Checklist GDPR per il sito web — le parti che riguardano davvero il tuo sito | Scanthra

Scanthra · 7 min di lettura · Aggiornato Maggio 2026

A chi si applica il GDPR?

Il GDPR (Regolamento UE 2016/679) si applica ogni volta che tratti dati personali di persone fisicamente nell' UE/SEE, anche se la tua azienda è registrata altrove. Un negozio americano che vende a tedeschi, un freelance polacco con clienti francesi, una società di consulenza svizzera che raccoglie lead UE — tutti in scope.

"Dati personali" è più ampio di quanto la maggior parte delle persone pensi: nome, e-mail, indirizzo IP, identificatori di cookie, fingerprint del dispositivo. Quindi quasi ogni sito web li tratta.

1. Informativa sulla privacy (Art. 13)

Devi informare le persone su quali dati raccogli, perché, su quale base giuridica, per quanto tempo, e quali sono i loro diritti. Linguaggio semplice, su una pagina collegata da ogni altra pagina (il footer è il posto standard).

Sezioni minime da includere:

• Identità del titolare + dettagli di contatto.
• Finalità del trattamento e base giuridica (consenso / contratto / interesse legittimo / obbligo legale).
• Categorie di dati e destinatari (provider di analytics, mailer, hosting).
• Periodi di conservazione.
• Diritti degli interessati (accesso, rettifica, cancellazione, portabilità, opposizione) e come esercitarli.
• Se i dati escono dall'UE/SEE e quali salvaguardie si applicano (SCC, decisione di adeguatezza).
• Il diritto di presentare un reclamo all'autorità di controllo.

2. Banner cookie (ePrivacy + GDPR)

I cookie non essenziali (analytics, pubblicità, pixel di marketing) richiedono un consenso preventivo, informato e liberamente dato. L'ondata di enforcement 2024–2025 in tutta l'UE ha chiarito cosa significa in pratica:

• "Rifiuta tutto" deve essere facile quanto "Accetta tutto" — stessa schermata, stessa prominenza. Niente dark pattern.
• Nessun tracciamento prima che l'utente scelga. Non attivare Google Analytics al caricamento della pagina.
• I cookie essenziali (sessione, CSRF, preferenza lingua) vanno bene senza consenso — ma sii onesto su quali sono davvero essenziali.
• Chiedi nuovamente dopo 6–12 mesi; il consenso non dura per sempre.

La maggior parte delle piattaforme di gestione del consenso (Cookiebot, Iubenda, alternative gratuite come Klaro) lo fanno correttamente di default. Il problema più comune negli audit è che le persone attivano GTM prima che il banner restituisca "accetta".

3. Canale per le richieste degli interessati

Un utente deve poter richiedere l'accesso, la correzione o la cancellazione dei propri dati. Hai 30 giorni per rispondere (Art. 12(3)). Per la maggior parte dei piccoli siti web è sufficiente un semplice modulo o un indirizzo e-mail — l'importante è che il canale esista, sia facile da trovare e sia monitorato.

Scanthra ha il proprio modulo di richiesta di cancellazione dati come esempio pubblico.

4. HTTPS ovunque (Art. 32)

L'articolo 32 richiede "misure tecniche adeguate" per proteggere i dati personali. Un modulo di login, un modulo di contatto o un checkout trasmesso via HTTP è il fallimento di "misure adeguate" più facile da dimostrare. Il TLS (crittografia) moderno è gratuito (Let's Encrypt) e si configura con un comando nella maggior parte dei setup. Consulta la nostra guida TLS per i dettagli.

5. Piano di segnalazione delle violazioni (Art. 33–34)

Se una violazione rischia di comportare un rischio per i diritti e le libertà delle persone, devi notificare l'autorità di controllo entro 72 ore dall'acquisizione della consapevolezza. Se il rischio è elevato, devi anche notificare le persone interessate "senza indebito ritardo".

I prerequisiti a livello di sito web:

• Una pagina o un link nel footer che spieghi come gli utenti possono segnalare un problema di sicurezza (vedi la nostra guida security.txt).
• Un runbook interno che indichi "che tipo di incidente innesca una notifica a 72 ore" — così non sprechi le prime 24 ore a discuterne.
• Un rapporto con il portale della tua autorità di controllo (es. CNIL, BfDI, UODO, Garante, AEPD) — registrati prima di averne bisogno.

6. Registro delle attività di trattamento (Art. 30)

Non visibile sul sito web, ma guidato dal sito. Devi tenere un registro scritto di ogni modo in cui tratti i dati personali: il modulo di contatto, la newsletter, il sistema di prenotazione, gli analytics, il pixel di remarketing, la chat di supporto. Ogni voce elenca la finalità, le categorie, i destinatari, la conservazione e le misure di sicurezza.

Un semplice foglio di calcolo va bene. L'importante è averlo — le sanzioni da €100.000 pubblicate da varie DPA negli ultimi due anni citano spesso "nessun registro Art. 30 fornito" come fattore aggravante.

7. Trasferimenti internazionali (Capo V)

Se il tuo analytics, mailer o CRM (sistema di gestione contenuti) è negli USA (Google Analytics, HubSpot, Mailchimp, Klaviyo), stai trasferendo dati personali fuori dall'UE. Dal 10 luglio 2023, l'EU–US Data Privacy Framework fornisce una decisione di adeguatezza per le aziende statunitensi partecipanti. Altrimenti, hai bisogno di Clausole Contrattuali Standard firmate con il fornitore e idealmente una valutazione d'impatto del trasferimento.

La maggior parte dei grandi fornitori SaaS ha un "Addendum per il Trattamento dei Dati GDPR" che puoi scaricare con un clic. Firmalo e conservane una copia.

L'audit a livello di sito web, in 30 minuti

1. Apri la tua informativa sulla privacy dal footer. Copre tutti e sette i punti dell'Art. 13?
2. Visita il tuo sito in una finestra in incognito. Il banner mostra "Rifiuta tutto" con uguale prominenza?
3. Apri il pannello di rete prima di cliccare sul banner. Ci sono già richieste analytics/marketing in corso? Non dovrebbe esserci.
4. Trova il canale per la richiesta di cancellazione. È a meno di due clic dalla homepage?
5. Visita il tuo sito via HTTP (es. http://tuosito.com) — reindirizza a HTTPS?
6. Apri /.well-known/security.txt. Esiste?

Come Scanthra aiuta

La Mappa di conformità di Scanthra nel report PDF etichetta ogni problema rilevato con l'articolo GDPR a cui si riferisce (più comunemente l'Art. 32). Le voci che toccano direttamente il GDPR — HTTPS mancante, intestazioni di sicurezza mancanti, credenziali esposte, security.txt mancante — sono segnalate con sia il loro impatto tecnico che l'aspetto di conformità.

Questo articolo è a scopo informativo generale e non costituisce consulenza legale. Per un'interpretazione vincolante del GDPR, consulta un avvocato qualificato o la tua autorità nazionale per la protezione dei dati.