Perché la conformità GDPR è così importante per un sito web?
Una parte ancora ampia dei siti web non rispetta pienamente le norme imposte dal GDPR. Dal 2018, chi tratta dati personali, incluso chi gestisce un sito o una piattaforma online, è chiamato ad avere un approccio proattivo verso la privacy degli utenti: esporre in modo chiaro, trasparente e inequivocabile le modalità con cui i dati personali vengono usati non è più opzionale.
Ad esempio, se un sito vuole usare i dati per finalità pubblicitarie, serve un consenso esplicito, con l’opzione di rifiutare altrettanto accessibile. La mancanza di un’opzione chiara per rifiutare i cookie, ancora diffusa su molti siti, è una delle non conformità più comuni.
Il GDPR è nato per potenziare la protezione dei dati personali (più controllo e trasparenza per gli utenti), unificare la regolamentazione in tutta l’UE (prima ogni Paese aveva regole diverse), e imporre sanzioni severe: multe fino al 4% del fatturato annuo globale o 20 milioni di euro, a seconda di quale importo sia maggiore. Ignorarlo significa esporsi a sanzioni economiche, danni reputazionali e perdita di clienti sempre più consapevoli dei propri diritti sui dati.
Cosa vuol dire avere un sito a norma oggi?

Significa, prima di tutto, un cookie banner che descriva in modo chiaro quali dati vengono raccolti e come vengono usati, inclusi eventuali dati sensibili come geolocalizzazione, log di accesso, indirizzi email e dati anagrafici: l’utente deve essere pienamente informato e consenziente prima di interagire, visualizzare pagine o navigare in determinate aree.
Ma la conformità va oltre il solo cookie banner: richiede una comprensione approfondita delle leggi sulla privacy, spesso con il supporto di legali per i dettagli più complessi, e la gestione di documentazione che può risultare onerosa da preparare a mano. Per questo molte aziende scelgono di delegare questi processi a strumenti dedicati o a specialisti: mettere a norma un sito è un investimento reale di tempo e risorse, non un’operazione da un pomeriggio.
Avacy è una piattaforma di gestione del consenso pensata per automatizzare questi processi: generazione di privacy policy e cookie policy realmente a norma, gestione del cookie banner e archiviazione dei consensi come prova in caso di controversie. Vediamo come impostarla in tre fasi.
Step 1: configura account, team e spazio web
La registrazione richiede solo dati anagrafici di base (nome, cognome, email, data di nascita), una password e l’accettazione dei termini d’uso, seguita da un’email di verifica.

Un team in Avacy è il gruppo dedicato alla gestione di utenti e siti web sulla piattaforma: puoi aggiungere o rimuovere utenti, definirne i permessi e assegnare autorizzazioni granulari. Se sei un’agenzia che gestisce più clienti, puoi creare un team per ciascuno, con i rispettivi siti.

Dopo aver creato il team, si sceglie il piano: quello annuale include un pacchetto di siti gestibili, con pricing calibrato sul numero di siti (ad esempio un pacchetto da 25 siti per un’agenzia).

Ogni spazio web corrisponde a un sito gestito sulla piattaforma, con una dashboard dedicata da cui accedere a cookie banner, documenti legali, archivio consensi e altre informazioni, incluso il numero di cookie e fornitori rilevati.


La configurazione dello spazio web segue un wizard in 4 fasi. Nella prima inserisci il dominio (con eventuali domini di terzo livello) e puoi impostare scansioni periodiche automatiche, utili soprattutto per siti WordPress dove nuovi plugin possono aggiungere cookie senza che tu te ne accorga; puoi anche selezionare le lingue del sito, tra quelle supportate da Avacy.

La seconda fase riguarda i dati del titolare del trattamento (opzionali in questa fase, ma necessari per la privacy policy che verrà generata), incluso, se presente, l’indirizzo email del DPO.

La terza avvia una scansione preliminare del sito, che individua automaticamente fornitori e cookie installati. Come per qualsiasi CMP, la scansione non è precisa al 100%: rilevare con certezza tutte le tecnologie presenti su un sito è complesso, ma il lavoro automatico resta comunque un risparmio di tempo enorme rispetto al farlo a mano. Al termine vedrai una lista preliminare di fornitori (Google, Cloudflare, LinkedIn, Stripe sono esempi tipici) con i cookie associati: se un fornitore non viene rilevato, ad esempio perché il crawler non ha visitato la pagina del carrello da cui parte un evento Facebook, puoi attivarlo manualmente e associare i cookie corrispondenti.


Nella quarta fase si procede con l’integrazione del cookie banner sul sito, possibile in tre modi: tramite codice HTML da inserire nell’header (compatibile con WordPress e altre tecnologie), tramite un plugin WordPress dedicato, oppure tramite Google Tag Manager, con supporto alla Google Consent Mode v2 — obbligatoria per chi usa Google Analytics e strumenti simili. Per gli sviluppi più recenti su questo fronte: Avacy CMP supporta Google Consent Mode.

