GDPR: checklist completa per proprietari di siti web (con riferimenti agli articoli e focus WordPress)

Il GDPR (General Data Protection Regulation) è una delle normative sulla privacy più complete al mondo e, dal 25 maggio 2018, impone regole precise su come raccogliere, usare, conservare e condividere dati personali. Non è un tema “solo da enterprise”: basta gestire un blog, un e-commerce o una web app che tratta dati di residenti nell’Unione Europea per rientrare nell’ambito di applicazione, anche se l’azienda è fuori dall’UE.

Il rischio non è teorico: la non conformità può portare a sanzioni fino a 20 milioni di euro o il 4% del fatturato annuo globale, a seconda di quale valore sia più alto. Oltre alle multe, le autorità possono imporre limiti o divieti al trattamento, ordinare cancellazioni e restringere i trasferimenti di dati.

Cos’è il GDPR, in pratica (per chi gestisce un sito)

Il GDPR è un regolamento UE che definisce responsabilità, principi e diritti legati ai dati personali (qualunque informazione che identifichi o renda identificabile una persona). Per chi fa web significa gestire correttamente moduli contatto, account utenti, pagamenti, tracciamenti, cookie, newsletter, log, analytics, tool di supporto e qualsiasi integrazione che tocchi dati degli utenti.

Capire il tuo ruolo: Controller, Processor, Data Subject

Prima di parlare di checklist, chiarisci “chi sei” nel trattamento. Se decidi finalità e mezzi del trattamento, sei Data Controller (titolare del trattamento). Se tratti dati personali per conto di un altro soggetto, sei Data Processor (responsabile del trattamento). Molte realtà ricoprono entrambe le posizioni in contesti diversi.

• Data Controllers: determinano perché e come i dati personali vengono trattati; hanno la responsabilità primaria della conformità.
• Data Processors: terze parti che trattano dati per conto di un controller; devono adottare misure tecniche e organizzative adeguate.
• Data Subjects: le persone fisiche i cui dati vengono raccolti e trattati; il GDPR tutela i loro diritti.

I 7 principi del GDPR (la bussola della conformità)

La checklist funziona davvero solo se la leghi ai principi base. Sono i criteri con cui un’autorità valuta scelte tecniche, processi e policy:

1. Liceità, correttezza e trasparenza: tratta i dati in modo legittimo e informa chiaramente le persone.
2. Limitazione della finalità: raccogli dati solo per scopi specifici e legittimi.
3. Minimizzazione dei dati: raccogli solo il minimo necessario.
4. Esattezza: mantieni i dati corretti e aggiornati.
5. Limitazione della conservazione: non conservare più a lungo del necessario.
6. Integrità e riservatezza: proteggi i dati da accessi non autorizzati con misure di sicurezza adeguate.
7. Responsabilizzazione (accountability): devi poter dimostrare la conformità.

Checklist completa di conformità GDPR

Di seguito trovi una checklist operativa organizzata per aree. Per ogni punto indico a chi si applica (Controller/Processor) e l’articolo GDPR di riferimento.

Dati (inventario, flussi, policy)

1) Inventario dei tipi di dati personali, origine, condivisioni, finalità e tempi di conservazione

Si applica a: Data Controller, Data Processor.

Devi avere un elenco dei tipi effettivi di informazioni trattate (pensa alle “colonne”: nome, indirizzo, identificativi, ecc.). Per ciascun tipo, documenta: la fonte, con chi lo condividi, lo scopo e per quanto tempo lo conservi.

Riferimento: GDPR Article 30 – Records of processing activities.

2) Mappa dei luoghi in cui conservi dati personali e di come fluiscono tra di essi

Si applica a: Data Controller, Data Processor.

Non limitarti ai database (es. MySQL): includi anche archivi offline come documenti cartacei. L’obiettivo è rappresentare i “data stores” e i flussi tra sistemi (CMS, CRM, piattaforma newsletter, helpdesk, hosting, ecc.).

Riferimento: GDPR Article 30 – Records of processing activities.

3) Privacy Policy pubblica e accessibile che descriva tutti i processi sui dati personali

Si applica a: Data Controller, Data Processor.

La policy deve coprire i processi relativi alla gestione dei dati personali e includere (o linkare) i tipi di dati trattati e dove vengono conservati.

Riferimento: GDPR Article 30 – Records of processing activities.

4) Base giuridica nella Privacy Policy: perché il trattamento è necessario

Si applica a: Data Controller.

Nella policy serve indicare la base giuridica del trattamento (ad esempio esecuzione di un contratto).

