Prezzi bloccati fino a Settembre 2026: assicurati fino al 90% di risparmio sui piani Avacy

Come Creare una Privacy Policy: guida pratica al GDPR

Immagine autore: Matilde Visentin

Matilde Visentin

Head of SEO

Aggiornato il 13 luglio 2026

Lettura 6 min

Creare privacy policy

Scrivere una privacy policy può sembrare una scocciatura, ma è un passaggio obbligatorio per qualsiasi sito che raccolga dati personali.

La privacy policy è il documento che spiega come raccogli, usi e proteggi i dati dei tuoi utenti: deve contenere 11 elementi specifici richiesti dal GDPR e va scritta in modo chiaro, senza tecnicismi. Che tu abbia un blog, un e-commerce o un sito vetrina, costruirla bene non è solo un obbligo legale: è anche il modo più diretto per dimostrare ai tuoi utenti che la loro privacy è una priorità.

In breve

La privacy policy è il documento obbligatorio che spiega come un sito tratta i dati personali degli utenti: serve ogni volta che si raccolgono dati, ad esempio con un e-commerce, un’area di registrazione o un form di contatto. Deve contenere 11 elementi chiave (titolare, dati raccolti, finalità, base giuridica, destinatari, conservazione, diritti dell’utente, sicurezza, modifiche, contatti, riferimenti normativi), essere scritta in linguaggio chiaro e sempre raggiungibile dal sito. Un generatore automatico come Avacy permette di crearla in pochi minuti rispondendo a domande guidate, alternativa più rapida rispetto alla scrittura manuale o alla consulenza legale.

Indice

Cos’è la privacy policy e quando è obbligatoria?

La privacy policy, o informativa sulla privacy, è il documento che spiega come un sito web o un’app raccoglie, utilizza, conserva e protegge i dati personali degli utenti. Non è solo una formalità: è un requisito obbligatorio per rispettare normative come il GDPR in Europa, e una dichiarazione di trasparenza che aiuta a costruire fiducia con chi visita il sito.

È obbligatoria ogni volta che un sito raccoglie, tratta o condivide dati personali, ad esempio nei casi più comuni:

  • E-commerce, ovvero siti dove si effettuano ordini di acquisto;
  • Sito con un’area personale, dove è possibile registrarsi;
  • Siti in cui è possibile inviare un CV;
  • Form che prevedono l’invio di comunicazioni di marketing o newsletter;
  • Siti che offrono servizi gratuiti o a pagamento che richiedono una registrazione;
  • Siti con un sistema di recensioni o commenti che raccoglie dati identificativi.

Va resa disponibile prima che i dati vengano raccolti, ad esempio al momento della registrazione o della richiesta di un pagamento, non dopo.

Cosa dice il GDPR sulla privacy policy?

Il GDPR stabilisce regole precise su come i dati personali devono essere trattati. Secondo l’art. 13, ogni sito deve fornire agli utenti informazioni trasparenti su quali dati vengono raccolti, perché, chi avrà accesso a questi dati e per quanto tempo verranno conservati. Il documento deve inoltre essere facile da capire, privo di tecnicismi complicati: se il tuo sito opera nell’Unione Europea o gestisce dati di cittadini europei, rispettare questi requisiti non è facoltativo.

Senza una privacy policy adeguata, oltre a esporre gli utenti a un trattamento non trasparente, si rischiano sanzioni che possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale, secondo l’art. 83 del GDPR.

Cosa deve contenere una privacy policy?

La privacy policy deve essere facilmente accessibile sul sito, solitamente nel footer o nel cookie banner, e scritta in modo chiaro. Questi sono gli elementi che deve contenere:

  1. Introduzione: informazioni sull’azienda (nome, contatti, eventuali dettagli di registrazione legale) e la finalità del documento.
  2. Tipologie di dati raccolti: dati come nome, email, telefono, indirizzo e pagamento; se trattati, i dati sensibili vanno specificati separatamente, così come i dati di navigazione raccolti automaticamente (cookie, IP, geolocalizzazione).
  3. Modalità di raccolta dei dati: come vengono raccolti (form, transazioni, email, cookie) e come viene ottenuto il consenso, ad esempio tramite cookie banner o checkbox.
  4. Finalità del trattamento: perché i dati vengono usati (gestione ordini, newsletter, marketing, miglioramento dei servizi) e la base giuridica del trattamento.
  5. Destinatari dei dati: chi ha accesso ai dati (provider di servizi, consulenti legali, autorità pubbliche) e, se i dati escono dall’UE, quali garanzie vengono adottate per proteggerli.
  6. Conservazione dei dati: per quanto tempo vengono conservati o, se non determinabile a priori, quali criteri vengono usati per stabilirlo.
  7. Diritti degli utenti: accesso, rettifica, cancellazione, limitazione del trattamento, portabilità, opposizione e revoca del consenso.
  8. Sicurezza dei dati: le misure adottate per proteggerli (crittografia, accesso limitato, backup).
  9. Modifiche alla privacy policy: come e quando gli utenti verranno informati di eventuali aggiornamenti.
  10. Contatti: un riferimento per chi si occupa della protezione dei dati, incluso il DPO se presente.
  11. Riferimenti legali: le normative applicabili, come il GDPR nell’Unione Europea.

Sul punto 4 vale la pena essere precisi: la base giuridica del trattamento non è sempre il consenso. Questa tabella riassume le quattro basi più comuni.

Base giuridicaQuando si applica
ConsensoMarketing, profilazione, condivisione con terzi non necessaria al servizio
Esecuzione di un contrattoDati indispensabili per erogare il servizio richiesto dall’utente
Obbligo legaleConservazione fiscale, contabile o altri obblighi imposti dalla legge
Legittimo interesseSolo dopo una valutazione (LIA) che dimostri necessità e bilanciamento con i diritti dell’utente

Un punto che vale la pena aggiornare rispetto a qualche anno fa: se il destinatario dei dati (punto 5) si trova negli Stati Uniti, non basta più citare il “Privacy Shield”, invalidato dalla Corte di Giustizia UE nel 2020. Il meccanismo attualmente in vigore è l’EU-US Data Privacy Framework, adottato nel 2023, ma è bene sapere che è sotto una nuova sfida legale: nel luglio 2026 una sentenza della Corte Suprema USA sull’indipendenza delle agenzie federali ha spinto l’associazione NOYB a sostenere che la base giuridica del Framework sia compromessa, e un ricorso è atteso a breve. Per questo motivo, per i trasferimenti verso gli USA conviene affiancare al Data Privacy Framework anche le Clausole Contrattuali Standard come rete di sicurezza, non affidarsi a un solo meccanismo.

Privacy policy e cookie policy pronte da compilare, non da inventare

Il template DOCX editabile con la guida su quando e come usarlo, per avere documenti conformi al GDPR senza partire da un foglio bianco

Come scrivere un’informativa privacy chiara ed efficace?

Scrivere una privacy policy chiara e conforme non richiede necessariamente un linguaggio legale complesso. Alcuni accorgimenti pratici:

  • Sii chiaro e semplice: evita linguaggio tecnico o legale complesso, usa frasi dirette e paragrafi brevi. Invece di “I dati saranno trattati per finalità proprie e per fini di marketing, a meno che l’interessato non manifesti il proprio diniego”, scrivi “Useremo i tuoi dati per inviarti offerte personalizzate, ma puoi decidere di non riceverle in qualsiasi momento”.
  • Adatta il tono al pubblico, restando professionale ma comprensibile: un’app di salute, un e-commerce e un servizio bancario hanno pubblici diversi, e l’informativa dovrebbe rifletterlo.
  • Sii trasparente, senza ambiguità sul trattamento: non accorciare l’informativa per “nascondere” certe pratiche, meglio completa ma concisa.
  • Mantieni la coerenza con le altre policy del sito, come la cookie policy: se una sezione dice che i dati sono conservati per 5 anni, non contraddirla altrove senza spiegazione.
  • Rendi l’informativa facilmente raggiungibile da ogni pagina del sito, tipicamente da footer o cookie banner.
  • Includi sempre un contatto a cui gli utenti possano rivolgersi per domande sulla privacy policy.

Come creare una privacy policy: generatore, fai-da-te o avvocato?

Ci sono tre strade principali, a seconda di tempo, budget e complessità del sito.

