Roma, 28 Luglio 2025
Circolare informativa 15/2025
(a cura di Sara Razzi)
Adeguamento alle Normative Privacy per i Siti Web
A seguito dell’entrata in vigore del Regolamento (UE) 2016/679 (GDPR), del D.lgs. 196/2003 (Codice Privacy, come modificato dal D.lgs. 101/2018) e delle Linee Guida del Garante per la Protezione dei Dati Personali (pubblicate il 10 giugno 2021 e aggiornate nel 2023), i titolari di siti web che trattano dati personali sono tenuti a rispettare obblighi specifici in materia di informativa, consenso, sicurezza e diritti degli interessati.
- Obblighi Principali E Riferimenti Normativi
⇒ Gestione dei cookie e strumenti di tracciamento
Quando un utente visita un sito web, spesso vengono utilizzati cookie o strumenti simili per raccogliere informazioni. La normativa richiede che i cookie non strettamente necessari (ad esempio quelli di profilazione o quelli di terze parti per fini di marketing) siano attivati solo dopo il consenso esplicito dell’utente. Tale consenso deve essere raccolto tramite un banner visibile al primo accesso, il quale deve offrire la possibilità di accettare o rifiutare in modo chiaro e simmetrico. Non è più ammesso l’uso di cookie wall [1]né il ricorso allo “scrolling” [2]come forma implicita di consenso. Il consenso va documentato e rinnovato almeno ogni sei mesi e deve essere sempre possibile modificarlo o revocarlo.
[1] “Si tratta della pratica utilizzata da alcuni siti web per impedire l’accesso ai contenuti o funzionalità del sito se l’utente non accetta l’installazione di tutti o di determinati cookie, in particolare di quelli non essenziali come i cookie di profilazione o di terze parti”
[2] “Si intende l’azione di far scorrere il contenuto di una pagina, finestra o schermo in verticale o orizzontale, al fine di visualizzare parti del contenuto che non sono immediatamente visibili”
⇒ Informativa sulla privacy
Ogni sito web deve rendere disponibile una Privacy Policy completa e facilmente accessibile, preferibilmente tramite un
link nel footer. L’informativa deve contenere i dati del titolare e del DPO (se presente), le finalità e la base giuridica del trattamento, il periodo di conservazione, i diritti dell’utente e i contatti per l’esercizio dei diritti. Tutti questi contenuti devono essere espressi con linguaggio chiaro e comprensibile.
⇒ Misure di sicurezza e responsabilità organizzativa
Il trattamento dei dati personali attraverso il sito deve rispettare i principi di privacy by design e by default [3]. Il titolare
deve adottare misure tecniche e organizzative adeguate: utilizzo di HTTPS, backup, autenticazione sicura e aggiornamenti costanti. Per i trattamenti complessi o continuativi, è obbligatoria la tenuta del registro dei trattamenti.
[3] “Approccio concettuale innovativo che impone alle aziende l’obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti e le corrette impostazioni a tutela dei dati personali.”
⇒ Diritti degli utenti e modalità di gestione
Gli utenti hanno diritto di accedere, rettificare, cancellare, limitare o opporsi al trattamento dei propri dati, oltre a poterne richiedere la portabilità. Il sito deve prevedere canali semplici per l’esercizio dei diritti, come moduli o indirizzi email dedicati, e deve rispondere entro 30 giorni.
Si riporta di seguito, a mero titolo esplicativo, una sintetica Check-list operativa per privacy audit (siti web), che potrebbe essere utile per l’individuazione di eventuali criticità.
| Area | Voce di controllo | Compliant | Azioni Correttive |
|---|---|---|---|
| Cookie | Il sito mostra un cookie banner con accetta/rifiuta? | ✅ / ❌ | |
| I cookie non tecnici sono disabilitati di default? | ✅ / ❌ | ||
| È documentato il consenso (log, strumenti CMP)? | ✅ / ❌ | ||
| È possibile modificare il consenso in ogni momento? | ✅ / ❌ | ||
| Informativa | La privacy policy è accessibile da tutte le pagine? | ✅ / ❌ | |
| Contiene tutti i dati richiesti dall’art. 13 GDPR? | ✅ / ❌ | ||
| Include i riferimenti al DPO (se nominato)? | ✅ / ❌ | ||
| Sicurezza | Il sito utilizza HTTPS con certificato valido? | ✅ / ❌ | |
| Sono implementate misure di backup e accesso sicuro (2FA)? | ✅ / ❌ | ||
| È stato redatto e aggiornato un registro dei trattamenti? | ✅ / ❌ | ||
| Esiste un piano per la gestione dei data breach? | ✅ / ❌ | ||
| Diritti utenti | È disponibile un canale per inviare richieste privacy? | ✅ / ❌ | |
| Le richieste vengono gestite entro i tempi previsti (30 giorni)? | ✅ / ❌ |
Per garantire la conformità del sito web alle normative sulla protezione dei dati personali, è consigliabile adottare un approccio strutturato e approfondito. In primo luogo, è opportuno effettuare un controllo completo del sito, volto a individuare eventuali criticità legate alla raccolta e al trattamento dei dati personali, in particolare quelli che avvengono attraverso cookie, moduli di contatto, newsletter e altri strumenti di tracciamento.
Successivamente, è importante coinvolgere figure tecniche e legali, come sviluppatori web e consulenti privacy, per aggiornare il cookie banner e l’informativa privacy, assicurandosi che siano chiari, completi e rispecchino fedelmente le modalità di trattamento effettive.
Un altro passaggio fondamentale è l’integrazione, all’interno del sito, di un
meccanismo che consenta agli utenti di revocare o modificare in qualsiasi momento il consenso prestato, in modo semplice e accessibile.
Parallelamente, si raccomanda di verificare e, se necessario, aggiornare la documentazione interna dell’organizzazione, come il registro dei trattamenti, le informative rivolte agli interessati e le policy interne relative all’uso degli strumenti digitali e alla gestione dei dati online.
Infine, è essenziale garantire una formazione adeguata a tutti i soggetti autorizzati al trattamento dei dati personali, affinché siano pienamente consapevoli delle responsabilità e delle corrette pratiche da seguire, soprattutto nel contesto delle attività online.
§ § § § § §
Non esitate a contattarci per qualsiasi approfondimento.
Cordiali saluti,
Sara Razzi