Riferimento: GDPR Article 6 – Lawfulness of processing.

Accountability & gestione (ruoli, formazione, contratti, incident response)

5) Nomina di un Data Protection Officer (DPO), quando richiesto

Si applica a: Data Controller, Data Processor.

Il DPO è obbligatorio solo in tre scenari:

1. Il trattamento è svolto da un’autorità o organismo pubblico (esclusi i tribunali quando agiscono nell’esercizio della funzione giurisdizionale).
2. Le attività principali consistono in trattamenti che, per natura/ambito/finalità, richiedono monitoraggio regolare e sistematico degli interessati su larga scala.
3. Le attività principali consistono nel trattamento su larga scala di categorie particolari di dati (dati sensibili) ai sensi dell’Article 9 e di dati relativi a condanne penali e reati ai sensi dell’Article 10.

Se è richiesto, il DPO deve conoscere le linee guida GDPR e anche i processi interni che coinvolgono dati personali.

Riferimento: GDPR Article 37 – Designation of the data protection officer.

6) Consapevolezza GDPR tra decision maker e figure chiave

Si applica a: Data Controller, Data Processor.

Chi prende decisioni su prodotto, marketing, IT e operation deve avere conoscenze aggiornate sulla normativa e sul concetto di “privacy by design/by default” (protezione dei dati fin dalla progettazione e per impostazione predefinita).

Riferimento: GDPR Article 25 – Data protection by design and by default.

7) Sicurezza tecnica aggiornata (misure adeguate al rischio)

Si applica a: Data Controller, Data Processor.

Mantieni le misure di sicurezza tecniche allo stato dell’arte. Per realtà SaaS, usare security checklist come punto di partenza aiuta a non lasciare buchi evidenti nelle misure minime.

Riferimento: GDPR Article 25 – Data protection by design and by default.

8) Formazione dello staff sui rischi di data protection

Si applica a: Data Processor.

Molte vulnerabilità nascono da azioni inconsapevoli di persone che hanno accesso a sistemi interni. La formazione deve rendere evidenti rischi e comportamenti sicuri (phishing, gestione credenziali, condivisione dati, ecc.).

Riferimento: GDPR Article 25 – Data protection by design and by default.

9) Elenco dei sub-processor e menzione in Privacy Policy

Si applica a: Data Processor.

Se ti appoggi a sub-fornitori (sub-processor) per trattare dati per conto del controller, devi informare i clienti del loro uso; il consenso avviene tramite accettazione della Privacy Policy (nei casi in cui la base giuridica sia il consenso).

Riferimento: GDPR Article 28 – Processor.

10) Rappresentante nell’UE per aziende extra-UE che trattano dati di residenti UE

Si applica a: Data Controller, Data Processor.

Se operi fuori dall’UE ma raccogli dati di cittadini/residenti UE, devi designare un rappresentante in uno Stato membro. Deve gestire le questioni relative al trattamento ed essere contattabile dalle autorità locali.

Riferimento: GDPR Article 27 – Representatives of controllers or processors not established in the Union.

11) Gestione e notifica dei data breach a autorità e interessati

Si applica a: Data Controller, Data Processor.

Le violazioni di dati personali vanno notificate entro 72 ore all’autorità competente. Devi indicare quali dati sono stati persi, le conseguenze e le contromisure adottate. A meno che i dati trapelati non fossero cifrati, va informato anche l’interessato (data subject) i cui dati sono stati coinvolti.

Riferimenti: GDPR Article 33 – Notification of a personal data breach to the supervisory authority; GDPR Article 34 – Communication of a personal data breach to the data subject.

12) Contratti con i processor con cui condividi dati (Data Processing Agreement)

Si applica a: Data Controller.

Quando condividi dati con un processor (es. hosting provider), deve esistere un contratto con istruzioni esplicite sul trattamento. Il contratto deve definire: oggetto e durata del trattamento, natura e finalità, tipi di dati personali, categorie di interessati, obblighi e diritti del controller. Gli stessi requisiti valgono quando un processor ingaggia un sub-processor per svolgere attività per conto del controller.

Riferimenti: GDPR Article 28 – Processor; GDPR Article 29 – Processing under the authority of the controller or processor.

Nuovi diritti (processi per richieste utenti)

13) Accesso ai dati personali: richiesta semplice e processo definito

Si applica a: Data Controller, Data Processor.

Devi predisporre un processo chiaro per gestire le richieste di accesso ai dati da parte degli interessati.

Riferimento: GDPR Article 15 – Right of access by the data subject.

14) Rettifica: l’utente deve poter aggiornare i propri dati per mantenerli accurati

Si applica a: Data Controller, Data Processor.

