#gdpr#compliance#privacy#small-business

GDPR e cookie per i siti delle piccole imprese: una checklist in italiano semplice

Cosa richiede davvero il GDPR al sito di una piccola impresa — informativa privacy, banner cookie, basi giuridiche, minimizzazione — spiegato senza allarmismi.

Brimky Team4 min read
Illustrazione di scudo per la privacy e biscotto che rappresenta la conformità GDPR dei siti delle piccole imprese

Se la tua attività serve clienti in qualsiasi punto dell'Unione Europea, il GDPR si applica — sì, anche al consulente individuale con un solo modulo di contatto. La buona notizia: è molto meno complicato di quanto l'industria della compliance voglia farti credere.

Questa checklist è ciò di cui un sito di piccola impresa ha davvero bisogno per essere conforme al GDPR nel 2026. Niente allarmismi, niente titoli sui '20 milioni di multa', niente informative da 47 pagine copiate da una multinazionale. Solo le parti che contano.

Cosa dice davvero il GDPR (in due paragrafi)

Il GDPR dice: se raccogli dati personali di qualcuno nell'UE devi (a) avere un motivo legale, (b) dire alla persona cosa ci fai, (c) conservarli in sicurezza e solo per il tempo necessario e (d) consentirne consultazione o cancellazione. Questo è tutto lo spirito.

Dato personale è qualsiasi cosa che identifichi una persona — nome, email, telefono, indirizzo IP, persino un ID di cookie. Appena un visitatore apre il sito ne stai già raccogliendo una parte. Per questo ogni sito moderno serve almeno di un'informativa privacy e (nella maggior parte dei casi) di un banner cookie.

Le cinque cose che ogni sito di piccola impresa deve avere

  1. Un'informativa privacy che dica quali dati raccogli, perché, per quanto tempo li conservi e con chi li condividi. Linkata dal footer di ogni pagina.
  2. Un banner cookie se imposti UN SOLO cookie non essenziale (analytics, pixel marketing, YouTube embedded). 'Essenziale' = strettamente necessario al funzionamento — sessione, lingua, token CSRF.
  3. Una base giuridica per ogni tipo di trattamento. Per la maggior parte dei siti: 'consenso' per il marketing, 'contratto' per gli ordini, 'legittimo interesse' per la prevenzione frodi. Documenta cosa si applica dove.
  4. Sicurezza ragionevole: HTTPS ovunque, password admin robuste, backup, un hosting che non perda dati.
  5. Un canale perché le persone ti contattino sui loro dati. Di solito un indirizzo come [email protected] letto da un essere umano.

Banner cookie: dove si sbaglia di più

Un banner conforme ha quattro proprietà. Se al tuo ne manca una, correggi.

  • Carica prima che venga impostato qualsiasi cookie non essenziale. Se lo script analytics parte prima del clic su 'accetta', il banner è decorativo — non conforme.
  • Rifiutare deve essere facile come accettare. Un pulsantone verde 'Accetta tutto' accanto a un linkino grigio 'Gestisci' è l'esempio da manuale per cui le autorità hanno iniziato a multare.
  • Consenso granulare per categorie — analytics, marketing, personalizzazione. L'utente può accettarne alcune e rifiutarne altre.
  • Il consenso è registrato. Se qualcuno accetta analytics lunedì, devi poterne mostrare la prova venerdì.

Se il tuo sito usa Google Analytics, Facebook Pixel, Hotjar, YouTube embedded o una chat di terze parti, ti serve il banner. Se non usa nulla di tutto ciò e imposta solo un cookie di sessione per il login, no.

Informativa privacy: cosa scrivere davvero

Un'informativa di una piccola impresa può stare in una pagina. Copri questi sei punti in italiano semplice.

  • Chi sei (ragione sociale, indirizzo, email di contatto).
  • Quali dati raccogli (es. 'nome ed email dal modulo di contatto; IP e dati di navigazione, anonimizzati dopo 30 giorni').
  • Perché li raccogli (erogare il servizio, rispondere alle richieste, analytics).
  • Per quanto li conservi (es. 'invii del modulo: 12 mesi; account: finché esiste').
  • Con chi li condividi (hosting, provider email, strumento analytics — elencali).
  • I loro diritti e come esercitarli (accesso, rettifica, cancellazione, scrivere a privacy@…).

Copiare un modello lungo da un generatore gratuito e cambiare solo il nome dà un'informativa tecnicamente valida ma illeggibile. La tua informativa è anche un segnale di fiducia. Chi la legge dovrebbe pensare 'questi mi rispettano' — non 'non ho idea di cosa facciano con i miei dati'.

L'informativa GDPR più corta che abbiamo mai pubblicato era di 600 parole. Copriva tutto. La prima bozza era di 3.800 parole e non diceva nulla di utile.

Note di revisione compliance Brimky

Minimizzazione dei dati: il trucco di compliance a basso costo

Metà della conformità è raccogliere meno. Ogni campo del modulo è un rischio. Per ogni campo chiediti: uso davvero questo dato o lo chiedo perché la libreria del form lo includeva?

  • Modulo di contatto: nome, email, messaggio. Forse telefono se il richiamo è il tuo follow-up principale. Stop.
  • Modulo di prenotazione: solo ciò che serve all'appuntamento. Chiedere la data di nascita per una piega non è minimizzare.
  • Iscrizione newsletter: solo email. 'Nome' va bene; 'ruolo aziendale' è troppo.
  • Tracciamento cookie: solo le categorie che usi davvero. Niente campagne remarketing, niente cookie remarketing.

Errori comuni che fanno multare le piccole imprese

  • Cookie analytics prima del consenso. Soluzione: far attendere il consenso all'analytics o usare un'alternativa senza cookie.
  • Caselle di consenso pre-spuntate. Sempre opt-in, mai opt-out.
  • 'Accetta tutto' senza un 'Rifiuta' equivalente. Le autorità nel 2025 hanno smesso di essere pazienti.
  • Base giuridica vaga. 'Trattiamo i dati sulla base del legittimo interesse' non basta. Dichiara QUALE interesse, in QUALE caso.
  • Nessuna cancellazione reale su richiesta. La richiesta deve portare alla cancellazione entro 30 giorni, non a una risposta cortese.

Dove entra Brimky

Ogni sito Brimky arriva con un banner che rispetta 'rifiuta', un'informativa privacy di partenza da personalizzare, HTTPS, e un hosting registrato come responsabile UE. La metà tecnica della conformità è risolta al lancio. La metà di informativa e consensi è tua — e la attraversiamo con te nell'onboarding, non davanti a un modello vuoto.

Want a site like this for your clinic?

Brimky builds and hosts modern websites for dentists and small businesses. Pick a template, pay once, and we handle the rest.

Browse templates →