Ogni sito web raccoglie dati. Un form di contatto, un cookie di analytics, un pixel di remarketing: sono tutti trattamenti di dati personali che il GDPR regola in modo preciso. Un sito non conforme espone il cliente a sanzioni e l’agenzia che lo ha sviluppato a responsabilità che molti contratti non escludono esplicitamente.
Nel 2026 la compliance al GDPR non è più un argomento per gli specialisti legali: è una competenza operativa che ogni agenzia che sviluppa siti web deve padroneggiare, almeno nei suoi aspetti pratici. Non serve diventare avvocati: serve sapere cosa implementare tecnicamente su ogni sito e come comunicarlo al cliente.
Cosa prevede il GDPR per i siti web
Il GDPR, Regolamento Generale sulla Protezione dei Dati, stabilisce che ogni trattamento di dati personali deve avere una base giuridica, deve essere comunicato all’utente in modo chiaro e deve rispettare i diritti degli interessati: il diritto di accesso, rettifica, cancellazione e portabilità dei propri dati.
Per un sito web questo si traduce in obblighi concreti. L’informativa sulla privacy deve descrivere quali dati vengono raccolti, per quale scopo, per quanto tempo vengono conservati e con chi vengono condivisi. Il banner cookie deve raccogliere il consenso prima che i cookie non tecnici vengano attivati, non dopo. I form devono includere il riferimento all’informativa e, dove necessario, una casella di consenso esplicito non preselezionata.
Questi non sono requisiti opzionali: sono obblighi di legge applicabili a qualsiasi sito che tratta dati di utenti europei, indipendentemente da dove si trova il server o l’azienda che lo gestisce.
Il cookie banner: l’elemento più visibile e più sbagliato
Il banner cookie è l’elemento di compliance più visibile di qualsiasi sito web ed è anche quello implementato in modo scorretto sulla maggior parte dei siti italiani. I problemi più comuni sono tre.
Il primo è il consenso pre-accordato: cookie non tecnici già attivi quando l’utente arriva sul sito, con il banner che chiede una conferma a posteriori invece di un consenso preventivo. Non è conforme: il consenso deve precedere il trattamento, non seguirlo.
Il secondo è l’assenza di un rifiuto facilmente accessibile: un pulsante “Accetta tutti” ben visibile e un link “Gestisci preferenze” nascosto o difficile da trovare. Il Garante italiano ha sanzionato questa pratica in modo ripetuto: le opzioni di accettazione e rifiuto devono essere equivalenti per visibilità e accessibilità.
Il terzo è la mancanza di granularità: un banner che offre solo “accetta tutto” o “rifiuta tutto” senza permettere di scegliere per categoria, analytics, marketing, funzionale, non rispetta i requisiti di consenso specifico previsti dal GDPR.
L’informativa sulla privacy: cosa deve contenere davvero
L’informativa sulla privacy è il documento che descrive all’utente come vengono trattati i suoi dati. Deve essere scritta in linguaggio chiaro e comprensibile, non in “legalese”: il GDPR richiede esplicitamente che sia facilmente comprensibile per l’utente medio.
I contenuti obbligatori includono l’identità e i contatti del titolare del trattamento, le finalità e la base giuridica di ogni trattamento, le categorie di dati raccolti, i destinatari dei dati come Google Analytics o Mailchimp, i tempi di conservazione e i diritti dell’interessato con le modalità per esercitarli.
Un errore frequente è usare informative generate automaticamente da plugin SEO senza personalizzarle per i trattamenti specifici del sito. Un sito con un form di contatto, un ecommerce con pagamenti online e un’area riservata ha trattamenti molto diversi tra loro, e l’informativa deve descriverli tutti in modo preciso.
I form e il consenso esplicito
Ogni form che raccoglie dati personali deve avere un riferimento all’informativa sulla privacy e, dove il trattamento si basa sul consenso, una casella di consenso esplicito non preselezionata.
La distinzione importante è tra form di contatto, dove la base giuridica è spesso il legittimo interesse o l’esecuzione di un contratto e la casella di consenso non è sempre necessaria, e form di iscrizione a newsletter o comunicazioni commerciali, dove il consenso esplicito è obbligatorio e deve essere separato da qualsiasi altro consenso.
Un’agenzia che sviluppa siti con form di iscrizione a newsletter e non implementa il doppio consenso, ovvero la conferma via email dopo l’iscrizione, espone il cliente a un trattamento non conforme che può generare sanzioni in caso di controllo.
La responsabilità dell’agenzia nella compliance
Un punto spesso sottovalutato è la posizione dell’agenzia rispetto alla compliance del sito che sviluppa. L’agenzia che sviluppa un sito non è il titolare del trattamento: il titolare è il cliente. Ma l’agenzia può essere considerata responsabile del trattamento se gestisce dati per conto del cliente, ad esempio accedendo al database o gestendo le email raccolte dai form.