Fornisci un meccanismo per correggere dati inesatti.

Riferimento: GDPR Article 16 – Right to rectification.

15) Cancellazione automatica dei dati non più necessari

Si applica a: Data Controller, Data Processor.

Automatizza la cancellazione quando i dati non servono più. Esempio: eliminare automaticamente i dati di clienti i cui contratti non sono stati rinnovati.

Riferimento: GDPR Article 5 – Principles relating to processing of personal data.

16) Diritto all’oblio: richiesta di cancellazione semplice e processo operativo

Si applica a: Data Controller, Data Processor.

Implementa una procedura per gestire richieste di cancellazione (right to be forgotten).

Riferimento: GDPR Article 17 – Right to erasure (‘right to be forgotten’).

17) Limitazione del trattamento: possibilità di chiedere di “fermarsi”

Si applica a: Data Controller, Data Processor.

Gli utenti possono chiedere di limitare come i loro dati vengono trattati; serve un processo per gestire la richiesta e applicarla concretamente sui sistemi.

Riferimento: GDPR Article 18 – Right to restriction of processing.

18) Portabilità: consegnare i dati all’utente o a terzi in formato machine-readable

Si applica a: Data Controller, Data Processor.

La portabilità implica fornire i dati in un formato strutturato, di uso comune e leggibile da macchina, per consentire trasferimento a un altro controller senza ostacoli.

Riferimento: GDPR Article 20 – Right to data portability.

19) Opposizione a profiling/decisioni automatizzate (se applicabile)

Si applica a: Data Controller.

Vale solo se svolgi attività di profiling o decision making automatizzato che può avere impatti sull’utente: in quel caso deve essere semplice opporsi.

Riferimento: GDPR Article 22 – Automated individual decision-making, including profiling.

Consenso (quando la base giuridica è il consenso)

20) Il consenso deve essere libero, specifico, informato e revocabile

Si applica a: Data Controller.

Se il sito raccoglie dati personali sulla base del consenso, rendi ben visibile il link alla Privacy Policy e richiedi accettazione di termini e condizioni in modo esplicito. Il consenso richiede un’azione affermativa: niente checkbox pre-selezionate.

Riferimento: GDPR Article 7 – Conditions for consent.

21) Privacy Policy in linguaggio chiaro e comprensibile

Si applica a: Data Controller.

La policy deve essere semplice e non “nascondere” intenzioni o implicazioni. In caso contrario l’accordo può diventare inefficace. Se fornisci servizi a minori, il testo deve essere comprensibile anche per loro.

Riferimento: GDPR Article 7.2 – Conditions for consent.

22) Revocare il consenso deve essere facile quanto concederlo

Si applica a: Data Controller.

Il recesso non deve essere più complicato dell’opt-in iniziale: stessa immediatezza, stessa chiarezza.

Riferimento: GDPR Article 7.3 – Conditions for consent.

23) Dati dei minori: verifica età e consenso del tutore legale

Si applica a: Data Controller.

Per minori di 16 anni è necessario assicurarsi che il consenso sia dato da un tutore legale. Se la raccolta avviene via web, bisogna provare a verificare che l’approvazione arrivi davvero dal tutore e non dal minore.

Riferimento: GDPR Article 8 – Conditions applicable to child’s consent in relation to information society services.

24) Aggiornamenti della Privacy Policy: informare i clienti esistenti

Si applica a: Data Controller.

Quando modifichi la policy, avvisa gli utenti già acquisiti (ad esempio via email), spiegando in modo semplice cosa è cambiato.

Riferimento: GDPR Article 7 – Conditions for consent.

Follow-up (conformità come processo continuo)

25) Revisione periodica: policy, efficacia, cambiamenti nei trattamenti e nei Paesi coinvolti

Si applica a: Data Controller.

Rivedi regolarmente policy e procedure, verifica che siano efficaci, aggiornale se cambiano i trattamenti o se cambiano le condizioni nei Paesi verso cui fluiscono i dati.

Riferimento: GDPR Article 25 – Data protection by design and by default.

Casi speciali

26) DPIA: sapere quando è obbligatoria una valutazione d’impatto (alto rischio)

Si applica a: Data Controller.

Vale per aziende che effettuano trattamenti su larga scala, profiling e altre attività ad alto rischio per diritti e libertà delle persone. In questi casi serve una Data Protection Impact Assessment (DPIA).

Riferimento: GDPR Article 35 – Data protection impact assessment.

27) Trasferimenti extra-UE: solo verso Paesi con protezione adeguata (e disclosure in policy)

Si applica a: Data Controller, Data Processor.

