GDPR, cookie e privacy: mettere in regola il sito senza panico
Privacy policy, cookie policy, banner e consenso: una guida pratica per capire cosa serve davvero al sito della tua attività, senza tecnicismi inutili.
Quando si parla di GDPR e privacy molti titolari di piccole attività si spaventano, immaginando procedure complesse e rischi enormi. La realtà è più gestibile di quanto sembri: per un sito di una PMI o di un'attività locale, mettersi in regola significa soprattutto avere pochi documenti fatti bene e alcune impostazioni corrette, non una consulenza legale infinita. Questo articolo ti dà un quadro pratico, ma per il tuo caso specifico è sempre bene verificare con un consulente privacy o un legale, soprattutto se tratti dati particolari (sanitari, minori, categorie sensibili).
I tre elementi base che ogni sito dovrebbe avere
Privacy policy
È il documento che spiega chi tratta i dati dei visitatori, per quali finalità, con quale base giuridica, per quanto tempo vengono conservati e quali diritti ha l'utente (accesso, cancellazione, rettifica e altri). Deve essere raggiungibile da ogni pagina del sito, di solito con un link nel footer, e deve essere scritta in modo comprensibile, non solo copiata da un template generico che magari cita servizi che il tuo sito non usa nemmeno.
Cookie policy e banner cookie
Se il sito usa cookie di profilazione, statistica o marketing (Google Analytics, pixel di Facebook, strumenti di remarketing), serve una cookie policy dedicata e un banner che permetta all'utente di scegliere. Il punto su cui il Garante Privacy insiste è la parità di scelta: il pulsante «Accetta» e il pulsante «Rifiuta» devono avere lo stesso peso grafico. Un banner con «Accetta tutti» ben visibile e «Rifiuta» nascosto in un link piccolo o grigio non è conforme.
Il consenso deve inoltre essere granulare (l'utente può scegliere cosa accettare tra necessari, statistici e marketing, non solo un sì o no complessivo) e nessun cookie non necessario dovrebbe caricarsi prima che l'utente scelga. Il consenso, quando registrato, ha tipicamente una validità di circa 12 mesi, dopo i quali va richiesto di nuovo.
Form con consenso esplicito
Ogni form di contatto o iscrizione a newsletter deve avere una casella di consenso esplicita (non pre-selezionata) con link alla privacy policy, separata da eventuali altre caselle come l'iscrizione a comunicazioni commerciali. Confondere consenso al trattamento dati necessario per rispondere e consenso a ricevere newsletter è un errore frequente che vale la pena correggere.
Il registro dei trattamenti: non solo per le grandi aziende
Molti pensano che il registro dei trattamenti (il documento che elenca quali dati tratti, per quali scopi, dove sono conservati e chi vi accede) sia obbligatorio solo per aziende grandi o strutturate. Nella pratica è diventato un'abitudine consigliata anche per attività più piccole, perché aiuta a tenere ordine e a rispondere rapidamente se un cliente chiede informazioni sui propri dati. Non serve un documento complesso: basta una tabella che tenga traccia dei trattamenti principali (sito, newsletter, gestionale clienti, eventuali fornitori terzi).
Attenzione ai fornitori terzi
Se il tuo sito si appoggia a servizi esterni (hosting, invio email, statistiche, chat), questi fornitori trattano i dati dei tuoi visitatori per tuo conto. Serve quindi un accordo di trattamento dati (DPA, data processing agreement) con ciascuno di loro. I principali fornitori come Netlify offrono già questi accordi, ma è comunque bene verificarlo caso per caso, specialmente se il fornitore trasferisce dati fuori dall'Unione Europea (ad esempio verso gli Stati Uniti): in questi casi serve una base giuridica adeguata, come le clausole contrattuali standard o l'adesione al Data Privacy Framework da parte del fornitore.
Errori comuni da evitare
- Banner cookie con «Accetta» evidente e «Rifiuta» nascosto
- Privacy policy generica, copiata da altri siti, che cita servizi non utilizzati
- Caricamento di Google Analytics o pixel pubblicitari prima del consenso dell'utente
- Form di contatto senza casella di consenso
- Pagine legali mancanti nelle versioni in altre lingue del sito, se il sito è multilingua
- Dati fittizi nei contenuti del sito (numeri di telefono finti, indirizzi placeholder) lasciati per errore dopo il lancio
Questi errori non sono rari: capita spesso di trovarli anche su siti online da anni, semplicemente perché nessuno li ha mai controllati dopo la pubblicazione iniziale. Vale la pena fare un controllo periodico, non solo al momento del lancio.
Cosa fa unclick su questo fronte
Quando realizziamo un sito con unclick, privacy policy, cookie policy e cookie banner con parità di scelta sono già inclusi fin dal primo giorno, non aggiunti in un secondo momento. Questo non sostituisce una consulenza legale personalizzata per situazioni specifiche, ma significa che parti da una base corretta invece che da un vuoto da colmare in fretta più avanti. Se hai già un sito e vuoi capire a che punto sei sulla conformità, è uno dei controlli che facciamo quando parliamo di un eventuale restyling.
Se non sei sicuro che il tuo sito attuale sia in regola, o stai per lanciarne uno nuovo e vuoi partire con le basi giuste, prenota una call gratuita di 15 minuti: diamo un'occhiata insieme e ti diciamo con chiarezza cosa manca, senza tecnicismi e senza allarmismi.