GDPR e sito web nel 2026: guida alla conformità per PMI europee
Una PMI raggiunge la conformità GDPR spuntando 8 punti: Consent Mode v2 implementato, banner cookie senza dark pattern, registro dei trattamenti aggiornato, hosting UE verificato, DPO designato se obbligatorio, diritti utente operativi (accesso/cancellazione), tempi di conservazione documentati e privacy policy accessibile. Le sanzioni cumulate del 2024-2025 hanno superato il miliardo di euro per Meta, TikTok e Uber.
Il GDPR compie 8 anni nel 2026, ma il 70% dei siti delle PMI europee resta parzialmente non conforme secondo l'indagine Cookiebot 2025. Tra l'arrivo obbligatorio del Consent Mode v2 a marzo 2024, il DSA, la fine del Privacy Shield e la sua resurrezione come Data Privacy Framework, e le nuove decisioni sui dark pattern, il terreno cambia di continuo. Ecco la checklist applicata da OptionWeb su tutti i siti cliente nel 2026.
1. Google Consent Mode v2 obbligatorio
Dal 6 marzo 2024 Google richiede l'implementazione di Consent Mode v2 per usare Google Ads e Google Analytics con utenti europei. Senza Consent Mode v2 le campagne non possono più utilizzare i dati SEE per ottimizzare e le conversioni risultano fortemente sottostimate.
Concretamente bisogna trasmettere a Google 7 parametri di consenso: ad_storage, ad_user_data, ad_personalization, analytics_storage, functionality_storage, personalization_storage, security_storage. Una CMP (Consent Management Platform) certificata Google lo gestisce automaticamente.
| CMP | Prezzo mensile | Pro | Contro |
|---|---|---|---|
| Cookiebot | 12-39 € / 100k visualizzazioni | Solido, certificato Google, scansione automatica cookie | Costoso oltre 100k visualizzazioni, UI datata |
| Didomi | Su richiesta (~80-300 €) | Riferimento enterprise, conformità multi-paese | Costoso per PMI |
| Axeptio | 9-49 € | UX moderna, tono amichevole, sede UE | Meno granularità tecnica |
| Iubenda | 5-30 € | Buon rapporto qualità/prezzo, multilingua | Documentazione meno chiara |
| CMP open-source (Klaro) | 0 € | Self-hosted, gratuita, GDPR compatibile | Manutenzione manuale, niente scansione automatica |
Raccomandazione di OptionWeb: Axeptio per PMI fino a 100k visualizzazioni/mese (UX, prezzo, sede UE), Cookiebot oltre se serve scansione automatica multi-dominio.
2. Banner cookie senza dark pattern
Il Garante italiano e la CNIL francese hanno moltiplicato le sanzioni sui banner cookie nel 2024-2025. Pattern esplicitamente vietati: pulsante 'Rifiuta tutto' nascosto o meno visibile di 'Accetta', caselle pre-spuntate per cookie non essenziali, scroll della pagina come consenso implicito, chiusura del banner senza scelta equiparata ad accettazione.
Regola rigida: 'Accetta tutto' e 'Rifiuta tutto' allo stesso livello visivo — stessa dimensione, stesso colore, stessa posizione. Il rifiuto deve essere semplice quanto l'accettazione. Una PMI francese ha pagato 8.000 € di sanzione nel 2024 solo perché il pulsante 'Rifiuta' era due volte più piccolo.
3. Registro dei trattamenti
Il registro delle attività di trattamento è obbligatorio per qualsiasi organizzazione con più di 250 dipendenti, e fortemente raccomandato sotto. Per una PMI sottoposta a controllo è il primo documento richiesto dal Garante.
Per ogni trattamento (newsletter, modulo di contatto, pagamento, selezione del personale, contabilità) documentare:
- Finalità — Perché si raccolgono questi dati (es. inviare una newsletter mensile).
- Base giuridica — Consenso, contratto, obbligo legale, legittimo interesse, missione di interesse pubblico o interessi vitali.
- Categorie di dati — Email, nome, IP, comportamento, dati bancari, ecc.
- Categorie di interessati — Prospect, clienti, dipendenti, fornitori, candidati.
- Destinatari — Chi riceve i dati: team interno, responsabili (Mailchimp, Stripe), partner.
- Trasferimenti extra-UE — Se applicabile: paese, base giuridica (SCC, BCR, decisione di adeguatezza).
- Tempi di conservazione — Attivo + archiviazione intermedia + archiviazione legale.
- Misure di sicurezza — Cifratura, controllo accessi, backup, formazione del team.
Formato pratico: tabella Excel o Notion, aggiornata ad ogni nuovo trattamento. Il Garante fornisce un modello gratuito. Calcolare 1-2 giorni di lavoro per costruirlo la prima volta.
4. Hosting e trasferimenti extra-UE
Dalla sentenza Schrems II (luglio 2020), ospitare un sito con utenti europei su AWS US, Google Cloud US o Azure US senza Standard Contractual Clauses + analisi d'impatto = chiara non conformità. Il Data Privacy Framework UE-USA di luglio 2023 ha stabilizzato la situazione per gli hosting USA certificati DPF, ma il rischio residuo permane (ricorso d'annullamento pendente).
Soluzione semplice per PMI: hosting in UE (AWS Frankfurt, OVH, Hetzner, Scaleway, Verpex EU). Nessun trasferimento extra-UE = nessuna discussione. È la nostra scelta di default in OptionWeb con Verpex (datacenter Paesi Bassi).