Il tuo sito è pronto per la configurazione GDPR con Avacy? Verificalo prima di iniziare.
Una checklist con le informazioni da avere pronte prima di iniziare (dati del titolare, dominio, lingue del sito) per completare la configurazione senza interruzioni.
Step 2: genera privacy policy, cookie policy e configura i cookie
Completata la configurazione iniziale, puoi generare privacy policy e cookie policy in base alle informazioni raccolte, intervenire sulla lista di cookie e fornitori, e personalizzare il cookie banner. Per una guida dedicata e più approfondita su privacy policy e cookie banner: Privacy policy e-commerce: guida passo passo con Avacy e Come configurare il cookie banner con Avacy. Qui vediamo la parte specifica di questo percorso di configurazione.
La privacy policy si genera rispondendo a una serie di domande sulla natura del sito (e-commerce, form di contatto, tipi di tracciamento, geolocalizzazione, dati sensibili e così via): al termine viene creato un documento con tutte le clausole corrispondenti, integrabile tramite link diretto o finestra pop-up, disponibile in più lingue e personalizzabile anche su aspetti come la durata di conservazione dei dati. Tutti i contenuti generati sono stati validati legalmente.

La cookie policy è un testo più statico, che dichiara quali cookie vengono usati (tecnici e di profilazione) e come disattivarli dal browser: tutte queste informazioni sono già incluse nel documento generato automaticamente. L’unica parte che potrebbe richiedere una revisione è quella su liste di cookie e fornitori.
I cookie si distinguono in due categorie: i cookie tecnici, essenziali per il funzionamento del sito, che non possono essere rifiutati e non sono soggetti a blocco da parte del Garante perché privi di scopi di profilazione; e i cookie di profilazione, erogati da te o da terze parti (Google Analytics, Google Ads, Meta Pixel), che raccolgono dati per finalità di marketing e vanno sempre dichiarati nella cookie policy.
I cambiamenti nella lista dei cookie si riflettono automaticamente nella cookie policy a ogni modifica, salvataggio o aggiunta. Un dettaglio da tenere presente: l’associazione automatica tra un cookie e il suo fornitore presunto non è infallibile. Il cookie “YSC”, ad esempio, è comunemente associato a YouTube, ma nulla impedisce che un sito abbia sviluppato internamente un cookie con lo stesso nome, non collegato a YouTube: la scansione è solitamente accurata, ma un margine di errore resta sempre possibile, ed è per questo che una verifica manuale della lista resta utile.

La lista fornitori compare obbligatoriamente nel pannello delle preferenze del cookie banner: puoi aggiungere un nuovo fornitore manualmente, scegliere tra i fornitori più comuni già disponibili, o modificarne i dettagli con una descrizione per gli utenti. Collegarla anche alla privacy policy non è obbligatorio, ma resta un dato utile da tenere aggiornato quando cambiano fornitori o cookie sul sito. Una volta salvata e pubblicata, la lista viene esposta automaticamente nel cookie banner.

Step 3: personalizza il cookie banner e attiva l’archivio dei consensi
Nella sezione di anteprima puoi vedere il banner e le terze parti visibili nel pannello delle preferenze: è un passaggio importante, perché gli utenti devono essere informati chiaramente su a chi vengono inviati i loro dati se accettano i cookie — il cookie banner è, di fatto, il biglietto da visita della privacy del tuo sito.

La personalizzazione estetica include posizione, logo, testi, colori e font: i testi sono già conformi al GDPR, ma restano modificabili, e sono disponibili in più lingue. Per i testi del pannello preferenze, è comunque consigliabile un’ultima revisione con un professionista legale, per garantire correttezza e aderenza al caso specifico del sito.

Tra le impostazioni avanzate trovi il supporto alla Google Consent Mode, che abilita le finalità collegate agli indicatori di consenso di Google direttamente nel banner, con relativa documentazione tecnica per la configurazione.
Un’ultima nota, importante e onesta: il Garante ha sottolineato l’importanza di mantenere un archivio dei consensi, ma non ha specificato in dettaglio come raccoglierli. Il principio guida resta la minimizzazione: se un utente lascia l’email in un modulo per la newsletter, l’archivio conserva la prova che ha acconsentito, senza bisogno di raccogliere altro. Il Garante non ha fissato limiti precisi su quali dati aggiuntivi si possano raccogliere per identificare l’utente: se un’azienda decide di raccogliere più dati del necessario per un’identificazione più puntuale, rischia di superare una linea di demarcazione legale non esplicitamente tracciata.
Vale quindi la pena essere chiari su un punto: non basta acquistare una soluzione per essere automaticamente al riparo da contestazioni. Anche un archivio dei consensi completo al 100% non garantisce l’immunità da ogni verifica: ogni strumento va configurato correttamente in base al caso specifico e ai dati reali del singolo sito, non attivato e dimenticato.