Cos’è la vendor list e a cosa serve?
La vendor list, o lista dei fornitori, è l’elenco dei fornitori di servizi terzi di cui il sito si avvale. Usare un servizio di terze parti può comportare la raccolta, l’elaborazione, l’uso e la conservazione di dati personali da parte di quel fornitore: se sul sito è installato il pixel di Meta, ad esempio, significa che Meta ha accesso ai dati degli utenti che navigano il sito.
Il GDPR è chiaro su questo: il titolare deve adottare le misure necessarie per proteggere le informazioni personali gestite e trattate anche da terze parti. Da qui l’importanza di tenere una lista fornitori sempre aggiornata.
Quali rischi comportano i fornitori non conformi al GDPR?
Se un’azienda si affida a fornitori che non rispettano il GDPR, è l’azienda stessa a rispondere di eventuali violazioni. I principali rischi che un fornitore non conforme può causare:
- Mettere in pericolo la sicurezza dei dati personali trattati.
- Non seguire le policy aziendali e le best practice concordate.
- Danneggiare la stabilità e la reputazione dell’azienda, sia internamente che esternamente.
Il principio di privacy by design richiede di valutare il rischio privacy già nella fase di pre-selezione dei fornitori: prima di sceglierne uno, verifica la sua conformità al GDPR e le misure di sicurezza che adotta, e continua a monitorarne i processi anche dopo la scelta.
Come selezionare e gestire i fornitori nel rispetto del GDPR?

I responsabili del trattamento devono fare da garanti anche su come i propri partner e fornitori gestiscono i dati. La vendor list è parte integrante del cookie banner: per legge, il banner deve informare gli utenti in modo chiaro sui fornitori a cui vengono inviati i loro dati se accettano i cookie.
Una consent solution come Avacy può scansionare il sito e rilevare automaticamente i fornitori attivi. La scansione automatizza gran parte del lavoro, ma non è precisa al 100% a causa della complessità di alcune tecnologie installate sui siti: per questo è possibile aggiungere, modificare o eliminare manualmente i fornitori dal pannello delle preferenze del cookie banner.

Una volta salvata e pubblicata, la lista fornitori viene esposta automaticamente nel cookie banner del sito.

Questa tabella riassume cosa verificare per ogni fornitore prima di inserirlo nella vendor list.
| Aspetto | Perché verificarlo |
|---|---|
| Categoria di cookie installati | Determina se serve il consenso e quale categoria mostrare nel banner |
| Finalità del trattamento | Deve corrispondere a quanto dichiarato nella cookie policy |
| Accordo di trattamento dati (DPA) | Documenta che il fornitore agisce come responsabile o sub-responsabile conforme |
| Localizzazione dei server | Rilevante se il fornitore trasferisce dati fuori dall’UE |
La tua vendor list è completa e aggiornata? Verificalo.
Una checklist con i 4 aspetti da verificare per ogni fornitore (categoria di cookie, finalità, accordo di trattamento dati, localizzazione dei server) prima di inserirlo nella vendor list del tuo cookie banner.
Cos’è il blocco preventivo dei cookie e perché è cruciale?
Il blocco preventivo riguarda le misure che le aziende devono adottare perché vengano trattati solo i dati strettamente necessari per uno scopo specifico: i dati degli utenti non devono essere accessibili ai fornitori senza consenso esplicito, in particolare per cookie e strumenti di tracciamento non necessari al funzionamento del sito.
In pratica, i siti devono mostrare un cookie banner che permetta di scegliere quali cookie accettare prima che vengano installati, seguendo il principio di privacy by default: le impostazioni che proteggono la privacy devono essere attive di default, senza che l’utente debba fare nulla per attivarle. Il blocco preventivo impedisce l’uso di cookie non essenziali nel browser dei visitatori prima del consenso, garantendo che i dati siano raccolti in modo legale, trasparente e sicuro. Leggi la guida tecnica per scoprire come attivare il blocco preventivo.
Perché aggiornare periodicamente la lista fornitori?
Il panorama dei fornitori cambia nel tempo, così come le normative e le best practice sulla protezione dei dati: aggiornare e rivedere periodicamente la vendor list è essenziale per restare conformi. In concreto, conviene rivederla ogni volta che aggiungi un nuovo strumento di marketing o analytics, cambi fornitore di hosting o CRM, interrompi un servizio che avevi dichiarato, o quando escono nuove linee guida del Garante o dell’EDPB che riguardano i trattamenti effettuati. Una lista fornitori ferma da mesi, in un sito che nel frattempo ha aggiunto nuovi strumenti, è uno dei modi più semplici per finire fuori norma senza accorgersene.