MarckDev
Tutti gli articoli

17 marzo 2025 · 4 min di lettura

Privacy e cookie policy per siti italiani: cosa serve nel 2025

Privacy e cookie policy per siti italiani: cosa serve nel 2025

Hai un sito, raccogli contatti da un modulo, usi qualche strumento di statistica, e da qualche parte in fondo alla pagina c'è una privacy policy copiata anni fa da un altro sito. La conformità privacy di un sito italiano nel 2025 richiede qualcosa di più, e le sanzioni del GDPR non riguardano solo le multinazionali: le autorità intervengono anche su piccole realtà, spesso a seguito di un reclamo. Vediamo cosa deve esserci sul tuo sito, senza trasformare l'articolo in un parere legale: per i casi complessi serve un professionista, ma la base la puoi verificare da subito.

La privacy policy: cosa deve dire (del tuo sito, non di un altro)

La privacy policy è l'informativa che spiega agli utenti quali dati raccogli e cosa ne fai. Per essere conforme al GDPR deve descrivere la realtà del tuo sito, non una realtà generica. I contenuti essenziali:

  • Titolare del trattamento: chi sei, con dati identificativi e un contatto funzionante.
  • Quali dati e perché: ogni categoria di dati (dati dei moduli, email per la newsletter, dati di navigazione, dati degli ordini) con la sua finalità e la sua base giuridica.
  • Dove vanno i dati: i servizi terzi che li trattano per te (hosting, email marketing, statistiche, pagamenti) e gli eventuali trasferimenti fuori dall'Unione Europea.
  • Per quanto tempo li conservi e quali diritti hanno gli utenti: accesso, rettifica, cancellazione, opposizione, e come esercitarli.

L'errore più diffuso che incontriamo: la policy elenca servizi che il sito non usa più e ignora quelli aggiunti dopo. L'informativa va aggiornata quando cambia il sito, come qualsiasi altra pagina.

Il cookie banner: il consenso deve essere una scelta vera

Sui cookie la regola di fondo è chiara: i cookie tecnici, necessari al funzionamento, non richiedono consenso; tutti gli altri (statistiche non anonimizzate, marketing, profilazione) possono essere installati solo dopo un consenso libero ed esplicito. Le linee guida del Garante italiano hanno fissato paletti precisi, e i requisiti pratici per un banner conforme sono questi:

  • Rifiutare dev'essere facile quanto accettare: un pulsante per rifiutare o chiudere senza consentire, con la stessa evidenza del pulsante di accettazione.
  • Prima del consenso, nessun cookie non tecnico: il banner che compare mentre gli script di marketing sono già partiti è una violazione, non un dettaglio.
  • Scelte granulari: l'utente deve poter consentire per categoria (statistiche, marketing) e poter cambiare idea in seguito, con un link sempre raggiungibile.
  • Il consenso va registrato: in caso di contestazione devi poter dimostrare chi ha consentito, quando e a cosa.

Scorciatoie come i banner con il solo tasto OK, o il consenso presunto dallo scorrimento della pagina, appartengono al passato e oggi sono contestabili.

Gli strumenti: piattaforme di consenso e configurazione

Gestire tutto questo a mano è irrealistico, e infatti esistono le piattaforme di gestione del consenso (CMP): servizi che generano il banner, bloccano gli script prima del consenso, registrano le scelte e tengono aggiornata la cookie policy. Le soluzioni più diffuse si integrano con WordPress, PrestaShop e siti custom.

L'installazione però non basta: la parte delicata è la configurazione. La CMP deve conoscere tutti gli script presenti sul sito e bloccare in modo effettivo quelli soggetti a consenso, e chi usa strumenti pubblicitari deve configurare correttamente la trasmissione dello stato del consenso alle piattaforme. Nei progetti che seguiamo, il collaudo si fa da una sessione pulita del browser: si apre il sito, si rifiuta tutto e si verifica dagli strumenti per sviluppatori che nessun cookie di marketing sia stato piazzato.

Oltre i cookie: moduli, newsletter ed eCommerce

La conformità non finisce col banner. I punti che più spesso troviamo scoperti:

  • Moduli di contatto: sotto ogni modulo serve il link all'informativa; la checkbox di consenso serve solo per finalità ulteriori (come la newsletter), non per rispondere alla richiesta.
  • Newsletter: l'iscrizione va provata, e la prassi del doppio opt-in (conferma via email) resta la strada più solida; la disiscrizione deve funzionare con un clic.
  • eCommerce: i dati degli ordini hanno basi giuridiche e tempi di conservazione propri, legati anche agli obblighi fiscali; il marketing verso i clienti ha regole sue.
  • Chi tratta i dati per te: con i fornitori che toccano dati personali (hosting, CRM, email) servono accordi di trattamento, che i servizi seri mettono a disposizione.

Metti in regola il sito insieme a chi lo sviluppa

La conformità privacy funziona quando è integrata nel sito: script caricati nel modo giusto, moduli fatti bene, CMP configurata e collaudata. Quando realizziamo siti web ed eCommerce impostiamo banner, informative e gestione dei consensi come parte del progetto, coordinandoci col tuo consulente legale dove serve. Prenota una call gratuita: verifichiamo com'è messo il tuo sito e ti indichiamo cosa sistemare per primo.

Articoli correlati