Per i responsabili USA imprescindibili (Stripe, Mailchimp, HubSpot, Google Workspace) bisogna:
- Verificare la certificazione DPF del responsabile su dataprivacyframework.gov
- Firmare un DPA (Data Processing Agreement) con loro (di solito automatico nelle ToS)
- Verificare le SCC (Standard Contractual Clauses) allegate al DPA
- Documentare nel registro dei trattamenti il trasferimento e la sua base giuridica
- Menzionare esplicitamente il trasferimento nella privacy policy
5. DPO: obbligatorio o no?
Il Responsabile della Protezione dei Dati (DPO) è obbligatorio solo in 3 casi: autorità pubblica, monitoraggio sistematico su larga scala di persone, trattamento su larga scala di dati sensibili (salute, opinioni, religione, biometria). Per il 95% delle PMI non è obbligatorio.
Ma è fortemente consigliato per le PMI B2C o e-commerce: un DPO esterno condiviso costa 200-500 €/mese e dà copertura legale in caso di controllo. Tre opzioni:
| Opzione | Costo | Per chi |
|---|---|---|
| DPO interno (titolare o HR formato) | Formazione 800-2000 € | PMI 10-50 persone, trattamenti semplici |
| DPO esterno condiviso | 200-500 €/mese | PMI B2C o e-commerce con dati utenti |
| DPO interno dedicato | Stipendio 50-80k €/anno | Aziende 100+ dipendenti o trattamenti sensibili |
6. Diritti degli utenti (accesso, cancellazione)
Ogni utente ha 6 diritti azionabili: accesso, rettifica, cancellazione (diritto all'oblio), limitazione, portabilità, opposizione. Una PMI deve trattare una richiesta entro 1 mese (estendibile a 2 mesi per casi complessi con motivazione).
Setup minimo: indirizzo email dedicato (privacy@vostrodominio.eu), modulo di contatto etichettato 'Richiesta GDPR', procedura interna documentata per identificare la richiesta, recuperare i dati, esportarli o cancellarli e notificare l'utente.
7. Tempi di conservazione
Conservare i dati 'per ogni evenienza' = violazione GDPR. Ogni categoria di dati deve avere un tempo di conservazione giustificato. Modello per PMI:
| Categoria | Attivo | Archiviazione intermedia | Legale |
|---|---|---|---|
| Prospect (modulo contatto) | 3 anni dall'ultimo contatto | — | — |
| Clienti | Durata rapporto + 3 anni | 5 anni | 10 anni (fatture) |
| Iscritti newsletter | Finché iscritti | 1 anno dopo cancellazione | — |
| CV non selezionati | 2 anni (salvo richiesta cancellazione) | — | — |
| Log server (sicurezza) | Max 1 anno | — | — |
| Cookie analytics | Max 13 mesi | — | — |
8. Privacy policy accessibile
Pagina dedicata, link nel footer di ogni pagina, redatta in linguaggio chiaro (non legalese illeggibile). Deve contenere: identità del titolare del trattamento, finalità e basi giuridiche, tempi di conservazione, diritti degli utenti e modalità di esercizio, eventuali trasferimenti extra-UE, elenco dei responsabili terzi (Google Analytics, Mailchimp, ecc.), DPO se designato, diritto di reclamo all'autorità (Garante per la protezione dei dati personali in Italia, CNIL in Francia).
Aggiornare a ogni nuovo responsabile o nuova finalità. Data dell'ultimo aggiornamento visibile in alto.
Sanzioni recenti: cosa ricordare
Le sanzioni GDPR hanno superato il miliardo di euro cumulato nel 2024 solo per Meta (1,2 mld €), TikTok (345 M€) e Uber (290 M€). Per le PMI le sanzioni restano più contenute ma le motivazioni ricorrenti sono significative:
- Pulsante 'Rifiuta' nascosto o più piccolo — Sanzioni ripetute tra 5.000 € e 100.000 € nel 2024.
- Newsletter senza double opt-in verificato — Caso tipico: 10.000 € di sanzione per una PMI che ha importato una lista senza prova di consenso.
- Tempi di conservazione eccessivi — Conservare i CV 10 anni 'per ogni evenienza' = sanzione. Limite raccomandato 2 anni.
- Trasferimento a responsabile USA senza SCC — Sanzione 2025 contro una PMI che usava uno strumento marketing USA non DPF: 25.000 €.
- Privacy policy assente o incompleta — Sanzione minima 5.000 € quasi sistematica in caso di reclamo.
Read next
Accessibilità web ed European Accessibility Act 2025: guida WCAG 2.2
L'European Accessibility Act è entrato in vigore il 28 giugno 2025. Quali aziende sono coinvolte, quali obblighi WCAG 2.2 e 2.4, e come fare audit e correggere un sito PMI nel 2026.
Hosting web in Belgio nel 2026: la guida completa per PMI
Come scegliere un host web belga nel 2026 — criteri di selezione, costi reali, conformità GDPR, datacenter locali, prestazioni. Guida pratica di OptionWeb.
Local SEO e Google Business Profile per PMI belghe nel 2026
Come posizionarsi nel local pack di Google: ottimizzazione di Google Business Profile, citazioni NAP, review velocity, schema LocalBusiness e strategia specifica per le PMI belghe.