GDPR e cookie banner: mettersi in regola senza panico

In breve. Per il sito di una PMI bastano tre cose per essere a norma GDPR: un'informativa privacy onesta, un cookie banner che blocca davvero gli script di tracciamento fino al consenso esplicito, e un form contatti che raccoglie solo i dati necessari. Il classico banner con solo "Accetta tutto" non basta e può portare sanzioni.

"Privacy", "GDPR", "cookie banner": tre parole che mettono ansia a chi ha una piccola impresa. La buona notizia è che, per il sito tipico di una PMI, le basi sono poche e gestibili. La cattiva è che ignorarle può portare sanzioni e, soprattutto, far perdere fiducia ai clienti. Mettiamo ordine, senza legalese inutile. (Questo articolo spiega i concetti generali, non sostituisce una consulenza legale.)

Cosa chiede davvero la legge (in breve)

Il principio del GDPR è semplice: i dati delle persone sono loro, e tu li tratti solo con un motivo valido e in modo trasparente. Per un sito significa essenzialmente tre cose.

Non devi diventare un avvocato. Devi essere onesto su quali dati raccogli, perché, e dare alle persone il controllo.

1. L'informativa privacy

È la pagina che spiega, in modo comprensibile, quali dati raccogli (es. nome ed email dal form contatti), perché, per quanto tempo li tieni e quali diritti ha l'utente. Deve esistere, essere raggiungibile e dire la verità su cosa fa davvero il tuo sito.

2. Il cookie banner fatto bene

Qui sbagliano in tantissimi. Le regole, ribadite dal Garante, sono chiare:

• I cookie tecnici (quelli che fanno funzionare il sito) non richiedono consenso;
• I cookie di statistica e marketing (Google Analytics, Meta Pixel, ecc.) richiedono il consenso preventivo: non devono partire prima che l'utente scelga;
• Il banner deve permettere di accettare e rifiutare con pari facilità — niente "Accetta tutto" gigante e rifiuto nascosto;
• La scelta dev'essere revocabile in qualsiasi momento.

Il classico banner con solo "Accetta" che fa partire tutto subito non è a norma. Un banner corretto blocca gli script di tracciamento finché l'utente non dice sì.

Il dettaglio tecnico che conta

Non basta nascondere il banner: gli strumenti di tracciamento devono essere davvero disattivati di default e attivarsi solo dopo il consenso. Si fa con una gestione del consenso collegata ai tag (Consent Mode e simili). È invisibile all'utente, ma è ciò che distingue un sito a norma da uno che fa solo finta.

3. Il form contatti

Se raccogli dati con un form, servono:

• una spunta o un riferimento chiaro all'informativa (consenso informato);
• raccogliere solo i dati che ti servono davvero (non chiedere la data di nascita per un preventivo);
• conservarli in modo sicuro.

Gli errori più comuni (e costosi)

• Banner finto: bello da vedere, ma i cookie partono lo stesso → non serve a niente;
• Informativa copiata da un altro sito che tratta dati diversi dai tuoi;
• Strumenti dimenticati: pixel installati "per provare" e mai dichiarati;
• Nessun modo di cambiare idea dopo aver accettato.

Perché conviene oltre la legge

Un utente che vede un sito trasparente e rispettoso si fida di più. La privacy fatta bene non è solo evitare multe: è un segnale di serietà. In un'epoca in cui tutti sono diffidenti su come vengono usati i loro dati, essere chiari è un vantaggio competitivo.

In sintesi

Per il sito di una PMI le basi sono tre: un'informativa onesta, un cookie banner che blocca davvero il tracciamento fino al consenso, e un form che chiede solo il necessario. Non serve panico, serve farle — e farle sul serio, non per finta. Quando costruiamo o sistemiamo un sito, questa parte la mettiamo in regola dall'inizio, come spieghiamo nella pagina Web.

Domande frequenti

Google Analytics richiede il consenso dell'utente? Sì. Google Analytics è uno strumento di statistica che raccoglie dati sugli utenti: secondo le linee guida del Garante Privacy italiano, richiede il consenso preventivo prima che si attivi. Deve quindi essere bloccato di default nel cookie banner. Fonte: Garante Privacy — Linee guida cookie.

Il cookie banner può avere solo il pulsante "Accetta tutto"? No. Il Garante ha chiarito esplicitamente che il banner deve permettere di rifiutare con la stessa facilità con cui si accetta. Un banner con solo "Accetta" o con il rifiuto nascosto in più clic non è conforme e può portare a sanzioni.

Da leggere anche

• Il tuo sito è accessibile? Cosa cambia con l'European Accessibility Act
• Quanto costa davvero un sito per una PMI nel 2026
• Il Check-up Digitale SolutioLab: 12 domande per capire dove sei