Un generatore automatico online è la scelta più rapida se non hai esperienza legale: questi strumenti pongono domande su come funziona il tuo sito (raccogli dati con un modulo di contatto? usi Google Analytics? gestisci un e-commerce o una newsletter?) e generano un documento personalizzato. Una piattaforma di gestione del consenso come Avacy guida passo dopo passo nella generazione automatica della privacy policy, rispondendo a domande semplici su tipo di dati raccolti, finalità e destinatari, producendo un documento già allineato al GDPR e modificabile in seguito; se hai già una privacy policy pronta, puoi anche caricarla direttamente e integrarla con la gestione del consenso e dei cookie.

Redigerla manualmente è possibile seguendo la struttura descritta sopra e includendo tutti gli elementi richiesti, ma richiede più tempo e attenzione per non dimenticare nessun punto.

Consultare un avvocato o un esperto di privacy resta la scelta più indicata se la tua attività gestisce dati particolarmente sensibili o se hai dubbi specifici sulla conformità: un professionista può darti un parere calibrato sul tuo caso e sulle normative applicabili, incluse quelle extra-UE come CCPA/CPRA se hai utenti statunitensi.

In sintesi

  • La privacy policy è obbligatoria ogni volta che un sito raccoglie, tratta o condivide dati personali.

  • Deve contenere 11 elementi chiave: titolare, dati raccolti, modalità di raccolta, finalità e base giuridica, destinatari, conservazione, diritti dell’utente, sicurezza, modifiche, contatti, riferimenti normativi.

  • La base giuridica non è sempre il consenso: può essere anche contratto, obbligo legale o legittimo interesse.

  • Per i trasferimenti dati verso gli USA, il Privacy Shield non è più valido: oggi si usa l’EU-US Data Privacy Framework, ma è sotto una nuova sfida legale.

  • Un generatore automatico come Avacy è l’opzione più rapida rispetto a scrittura manuale o consulenza legale.

Domande frequenti

La privacy policy è obbligatoria anche per un blog personale?

Sì, se il blog raccoglie dati personali in qualunque forma: commenti con email, iscrizione a una newsletter, moduli di contatto o strumenti di analisi come Google Analytics.

Che differenza c'è tra privacy policy e cookie policy?

La privacy policy copre tutti i dati personali raccolti dal sito; la cookie policy si concentra solo sui dati raccolti tramite cookie e tecnologie simili. Per approfondire: Cookie policy e privacy policy: le differenze spiegate bene.

Posso copiare la privacy policy di un altro sito?

No: deve riflettere esattamente come il tuo sito tratta i dati, quali strumenti usa e quali finalità persegue. Una policy copiata rischia di dichiarare trattamenti che non fai, o di ometterne altri che fai davvero.

Cosa rischio se non ho una privacy policy o è incompleta?

Sanzioni fino a 20 milioni di euro o il 4% del fatturato annuo globale secondo l’art. 83 del GDPR, oltre alla perdita di fiducia degli utenti.

Il Privacy Shield è ancora valido per trasferire dati negli USA?

No, è stato invalidato nel 2020. Il meccanismo attuale è l’EU-US Data Privacy Framework, ma è sotto una nuova sfida legale nel 2026: conviene affiancarlo alle Clausole Contrattuali Standard.

Devo aggiornare la privacy policy periodicamente?

Sì, ogni volta che cambiano i trattamenti effettuati, i fornitori usati o la normativa di riferimento, comunicando le modifiche rilevanti agli utenti.

Raccogli e conserva i consensi senza pensieri

Avacy automatizza raccolta, archiviazione, prova e revoca dei consensi. Conforme a GDPR, ePrivacy e Google Consent Mode v2.

Google Consent Mode v2
IAB TCF 2.3
Immagine autore: Matilde Visentin
L'autore di questo post

Matilde Visentin

Head of SEO
Matilde Visentin è Head of SEO presso Jump Group, dove guida la strategia SEO e coordina progetti complessi per ottimizzare la visibilità online dei clienti. Grazie alla sua vasta esperienza nel campo del search engine optimization, Matilde è una figura di riferimento per la crescita organica delle aziende. La sua passione per l’analisi dei dati e l’innovazione digitale la spinge a esplorare costantemente le nuove tendenze del settore. Inoltre, è autrice di articoli per Avacy CMP, condividendo il suo know-how con la community professionale.

Potrebbe interessarti anche

Sei ancora interessato a passare ad Avacy?

Il nostro team è pronto a supportarti nella configurazione della tua compliance e a mostrarti come ottimizzarne la gestione.