da internet e inserito nel footer. Deve descrivere specificatamente i trattamenti effettuati da quel sito, con le informazioni richieste dall'art. 13 GDPR.
Gli elementi obbligatori
L'identità e i contatti del titolare del trattamento — non solo la ragione sociale ma anche i dati di contatto specifici per le richieste privacy. La finalità e la base giuridica di ogni trattamento — perché vengono raccolti i dati e qual è la base legale (consenso, contratto, legittimo interesse). I destinatari dei dati — chi riceve i dati oltre al titolare: l'agenzia web, i provider di email marketing, Google, Meta. I tempi di conservazione — per quanto tempo vengono conservati i dati di ogni categoria. I diritti dell'interessato — accesso, rettifica, cancellazione, portabilità, opposizione — e come esercitarli concretamente. Il diritto di reclamo al Garante.
Gli aggiornamenti che molti dimenticano
La privacy policy deve essere aggiornata ogni volta che cambia un trattamento — quando si aggiunge un nuovo strumento di analytics, quando si inizia una newsletter, quando si integra un CRM. Una privacy policy che descrive trattamenti non più effettuati o non descrive trattamenti attivi è non conforme.
Moduli di contatto e raccolta dati
Ogni modulo del sito che raccoglie dati personali è un punto di trattamento che richiede una gestione specifica.
Il form di contatto
Il form di contatto deve includere un link all'informativa privacy specifica per quel trattamento — non solo un link generico alla privacy policy. Se raccoglie dati particolari — descrizioni di problemi legali, sanitari, finanziari — richiede un consenso esplicito separato per quella categoria di dati. I dati inviati attraverso il form devono essere conservati in modo sicuro nel database, non in chiaro.
Il form di newsletter
L'iscrizione alla newsletter richiede un consenso esplicito e documentato. Il double opt-in — conferma via email — non è obbligatorio per legge ma è fortemente raccomandato perché fornisce una prova del consenso. La casella di consenso non può essere pre-selezionata. Il consenso alla newsletter non può essere condizionato all'accesso a un servizio.
Il form di e-commerce
Il checkout raccoglie dati di fatturazione, spedizione e pagamento. Richiede informative specifiche per ogni trattamento, consenso separato per eventuali comunicazioni commerciali, e misure tecniche adeguate per la protezione dei dati di pagamento.
Gli obblighi tecnici che nessuno ti dice
Questa è la parte che la maggior parte delle agenzie web non implementa — e che il Garante considera nelle sue istruttorie.
La crittografia dei dati a riposo
L'art. 32 GDPR richiede misure tecniche adeguate per proteggere i dati personali. Per i dati raccolti attraverso i moduli web, la misura tecnica principale è la crittografia a riposo: i dati devono essere cifrati anche quando sono salvati nel database, non solo durante la trasmissione HTTPS.
La maggior parte dei siti WordPress salva i dati dei form di contatto in chiaro nel database. Chiunque abbia accesso al database — un developer esterno, un backup non protetto, un attaccante che ha compromesso il server — può leggere tutti i messaggi ricevuti dai clienti. Questo è già una non conformità all'art. 32 GDPR.
Il controllo degli accessi
Chi ha accesso ai dati personali raccolti dal sito? L'agenzia web che gestisce il server ha accesso al database con i dati dei form? I developer che lavorano sul sito hanno accesso ai dati di produzione? Il GDPR richiede che l'accesso ai dati personali sia limitato alle persone che ne hanno effettiva necessità — principio di minimizzazione dell'accesso.
I log e la tracciabilità
In caso di data breach, il titolare deve essere in grado di ricostruire cosa è successo, quando, e quali dati sono stati esposti. Questo richiede log degli accessi al sistema e ai dati. Un sito senza logging adeguato non può dimostrare la conformità in caso di incidente.
Il Data Processor Agreement
Ogni soggetto che tratta dati per conto del titolare — il provider di hosting, l'agenzia web, il provider di email marketing — deve aver firmato un DPA (Data Processing Agreement). Senza questo accordo, il trasferimento dei dati a questi soggetti non è conforme al GDPR.
