Da qui si comincia: chiarezza, trasparenza, rispetto delle regole
Ogni presenza online — un sito vetrina, un portfolio, una newsletter — comporta il trattamento di dati personali. Ogni volta che raccogli un'email, un nome, un indirizzo IP o attivi un tracciamento, sei tenuto a informare l'utente in modo chiaro, completo e conforme al GDPR.
La privacy policy e la cookie policy sono gli strumenti che hai per garantire trasparenza e rispetto dei diritti. Per questo serve farli nel modo corretto.
Una policy generica o copiata non tutela: descrivere i trattamenti reali è un obbligo normativo e il primo segnale di affidabilità verso l'utente.
Se stai pubblicando un nuovo sito o hai policy vecchie, incomplete o copiate, è il momento di partire con il piede giusto.
Come posso aiutarti
Privacy Policy
Informativa personalizzata per il tuo sito
Cookie Policy e Banner
Consenso conforme alle linee guida del Garante
Revisione Tecnica
Coerenza tra documenti e trattamenti effettivi
Nomine e DPA
Contratti con i responsabili del trattamento
Perché evitare testi generici o automatici
Un modello copiato non ti protegge — ti espone
I testi standard o generati automaticamente spesso non riflettono le reali attività svolte. Il Garante valuta se quanto scritto corrisponde ai trattamenti effettivi: in caso di incongruenze possono scattare richieste di chiarimento, blocchi o sanzioni.
Quello che si chiede di solito
🍪 Ho già un banner cookie — è sufficiente per essere a norma?
Un banner cookie è necessario, ma da solo non è sufficiente. Il Garante richiede che il consenso sia espresso in modo libero, specifico e revocabile — l'utente deve poter accettare o rifiutare categorie singole, e i cookie non tecnici devono essere bloccati preventivamente prima del consenso.
Molti banner in circolazione non rispettano questi requisiti — presentano solo il tasto "Accetta tutto", non mostrano opzioni di rifiuto equivalenti, oppure attivano cookie di terze parti prima che l'utente abbia scelto. Tutte situazioni che il Garante ha sanzionato esplicitamente nelle Linee Guida del 2021 e nei successivi provvedimenti.
Il banner deve essere accompagnato da una cookie policy aggiornata, coerente con i cookie effettivamente installati. Un banner tecnicamente corretto con una policy obsoleta o incompleta è comunque una non conformità.
📝 Posso usare una privacy policy copiata da un altro sito?
Tecnicamente nulla lo impedisce, ma il rischio è alto. Il GDPR richiede che l'informativa descriva i trattamenti effettivamente svolti — finalità, basi giuridiche, destinatari, tempi di conservazione e strumenti utilizzati. Una policy di un altro sito descrive quasi certamente una realtà diversa dalla tua.
Il Garante, in sede di verifica, non si limita a leggere il documento — valuta se quanto scritto corrisponde ai trattamenti reali. Una policy che dichiara di non usare cookie di profilazione su un sito che li usa, o che non menziona la piattaforma di newsletter attiva, è una non conformità sostanziale.
La policy copiata può anche essere formalmente ben scritta, ma resta uno schermo che non regge a un controllo. Un documento utile descrive la tua realtà, non quella di qualcun altro.
⚖️ Quali sanzioni rischio con una policy non conforme?
Il GDPR prevede sanzioni amministrative fino a 20 milioni di euro o al 4% del fatturato annuo mondiale per le violazioni più gravi. Per le situazioni più diffuse — policy incomplete, banner non conformi, mancata nomina dei responsabili — le sanzioni sono generalmente più contenute, ma comunque significative.
Nei confronti di piccole realtà, il Garante tende a intervenire con ordini di adeguamento e diffide formali prima di irrogare sanzioni pecuniarie. Tuttavia, reiterare l'inadempienza o ignorare le richieste del Garante espone a conseguenze concrete anche per strutture di dimensioni ridotte.
Il danno reputazionale è spesso più immediato di quello economico — un provvedimento del Garante è pubblico, e clienti e partner lo verificano. Partire con la documentazione corretta è più economico e sostenibile che dover correggere in emergenza.
🔍 Come capisco se il mio sito è davvero a norma?
La verifica parte dall'analisi tecnica del sito — quali cookie vengono installati, da chi, con quale finalità, e se vengono bloccati prima del consenso. Questo richiede un'analisi degli script attivi, dei plugin installati e dei servizi di terze parti collegati — analytics, pixel, piattaforme di marketing.
Il passo successivo è la verifica della coerenza documentale — l'informativa privacy e la cookie policy devono rispecchiare fedelmente quanto rilevato tecnicamente. Se il sito usa Google Analytics e la policy non lo menziona, c'è una non conformità. Se si dichiara il consenso come base giuridica per un trattamento che non lo richiede, c'è un errore strutturale.
Una revisione completa include anche i form di contatto e di iscrizione — devono avere l'informativa breve, il riferimento alla policy completa e il flag per il consenso dove necessario. È un lavoro puntuale, ma una volta fatto correttamente regge nel tempo.
🔄 Con quale frequenza vanno aggiornate le policy?
Le policy vanno aggiornate ogni volta che cambiano i trattamenti — installi un nuovo plugin, aggiungi un servizio di newsletter, cambi piattaforma di analytics, attivi un pixel pubblicitario. Ogni modifica tecnica che impatta la raccolta o il trattamento di dati richiede un aggiornamento del documento.
Non esiste un obbligo di aggiornamento periodico a scadenza fissa, ma il principio di accountability prevede che i documenti siano sempre coerenti con la realtà operativa. Un'informativa rimasta invariata per tre anni in un sito che ha subito molte modifiche tecniche è quasi certamente non aggiornata.
La soluzione non è riscrivere la policy ogni mese — è costruire documenti strutturati in modo da essere facilmente aggiornabili per sezioni specifiche, senza dover rielaborare l'intero documento ogni volta.
📝
Sistemiamo il tuo sito
Ti aiuto a impostare policy, banner e consensi in modo corretto, leggibile e coerente con la tua attività.
Contattami