Trasferisci dati fuori dall’UE solo verso Paesi con livello di protezione adeguato e dichiara questi flussi transfrontalieri nella Privacy Policy. Se trasferisci verso Paesi non “adeguati”, usa Standard Contractual Clauses (SCCs) o Binding Corporate Rules (BCRs).

Riferimento: GDPR Article 45 – Transfers on the basis of an adequacy decision.

Diritti dell’interessato (Data Subject Rights) da coprire sempre

Oltre ai punti operativi sopra, conviene “mappare” i diritti che il GDPR garantisce ai Data Subjects e verificare che sito, processi e policy li rendano esercitabili.

Diritto a informazioni trasparenti

Il controller deve adottare misure adeguate per fornire informazioni sul trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio chiaro e semplice (ancora di più se rivolto a minori). Le informazioni possono essere fornite per iscritto o con altri mezzi, anche elettronici.

Riferimento: GDPR Article 12.

Informazioni specifiche quando i dati sono raccolti direttamente

Devono includere:

1. Identità e contatti del controller
2. Contatti del DPO (se applicabile)
3. Finalità del trattamento e base giuridica
4. Legittimi interessi perseguiti (se applicabile)
5. Destinatari o categorie di destinatari dei dati personali
6. Informazioni sui trasferimenti verso Paesi terzi

Riferimento: GDPR Article 13.

Informazioni specifiche quando i dati non sono raccolti direttamente

Quando i dati arrivano da altre fonti, devi fornire informazioni simili, includendo le categorie di dati personali coinvolte e la fonte.

Riferimento: GDPR Article 14.

Diritto di accesso

L’interessato può ottenere conferma dell’esistenza del trattamento e accesso a:

• Finalità del trattamento
• Categorie di dati personali
• Destinatari a cui i dati sono stati o saranno comunicati
• Periodo di conservazione previsto
• Esistenza dei diritti di rettifica, cancellazione, limitazione e opposizione
• Diritto di reclamo presso un’autorità di controllo
• Informazioni sulla fonte dei dati (se non raccolti dall’interessato)
• Esistenza di decisioni automatizzate, incluso il profiling

Riferimento: GDPR Article 15.

Diritto di rettifica

Diritto a ottenere senza ingiustificato ritardo la correzione di dati inesatti e il completamento di dati incompleti.

Riferimento: GDPR Article 16.

Diritto alla cancellazione (right to be forgotten)

Diritto a ottenere la cancellazione quando:

1. I dati non sono più necessari per la finalità originaria
2. Si ritira il consenso e non esiste un’altra base giuridica
3. Ci si oppone al trattamento e non ci sono motivi legittimi prevalenti
4. I dati sono stati trattati illecitamente
5. I dati devono essere cancellati per adempiere un obbligo legale
6. I dati sono stati raccolti in relazione a servizi della società dell’informazione offerti a un minore

Riferimento: GDPR Article 17.

Diritto alla limitazione del trattamento

Diritto a ottenere la limitazione quando:

1. Si contesta l’esattezza dei dati (per il periodo necessario alla verifica)
2. Il trattamento è illecito e ci si oppone alla cancellazione
3. Il controller non ha più bisogno dei dati ma servono all’interessato per accertare/esercitare/difendere un diritto in sede giudiziaria
4. Ci si è opposti al trattamento in attesa della verifica dei motivi legittimi prevalenti

Riferimento: GDPR Article 18.

Diritto a essere notificati su rettifica, cancellazione o limitazione

Il controller comunica rettifica/cancellazione/limitazione a ogni destinatario a cui i dati sono stati comunicati, salvo sia impossibile o richieda sforzi sproporzionati.

Riferimento: GDPR Article 19.

Diritto alla portabilità dei dati

Diritto a ricevere i dati in formato strutturato, di uso comune e leggibile da macchina, e a trasmetterli a un altro controller senza impedimenti.

Riferimento: GDPR Article 20.

Diritto di opposizione

Diritto di opporsi, per motivi legati alla propria situazione particolare, in qualsiasi momento, a trattamenti basati su legittimo interesse o interesse pubblico, incluso il profiling.

Riferimento: GDPR Article 21.

Diritto a non essere sottoposti a decisioni automatizzate

Diritto a non essere soggetti a decisioni basate unicamente su trattamento automatizzato (incluso il profiling) che producono effetti giuridici o impatti significativi simili.

Riferimento: GDPR Article 22.

