Prezzi bloccati fino a Settembre 2026: assicurati fino al 90% di risparmio sui piani Avacy

Vendor list GDPR: come gestire i fornitori del tuo sito

Immagine autore: Matilde Visentin

Matilde Visentin

Head of SEO

Aggiornato il 8 luglio 2026

Lettura 4 min

Lista fornitori GDPR

Ogni pixel, plugin o strumento di analytics che installi sul tuo sito porta con sé un fornitore che ha accesso, almeno in parte, ai dati dei tuoi utenti.

La vendor list è l’elenco di questi fornitori terzi, e va resa visibile nel cookie banner: se un fornitore non rispetta il GDPR, è la tua azienda a risponderne, non lui. Per questo la scelta di un fornitore andrebbe verificata prima di attivarlo, non dopo, e la lista va aggiornata ogni volta che cambia qualcosa: un nuovo strumento di marketing, un cambio di hosting, un servizio dismesso.

In breve

La vendor list è l’elenco dei fornitori terzi (Meta, Google, CRM, hosting) che hanno accesso ai dati raccolti tramite il sito, e va esposta nel cookie banner per informare gli utenti su chi riceve i loro dati se accettano i cookie. Un fornitore non conforme al GDPR espone l’azienda stessa alle sanzioni, non solo il fornitore: per questo va verificato prima di essere scelto e monitorato nel tempo, con blocco preventivo dei cookie non essenziali finché l’utente non acconsente, e revisione periodica della lista quando cambiano strumenti o normativa.

Indice

Cos’è la vendor list e a cosa serve?

La vendor list, o lista dei fornitori, è l’elenco dei fornitori di servizi terzi di cui il sito si avvale. Usare un servizio di terze parti può comportare la raccolta, l’elaborazione, l’uso e la conservazione di dati personali da parte di quel fornitore: se sul sito è installato il pixel di Meta, ad esempio, significa che Meta ha accesso ai dati degli utenti che navigano il sito.

Il GDPR è chiaro su questo: il titolare deve adottare le misure necessarie per proteggere le informazioni personali gestite e trattate anche da terze parti. Da qui l’importanza di tenere una lista fornitori sempre aggiornata.

Quali rischi comportano i fornitori non conformi al GDPR?

Se un’azienda si affida a fornitori che non rispettano il GDPR, è l’azienda stessa a rispondere di eventuali violazioni. I principali rischi che un fornitore non conforme può causare:

  1. Mettere in pericolo la sicurezza dei dati personali trattati.
  2. Non seguire le policy aziendali e le best practice concordate.
  3. Danneggiare la stabilità e la reputazione dell’azienda, sia internamente che esternamente.

Il principio di privacy by design richiede di valutare il rischio privacy già nella fase di pre-selezione dei fornitori: prima di sceglierne uno, verifica la sua conformità al GDPR e le misure di sicurezza che adotta, e continua a monitorarne i processi anche dopo la scelta.

Come selezionare e gestire i fornitori nel rispetto del GDPR?

Cookie banner di Avacy

I responsabili del trattamento devono fare da garanti anche su come i propri partner e fornitori gestiscono i dati. La vendor list è parte integrante del cookie banner: per legge, il banner deve informare gli utenti in modo chiaro sui fornitori a cui vengono inviati i loro dati se accettano i cookie.

Una consent solution come Avacy può scansionare il sito e rilevare automaticamente i fornitori attivi. La scansione automatizza gran parte del lavoro, ma non è precisa al 100% a causa della complessità di alcune tecnologie installate sui siti: per questo è possibile aggiungere, modificare o eliminare manualmente i fornitori dal pannello delle preferenze del cookie banner.

Lista fornitori

Una volta salvata e pubblicata, la lista fornitori viene esposta automaticamente nel cookie banner del sito.

Fornitori esposti nel cookie banner

Questa tabella riassume cosa verificare per ogni fornitore prima di inserirlo nella vendor list.

AspettoPerché verificarlo
Categoria di cookie installatiDetermina se serve il consenso e quale categoria mostrare nel banner
Finalità del trattamentoDeve corrispondere a quanto dichiarato nella cookie policy
Accordo di trattamento dati (DPA)Documenta che il fornitore agisce come responsabile o sub-responsabile conforme
Localizzazione dei serverRilevante se il fornitore trasferisce dati fuori dall’UE

La tua vendor list è completa e aggiornata? Verificalo.

Una checklist con i 4 aspetti da verificare per ogni fornitore (categoria di cookie, finalità, accordo di trattamento dati, localizzazione dei server) prima di inserirlo nella vendor list del tuo cookie banner.

Cos’è il blocco preventivo dei cookie e perché è cruciale?

