Come adeguare il tuo sito WordPress al GDPR

Gabriele Iacovone

Il GDPR (Regolamento UE 2016/679) non è solo burocrazia, ma una tutela dei dati personali.

Se raccogli dati – moduli di contatto, iscrizioni alla newsletter, analytics, pixel Facebook – devi dimostrare come, dove e perché li tratti.

Un banner cookie “fai da te” può costarti multe salate (fino a 20 milioni o il 4% del fatturato!) e non garantisce la corretta protezione dei dati dei tuoi utenti.

I 10 step fondamentali per rendere il sito GDPR compliant:

1. Mappatura dei trattamenti

Questa mappatura è la bussola che ti guiderà nel resto dell’adeguamento – senza di essa rischi di confonderti e dimenticare qualcosa.

A) Elenca ogni funzionalità che raccoglie dati:

  • Moduli di contatto (tipo Contact Form 7, Gravity Forms…)
  • Iscrizione newsletter (Mailchimp, Sendinblue…)
  • Analytics (Google Analytics, Hotjar…)
  • Widget social (Like button di Facebook, commenti di Disqus…)

B) Definisci per ciascuno:

  • Dati che raccoglie (nome, email, IP…)
  • Finalità (statistica, marketing, servizio…)
  • Base giuridica (consenso, esecuzione contratto…)

2. Privacy policy personalizzata (non copia-incolla)

La Privacy Policy non è un testo standard da copiare su ogni sito, per il semplice motivo che siti diversi raccolgono dati diversi e utilizzano servizi diversi (i quali potrebbero raccogliere dati).

Deve quindi essere su misura per il tuo sito.

Ecco cosa non può mancare:

  • Titolare e Responsabile: chi sei (dati dell’azienda o libero professionista).
  • Categorie di dati: elenco chiaro (es. “dati anagrafici, dati di navigazione…”).
  • Finalità e base giuridica: perché e con quale titolo legale tratti.
  • Modalità di trattamento: conservazione, sicurezza, trasferimenti.
  • Diritti dell’utente: accesso, rettifica, cancellazione, portabilità.
  • Tempi di conservazione: per quanto conservi ciascuna categoria.
  • Data breach: procedura di notifica entro 72 ore.

Guarda la mia privacy policy per farti un’idea.

Deve essere attivo il blocco preventivo dei cookie di terze parti finché l’utente non sceglie.

Questo significa che devi verificare che i servizi sia interni che di terze parti non raccolgano dati prima che l’utente abbia dato il consenso. Allo stesso modo, devono essere bloccati se l’utente cambia le sue preferenze sui cookie.

immagine banner cookie

Banner dei cookie

  • Deve permettere di accettare, rifiutare o chiudere il banner senza esprimere alcuna preferenza.
  • I pulsanti all’interno del banner devono avere lo stesso stile e non avere distinzioni di colori e/o dimensioni tali da influenzare l’utente sulla scelta dei cookie da accettare.
  • Deve registrare in backend tutte le scelte (log dei consensi).
  • Deve essere presente nel footer un link/pulsante per modificare in qualsiasi momento le preferenze sui cookie.
  • Le preferenze sui cookie devono essere salvate in un cookie per un massimo di 180 giorni.

A) Deve essere una pagina a parte, separata dalla privacy policy.

B) Deve contenere tutte le informazioni sui dati raccolti e le tipologie di cookie presenti sul sito divisi per tipologia, preferibilmente:

  • Cookie Funzionali (quelli strettamente necessari al funzionamento del sito, di solito sono sempre attivi).
  • Cookie Statistici (utilizzati da servizi come Google Analytics per registrare le visite al sito).
  • Cookie di Marketing (utilizzati da servizi di terze parti, es: Pixel di Facebook per profilare gli utenti).

Guarda la mia cookie policy per farti un’idea di come dovrebbe essere.

immagine forms gdpr ready

5. Form di contatto e newsletter

Ogni form che raccoglie dati personali deve:

  • Avere una checkbox non preselezionata per il consenso, con link alla Privacy Policy.
  • Tutti gli invii dei form devono essere salvati nel database del sito.
  • In caso di newsletter, attivare il Double Opt-In: l’utente conferma via email prima di essere aggiunto.

6. eCommerce con Woocommerce

Se vendi online sono necessari ulteriori controlli:

  • Controlla i campi del checkout: servono davvero tutti?
  • Aggiungi link alla pagina “Termini e condizioni” nella pagina di checkout.
  • Inserisci un’informativa breve nel carrello (“I tuoi dati saranno usati per gestire l’ordine…”).

Ricorda: ogni dato raccolto deve avere uno scopo preciso e comunicato all’utente.

Nel footer, inserisci link sempre visibili a:

  • Privacy Policy
  • Cookie Policy
  • Termini e Condizioni (se è un sito eCommerce o se vendi prodotti e servizi direttamente dal sito).

Questo garantisce che l’utente possa rileggere le informative in qualsiasi momento, anche dopo aver rifiutato o accettato.

8. Hosting e CMS GDPR-friendly

La piattaforma che ospita il tuo sito conta più di quanto pensi e dovrebbe avere queste caratteristiche:

  • Server in UE: per evitare complicazioni sui trasferimenti extra-UE.
  • Backup automatici e cifratura SSL/TLS.
  • Buone pratiche di sicurezza e firewall.

9. Data breach (furto di dati)

Nessun sito è immune da attacchi informatici o bug. Il furto di dati e siti bucati sono all’ordine del giorno.

Al fine di gestire in modo ottimale questa eventualità, pianifica:

  • Notifica interna: chi avvisa e come.
  • Comunicazione all’Autorità: entro 72 ore dal rilevamento.
  • Informativa agli interessati: se il rischio per i loro diritti è elevato.

Un buon sistema di sicurezza e un sito correttamente aggiornato e manutenuto riducono drasticamente la possibilità di furto di dati.

Per evitare questo tipo di problemi, ti consiglio di dare un’occhiata al mio servizio di manutenzione siti WordPress 😉.

10. Aggiornamento cookie policy

Ultimo, ma non meno importante: la cookie policy richiede aggiornamenti quando:

  • Cambiano servizi o aggiungi nuove funzionalità sul sito.

Conclusione e checklist finale

Riassumendo, per mettere a norma GDPR un sito WordPress devi:

  1. Mappare tutti i trattamenti.
  2. Creare privacy policy su misura.
  3. Installare e configurare il cookie banner.
  4. Creare la pagina cookie policy.
  5. Adeguare i form di contatto.
  6. Adeguare la pagina checkout (se sito eCommerce).
  7. Inserire link alle policy sempre visbili.
  8. Scegliere un hosting e CMS GDPR-friendly.
  9. Gestire eventuali data breach.
  10. Aggiornare la cookie policy.

Spero che questo articolo ti aiuti a mettere il tuo sito WordPress a prova di GDPR in modo pratico e senza fronzoli.

Gabriele Iacovone

Web Designer & WordPress Developer

Web Designer e Sviluppatore WordPress da oltre 10 anni, aiuto aziende e professionisti a convertire i visitatori in clienti.

Leggi la mia storia

👋

Hai bisogno di adeguare il tuo sito web al GDPR?

Richiedi una cosulenza su misura