La DPIA per trattamenti ad alto rischio
Per alcuni tipi di trattamento — dati sanitari, dati giudiziari, profilazione su larga scala — il GDPR richiede una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) prima di iniziare il trattamento. La DPIA deve documentare i rischi del trattamento e le misure adottate per mitigarli. Un sito di uno studio legale o di una clinica privata che raccoglie descrizioni di problemi legali o sanitari attraverso i form rientra in questa categoria.
Le sanzioni reali del Garante
Le sanzioni GDPR non sono teoriche. Il Garante italiano ha comminato sanzioni concrete a aziende di tutte le dimensioni — non solo alle grandi corporation.
Le sanzioni più frequenti riguardano cookie banner non conformi — il Garante ha sanzionato decine di siti italiani per banner che non permettevano il rifiuto con la stessa facilità dell'accettazione. Importi tipici per PMI: da 5.000 a 50.000 euro.
Le sanzioni per data breach non notificato sono più severe — il GDPR richiede la notifica al Garante entro 72 ore dalla scoperta di una violazione che comporta rischio per i diritti degli interessati. La mancata notifica può raddoppiare la sanzione.
Le sanzioni massime previste dal GDPR sono fino a 20 milioni di euro o il 4% del fatturato annuo globale — il maggiore dei due. Per le PMI italiane, la sanzione concreta è proporzionata ma può comunque essere significativa rispetto al fatturato.
Il Garante può anche ordinare la sospensione del trattamento — in pratica, il blocco del sito fino alla risoluzione delle non conformità. Questo è il rischio operativo più immediato, indipendentemente dall'importo della sanzione.
Come verificare il tuo sito oggi
Questi sono i controlli che puoi fare autonomamente in 30 minuti per avere una prima valutazione della situazione.
Controllo cookie banner
Apri il sito in modalità incognito. Il banner appare prima che vengano caricati script di terze parti? C'è un bottone "Rifiuta" visibile senza dover aprire impostazioni avanzate? I cookie analitici vengono caricati solo dopo il consenso? Verifica con gli strumenti di sviluppo del browser — tab Network — se Google Analytics o altri script vengono caricati prima del consenso.
Controllo privacy policy
La privacy policy elenca specificamente tutti gli strumenti di analytics usati sul sito? Indica i tempi di conservazione per ogni categoria di dati? Specifica come esercitare i diritti? È stata aggiornata negli ultimi 12 mesi?
Controllo tecnico base
Il sito usa HTTPS su tutte le pagine? I form inviano i dati via HTTPS? Esiste un DPA firmato con il provider di hosting? L'agenzia web ha accesso al database di produzione? Se sì, è stato firmato un DPA?
I limiti dell'autodiagnosi
Questi controlli identificano le non conformità più evidenti. Le non conformità tecniche — crittografia dei dati nel database, gestione dei log, adeguatezza delle misure di sicurezza ex art. 32 — richiedono una verifica tecnica specifica che va oltre quello che si può fare manualmente. Per i siti di studi legali e professionisti che trattano dati sensibili, i requisiti tecnici specifici sono approfonditi qui.
GDPR e NIS2: cosa cambia nel 2026
Dal 2024 è entrata in vigore la direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024. Per alcune categorie di organizzazioni — tra cui strutture sanitarie, aziende di medie dimensioni in settori critici, fornitori di servizi digitali — la NIS2 aggiunge obblighi di cybersecurity che si sovrappongono e rafforzano quelli GDPR.
La differenza pratica più rilevante per i siti web è la tempistica di notifica degli incidenti: il GDPR richiede la notifica al Garante entro 72 ore, la NIS2 richiede una notifica preliminare all'ACN (Agenzia per la Cybersicurezza Nazionale) entro 24 ore. Per i soggetti che rientrano nel perimetro NIS2, questo richiede processi di incident response più strutturati e documentati.
Se la tua organizzazione rientra nel perimetro NIS2, la conformità del sito web deve essere valutata anche rispetto ai requisiti NIS2 — non solo GDPR. Le misure tecniche richieste dalla NIS2 sono generalmente più stringenti di quelle GDPR e richiedono documentazione più dettagliata.
Se vuoi capire concretamente se il tuo sito è conforme al GDPR e alle normative vigenti — cookie banner, privacy policy, misure tecniche, DPA — puoi richiedere un audit gratuito. Analizziamo la situazione attuale e ti diciamo esattamente cosa manca e come risolverlo.