In questo caso il GDPR prevede la stipula di un accordo di responsabile del trattamento, il DPA, Data Processing Agreement, tra cliente e agenzia. È un documento contrattuale che definisce le responsabilità di ciascuna parte nel trattamento dei dati e che molte agenzie non hanno mai richiesto o firmato.
Il contratto standard con il cliente dovrebbe includere o richiamare questo accordo. La sua assenza non elimina le responsabilità: le lascia indefinite, il che in caso di contestazione è quasi sempre peggio che averle chiarite in anticipo.
Come Blurr gestisce la compliance per le agenzie partner
La compliance tecnica al GDPR è un aspetto che molte agenzie faticano a gestire in modo sistematico, soprattutto quando il numero di siti in manutenzione cresce. Aggiornare il banner cookie quando viene aggiunto un nuovo servizio, verificare che i form siano configurati correttamente dopo un aggiornamento di plugin, controllare che l’informativa sia aggiornata: sono attività che richiedono attenzione periodica e che, se dimenticate, espongono il cliente a rischi reali.
Blurr include la gestione della compliance tecnica nel costo annuale dei servizi, manutenzione e GDPR. Questo significa che le agenzie che affidano a Blurr la manutenzione dei siti dei propri clienti ricevono: configurazione iniziale del banner cookie conforme al GDPR, verifica e aggiornamento del banner quando vengono aggiunti nuovi servizi al sito, form configurati con riferimenti all’informativa e caselle di consenso corrette, base tecnica per l’informativa sulla privacy personalizzata per i trattamenti specifici del sito, e monitoraggio periodico della conformità tecnica nell’ambito del piano di manutenzione.
La compliance legale, ovvero la stesura dell’informativa nella sua componente giuridica e la responsabilità finale verso il Garante, resta in capo al cliente e all’agenzia. La componente tecnica, quella che determina se il sito funziona in modo conforme nella pratica, viene gestita da Blurr come parte integrante del servizio.
Per le agenzie che offrono piani di manutenzione ai propri clienti, poter includere la gestione della compliance GDPR come voce del servizio è un argomento commerciale concreto: il cliente sa che il suo sito è aggiornato, sicuro e conforme senza dover gestire questo aspetto autonomamente. Per approfondire come strutturare i piani di manutenzione in modo redditizio, leggi come trattenere i clienti con piani di manutenzione che funzionano. Per capire come strutturare i contratti in modo da coprire anche gli aspetti di responsabilità sul trattamento dei dati, leggi contratto per lo sviluppo web: le clausole che ogni agenzia dovrebbe avere.
Se vuoi capire come strutturiamo la gestione della compliance nei piani di manutenzione per le agenzie partner, su blurr.it/servizi/ trovi tutti i dettagli.
FAQ
Un sito WordPress è automaticamente conforme al GDPR? No. WordPress di per sé non garantisce la conformità al GDPR: è la configurazione specifica del sito, i plugin installati, i servizi terzi integrati e i documenti legali presenti a determinare se il sito è conforme. Un sito WordPress senza banner cookie configurato correttamente e senza informativa sulla privacy aggiornata non è conforme, indipendentemente da quanti plugin di sicurezza abbia installati.
Chi è responsabile della conformità al GDPR, l’agenzia o il cliente? Il titolare del trattamento, ovvero il soggetto che determina le finalità e i mezzi del trattamento dei dati, è il cliente. L’agenzia può essere considerata responsabile del trattamento se gestisce dati per conto del cliente, nel qual caso è necessario un accordo specifico. La compliance legale è in capo al cliente: l’agenzia è responsabile della corretta implementazione tecnica degli strumenti di compliance definiti.
Il banner cookie deve essere aggiornato nel tempo? Sì. Ogni volta che vengono aggiunti nuovi servizi al sito che usano cookie, il banner deve essere aggiornato per riflettere i nuovi trattamenti. La scansione automatica dei cookie offerta da plugin come Cookiebot o Complianz aggiorna il banner in modo dinamico, riducendo il rischio di non conformità dovuta a servizi aggiunti senza aggiornare la gestione del consenso. Nei piani di manutenzione gestiti da Blurr, questo aggiornamento è incluso nel servizio.
Un sito di un cliente italiano che vende solo in Italia deve rispettare il GDPR? Sì. Il GDPR si applica a qualsiasi trattamento di dati personali di persone fisiche che si trovano nell’Unione Europea, indipendentemente da dove si trova il titolare del trattamento. Un’azienda italiana che raccoglie dati di clienti italiani è soggetta al GDPR esattamente come una multinazionale.