Il blocco preventivo riguarda le misure che le aziende devono adottare perché vengano trattati solo i dati strettamente necessari per uno scopo specifico: i dati degli utenti non devono essere accessibili ai fornitori senza consenso esplicito, in particolare per cookie e strumenti di tracciamento non necessari al funzionamento del sito.

In pratica, i siti devono mostrare un cookie banner che permetta di scegliere quali cookie accettare prima che vengano installati, seguendo il principio di privacy by default: le impostazioni che proteggono la privacy devono essere attive di default, senza che l’utente debba fare nulla per attivarle. Il blocco preventivo impedisce l’uso di cookie non essenziali nel browser dei visitatori prima del consenso, garantendo che i dati siano raccolti in modo legale, trasparente e sicuro. Leggi la guida tecnica per scoprire come attivare il blocco preventivo.

Perché aggiornare periodicamente la lista fornitori?

Il panorama dei fornitori cambia nel tempo, così come le normative e le best practice sulla protezione dei dati: aggiornare e rivedere periodicamente la vendor list è essenziale per restare conformi. In concreto, conviene rivederla ogni volta che aggiungi un nuovo strumento di marketing o analytics, cambi fornitore di hosting o CRM, interrompi un servizio che avevi dichiarato, o quando escono nuove linee guida del Garante o dell’EDPB che riguardano i trattamenti effettuati. Una lista fornitori ferma da mesi, in un sito che nel frattempo ha aggiunto nuovi strumenti, è uno dei modi più semplici per finire fuori norma senza accorgersene.

In sintesi

  • La vendor list elenca i fornitori terzi che hanno accesso ai dati raccolti dal sito, e va mostrata nel cookie banner.

  • Se un fornitore non è conforme al GDPR, è l’azienda a risponderne, non il fornitore.

  • Uno scanner automatico (come quello di Avacy) rileva la maggior parte dei fornitori, ma va sempre integrato con un controllo manuale.

  • Il blocco preventivo impedisce ai fornitori di ricevere dati prima che l’utente acconsenta.

  • La lista va rivista periodicamente: nuovi strumenti, cambi di fornitore e aggiornamenti normativi la rendono obsoleta in fretta.

Domande frequenti

Cos'è la vendor list di un sito web?

È l’elenco dei fornitori di servizi terzi (pixel pubblicitari, strumenti di analisi, CRM) che hanno accesso ai dati raccolti tramite il sito, reso visibile agli utenti nel cookie banner.

Chi è responsabile se un fornitore non rispetta il GDPR?

L’azienda che lo ha scelto, in quanto titolare o responsabile del trattamento: la non conformità di un fornitore si traduce in un rischio diretto per chi lo utilizza, non solo per il fornitore stesso.

Uno scanner automatico basta per compilare la vendor list?

Aiuta molto, ma non è preciso al 100% per la complessità di alcune tecnologie installate sui siti: va sempre integrato con la possibilità di aggiungere o correggere fornitori manualmente.

Cos'è il blocco preventivo dei cookie?

È il meccanismo che impedisce ai cookie non essenziali di attivarsi, e quindi ai fornitori di ricevere dati, prima che l’utente abbia dato il proprio consenso esplicito.

Ogni quanto va aggiornata la lista fornitori?

Non c’è una scadenza fissa: va rivista ogni volta che cambiano gli strumenti installati sul sito, i fornitori usati, o quando escono nuove linee guida normative rilevanti.

Devo avere un accordo scritto con ogni fornitore che tratta dati?

È buona prassi avere un accordo di trattamento dati (DPA) con i fornitori che agiscono come responsabili o sub-responsabili del trattamento, per documentare i rispettivi obblighi.

Raccogli e conserva i consensi senza pensieri

Avacy automatizza raccolta, archiviazione, prova e revoca dei consensi. Conforme a GDPR, ePrivacy e Google Consent Mode v2.

Google Consent Mode v2
IAB TCF 2.3
Immagine autore: Matilde Visentin
L'autore di questo post

Matilde Visentin

Head of SEO
Matilde Visentin è Head of SEO presso Jump Group, dove guida la strategia SEO e coordina progetti complessi per ottimizzare la visibilità online dei clienti. Grazie alla sua vasta esperienza nel campo del search engine optimization, Matilde è una figura di riferimento per la crescita organica delle aziende. La sua passione per l’analisi dei dati e l’innovazione digitale la spinge a esplorare costantemente le nuove tendenze del settore. Inoltre, è autrice di articoli per Avacy CMP, condividendo il suo know-how con la community professionale.

Potrebbe interessarti anche

Sei ancora interessato a passare ad Avacy?

Il nostro team è pronto a supportarti nella configurazione della tua compliance e a mostrarti come ottimizzarne la gestione.