Seguici

GDPR e Sito Web: Cosa Deve Fare una PMI per Essere in Regola

GDPR compliance sito web PMI adempimenti obbligatori
01 Mar 2026 Sicurezza Ivan Saliani

Il GDPR è in vigore dal 2018, ma la maggior parte dei siti web delle PMI italiane non è ancora pienamente conforme. Non si tratta di formalità burocratiche: le sanzioni sono reali, proporzionate al fatturato, e il Garante Privacy italiano ha intensificato i controlli negli ultimi anni. Questo articolo elenca gli adempimenti concreti che ogni sito aziendale deve rispettare.

Sicurezza dati e GDPR per PMI

Il punto di partenza è semplice: se il tuo sito web raccoglie dati personali (e quasi certamente lo fa, anche solo con un form di contatto o Google Analytics), devi rispettare una serie di obblighi. Non farlo espone l'azienda a sanzioni fino al 4% del fatturato annuo.

Privacy policy e cookie policy

Ogni sito deve avere una privacy policy completa, facilmente accessibile da ogni pagina. Deve indicare chi è il titolare del trattamento, quali dati vengono raccolti, per quali finalità, con quale base giuridica, per quanto tempo vengono conservati e quali sono i diritti dell'utente.

La cookie policy deve elencare tutti i cookie utilizzati dal sito, suddivisi per categoria (tecnici, analitici, di profilazione), con indicazione della durata e del fornitore. Non basta un testo generico: deve riflettere i cookie effettivamente installati dal sito.

Attenzione: copiare la privacy policy da un altro sito è un errore grave. Ogni policy deve essere specifica per il sito e aggiornata ogni volta che cambiano i servizi utilizzati (nuovo strumento di analytics, nuovo plugin, nuovo form).

Cookie banner e Consent Mode

Il cookie banner non è una formalità: deve bloccare tutti i cookie non tecnici fino al consenso esplicito dell'utente. Questo significa che Google Analytics, i pixel di Facebook, i video YouTube embedded e qualsiasi altro servizio di terze parti non devono attivarsi prima che l'utente abbia cliccato "Accetta".

Dal 2024, Google richiede l'implementazione di Google Consent Mode v2 per tutti i siti che utilizzano Google Analytics o Google Ads nell'UE. Senza Consent Mode configurato correttamente, i dati raccolti non sono utilizzabili per le campagne pubblicitarie e il sito rischia la non conformità.

Le soluzioni più affidabili per la gestione del consenso sono piattaforme come Iubenda, Cookiebot o CookieYes, che si aggiornano automaticamente alle normative vigenti e gestiscono il blocco preventivo dei cookie.

Google Analytics 4 e anonimizzazione

Dopo la controversia sul trasferimento dati verso gli USA che ha coinvolto Universal Analytics, Google Analytics 4 ha introdotto opzioni di anonimizzazione e server-side processing nell'UE. Tuttavia, la semplice installazione di GA4 non garantisce la conformità.

È necessario configurare l'anonimizzazione degli indirizzi IP (attiva di default in GA4, ma da verificare), disabilitare la raccolta di segnali Google se non strettamente necessaria, e assicurarsi che il consenso venga raccolto prima dell'invio dei dati.

Per le PMI che vogliono un'alternativa completamente conforme, esistono soluzioni come Matomo o Plausible, che possono essere ospitate su server europei e non trasferiscono dati a terze parti.

Form di contatto e gestione del consenso

Ogni form di contatto deve includere un checkbox non pre-selezionato per il consenso al trattamento dei dati, con link alla privacy policy. Il consenso deve essere specifico: se i dati vengono usati anche per newsletter o marketing, serve un consenso separato.

I dati raccolti tramite form devono essere conservati per il tempo strettamente necessario alla finalità dichiarata. Un form di contatto non giustifica la conservazione dei dati per anni. Definire e rispettare una data retention policy è un obbligo del titolare.

Inoltre, l'utente deve poter esercitare i propri diritti (accesso, rettifica, cancellazione) in modo semplice. Avere una procedura interna chiara per gestire queste richieste è fondamentale.

Checklist pratica per la conformità

Questa è una checklist degli adempimenti prioritari per il sito web della tua PMI:

  • Privacy policy specifica, completa e aggiornata, accessibile da ogni pagina
  • Cookie policy con elenco dettagliato dei cookie effettivamente utilizzati
  • Cookie banner con blocco preventivo dei cookie non tecnici
  • Consent Mode v2 configurato per Google Analytics e Google Ads
  • Form di contatto con checkbox di consenso non pre-selezionato
  • Data retention policy definita e documentata
  • Procedura per gestire le richieste di accesso, rettifica e cancellazione
  • Registro dei trattamenti aggiornato (obbligatorio per aziende con più di 250 dipendenti, consigliato per tutte)

Le sanzioni del Garante non colpiscono solo le grandi aziende: nel 2025 sono state emesse multe significative anche a PMI e professionisti per mancanza di cookie banner o privacy policy inadeguate. Il costo della conformità è irrisorio rispetto al rischio.

Il tuo sito è conforme al GDPR?

Verifichiamo gratuitamente la conformità del tuo sito

Richiedi un Check-up →
Contattaci

Iniziamo a Costruire Insieme la Tua Prossima Storia di Successo!

Recensione cliente Sviluppando sul WebRecensione cliente Sviluppando sul WebRecensione cliente Sviluppando sul Web
Oltre 100 Progetti Realizzati.
Contattaci