Passi pratici di implementazione (operativi, non solo “policy”)

1) Mettere in sicurezza il sito

• Installa un certificato SSL (HTTPS) per cifrare i dati tra browser e server
• Usa password robuste per tutti gli account admin
• Aggiungi protezioni extra per la gestione delle informazioni di pagamento
• Usa un provider CDN con protezione contro attacchi DDoS
• Distribuisci software anti-virus per prevenire accessi non autorizzati
• Minimizza la raccolta dati: prendi solo ciò che è necessario
• Pseudonimizza o anonimizza i dati personali prima di salvarli
• Esegui backup in più location sicure
• Cancella i dati quando non servono più

2) Implementare un cookie consent banner fatto bene

Se il sito usa cookie non essenziali, devi ottenere consenso esplicito prima di attivarli.

Requisiti pratici del banner:

• Bloccare i cookie fino al consenso: carica solo quelli necessari finché l’utente non sceglie
• Linguaggio semplice e chiaro: cosa usi e perché
• Pulsanti Accetta/Rifiuta con pari evidenza: niente “dark pattern” che nascondono il rifiuto
• Opzioni granulari: categorie di cookie selezionabili
• Revoca facile: un modo immediato per cambiare preferenze in seguito
• Registrazione del consenso: salva scelte e timestamp per dimostrare la conformità

3) Revisionare i form del sito (contatto, checkout, registrazione, supporto)

Ogni form che raccoglie dati personali deve essere impostato in modo coerente con GDPR:

• Inserisci una nota privacy che spieghi perché ti servono i dati
• Aggiungi una checkbox non preselezionata per il consenso (quando la base giuridica è il consenso)
• Prevedi un opt-in separato per comunicazioni marketing
• Linka la Privacy Policy
• Usa linguaggio chiaro e semplice

4) Ottenere consenso per email marketing (newsletter e automazioni)

• Opt-in chiaro: checkbox non selezionata specifica per il consenso email
• Double opt-in: conferma dell’iscrizione via email
• Registro del consenso: log di data, ora, metodo e finalità
• Link di disiscrizione visibile: one-click unsubscribe in ogni email
• Gestione rapida delle disiscrizioni: idealmente entro 24 ore

5) Prepararsi ai data breach (prima che succedano)

• Notifica all’autorità entro 72 ore
• Notifica agli utenti coinvolti se c’è alto rischio per i loro diritti
• Documentazione completa per accountability
• Aggiornamento delle policy e delle misure per prevenire nuovi incidenti

Considerazioni specifiche per WordPress

Su WordPress il GDPR non è “un plugin e via”: è un insieme di scelte su configurazione, stack e integrazioni. Detto questo, ci sono alcune attenzioni ricorrenti per chi gestisce siti WordPress:

• Mantieni aggiornati WordPress core, temi e plugin
• Usa plugin di contact form che supportino checkbox di consenso in modo corretto
• Installa una soluzione solida per il cookie consent
• Usa una soluzione analytics GDPR-compliant
• Rivedi le pratiche di raccolta dati dei plugin (tracking, embed, font esterni, mappe, ecc.)
• Implementa funzionalità di export/cancellazione dati utente

Sanzioni GDPR: cosa rischi davvero

Le sanzioni sono strutturate in due fasce:

• Violazioni “lower tier”: fino a 10 milioni di euro o 2% del fatturato annuo globale
• Violazioni “upper tier”: fino a 20 milioni di euro o 4% del fatturato annuo globale

Oltre alle multe, le autorità possono anche emettere avvertimenti, vietare temporaneamente o permanentemente il trattamento, ordinare cancellazioni, e restringere trasferimenti di dati.

FAQ (domande ricorrenti)

Cos’è una GDPR compliance checklist?

È un elenco di azioni da completare per rispettare il GDPR. Serve a individuare gap e aree di miglioramento nelle pratiche di protezione dei dati.

Chi è responsabile della conformità GDPR?

Il data controller (tipicamente il titolare del sito/azienda) è il principale responsabile. Anche i data processor hanno obblighi di conformità.

Il GDPR si applica alle aziende USA?

Sì, se trattano dati personali di residenti UE, indipendentemente da dove si trovano.

Qual è la sanzione massima per non conformità?

Fino a 20 milioni di euro o 4% del fatturato annuo globale, a seconda di quale valore sia più alto.

Serve un cookie banner?

Sì, se il sito utilizza cookie non essenziali e hai visitatori nell’UE.

Mi serve un Data Protection Officer (DPO)?

Solo se: (1) sei un’autorità pubblica, (2) le attività principali richiedono monitoraggio sistematico su larga scala, o (3) tratti dati sensibili su larga scala.