Nel 2026, qualsiasi azienda o organizzazione che raccoglie dati personali tramite il proprio sito web è tenuta a pubblicare un’informativa sulla privacy. Il RGPD lo impone, e il Garante per la protezione dei dati personali lo controlla attivamente. Eppure molte informative sulla privacy restano incomplete, vaghe o puramente decorative. Un’informativa sulla privacy che non contiene tutte le informazioni richieste dagli articoli 13 e 14 del RGPD equivale giuridicamente a non avere alcuna informativa. Per comprendere l’intera portata dei rischi, consulta il nostro articolo sulla politica sulla privacy obbligatoria: rischi e sanzioni.
Questo articolo illustra uno per uno gli elementi che la tua informativa sulla privacy deve obbligatoriamente contenere per essere conforme al RGPD nel 2026.
Perché ogni elemento conta
Gli articoli 13 e 14 del RGPD stabiliscono un elenco preciso delle informazioni che il titolare del trattamento deve fornire agli interessati. L’articolo 12 aggiunge che tali informazioni devono essere comunicate in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
Non si tratta di una raccomandazione, ma di un obbligo di legge. Un’informativa sulla privacy incompleta costituisce una violazione di questi articoli, sanzionabile ai sensi dell’articolo 83 del RGPD con ammende fino a 20 milioni di euro o al 4 % del fatturato mondiale annuo. In Italia, il RGPD è integrato dal Codice in materia di protezione dei dati personali (D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018), noto come Codice Privacy, che prevede disposizioni nazionali specifiche. Il Garante della Privacy ha sanzionato in più occasioni aziende la cui informativa esisteva ma non conteneva tutti gli elementi obbligatori.
Per verificare se la tua organizzazione è soggetta a questi obblighi, consulta la nostra guida GDPR: chi è veramente coinvolto.
Gli elementi obbligatori di un’informativa sulla privacy
Ecco gli 11 elementi che ogni informativa sulla privacy conforme al RGPD deve contenere. Ciascuno corrisponde a un requisito specifico degli articoli 13 o 14 del regolamento.
1. Identità e dati di contatto del titolare del trattamento
La tua informativa deve identificare chiaramente chi è responsabile del trattamento dei dati: denominazione sociale completa, sede legale, indirizzo email di contatto e codice fiscale o partita IVA. Se è stato designato un Responsabile della Protezione dei Dati (RPD o DPO), i suoi dati di contatto devono essere indicati (articolo 13.1.b).
2. Finalità e base giuridica di ogni trattamento
Per ogni trattamento di dati, devi indicare la finalità (perché i dati vengono raccolti) e la corrispondente base giuridica tra le sei previste dall’articolo 6 del RGPD: consenso, esecuzione di un contratto, obbligo legale, interessi vitali, interesse pubblico o interessi legittimi. Ad esempio: “Raccogliamo il tuo indirizzo email per l’invio della nostra newsletter (base: consenso)” oppure “Trattiamo i tuoi dati di fatturazione per l’esecuzione del tuo ordine (base: esecuzione del contratto).“
3. Categorie di dati personali raccolti
Elenca in modo esaustivo le tipologie di dati raccolti: dati identificativi (nome, cognome, email), dati di connessione (indirizzo IP, log), dati di pagamento (numero di carta, tramite fornitore di servizi di pagamento), dati di navigazione (pagine visitate, cookie) e dati di localizzazione se del caso. La trasparenza è essenziale: l’utente deve sapere esattamente quali dati possiedi su di lui.
4. Destinatari dei dati
Identifica tutte le persone o entità che hanno accesso ai dati: team interni (servizio clienti, marketing, reparto tecnico), responsabili del trattamento (provider di hosting, elaboratore di pagamenti, piattaforma di email marketing) e eventuali partner commerciali. L’articolo 13.1.e richiede questa informazione anche quando i destinatari sono responsabili del trattamento che agiscono per tuo conto.
5. Trasferimenti al di fuori dell’Unione europea
Se i dati vengono trasferiti in paesi al di fuori dell’UE — ad esempio attraverso l’utilizzo di servizi cloud statunitensi — devi dichiararlo esplicitamente. Devi indicare i paesi interessati, il meccanismo di garanzia utilizzato (decisione di adeguatezza della Commissione europea, clausole contrattuali tipo (CCT) o norme vincolanti d’impresa) e come l’utente può ottenere una copia di tali garanzie (articolo 13.1.f).
6. Periodi di conservazione dei dati
Per ogni categoria di dati, specifica il periodo di conservazione o i criteri utilizzati per determinarlo (articolo 13.2.a). Ad esempio: “Dati clienti: 3 anni dal termine del rapporto commerciale. Dati di fatturazione: 10 anni (obbligo legale, Codice Civile). Dati di navigazione: 13 mesi.” Evita formulazioni vaghe come “per il tempo necessario” senza ulteriori precisazioni.
7. Diritti degli interessati
Il RGPD riconosce agli utenti una serie di diritti che la tua informativa deve elencare e spiegare chiaramente: diritto di accesso (articolo 15), diritto di rettifica (articolo 16), diritto alla cancellazione o “diritto all’oblio” (articolo 17), diritto alla limitazione del trattamento (articolo 18), diritto alla portabilità dei dati (articolo 20) e diritto di opposizione (articolo 21). Il Codice Privacy italiano prevede inoltre disposizioni specifiche sull’esercizio di questi diritti nel contesto nazionale.
8. Modalità di esercizio dei diritti
Non basta elencare i diritti: devi indicare concretamente come esercitarli. Specifica l’indirizzo email dedicato (ad esempio: dpo@iltuosito.it), un modulo di contatto se disponibile, l’indirizzo postale per le richieste scritte e il termine di risposta (massimo 1 mese ai sensi dell’articolo 12.3 del RGPD, prorogabile di 2 mesi in caso di complessità). Menziona anche gli eventuali documenti di identità richiesti per la gestione della richiesta.
9. Diritto di reclamo all’autorità di controllo
L’articolo 13.2.d impone di informare l’utente del suo diritto di presentare reclamo a un’autorità di controllo. In Italia, si tratta del Garante per la protezione dei dati personali (Garante della Privacy). Indica il nome dell’autorità, il suo indirizzo postale e un link al suo servizio di reclamo online. Questa menzione viene spesso dimenticata, ma è obbligatoria.
10. Cookie e tecnologie di tracciamento
Anche se disponi di una politica dei cookie separata, la tua informativa sulla privacy deve menzionare l’utilizzo di cookie e tecnologie di tracciamento, riassumere brevemente le categorie di cookie utilizzati (essenziali, analitici, pubblicitari) e rimandare alla tua politica dei cookie completa per le informazioni dettagliate e la gestione del consenso.
11. Modifiche all’informativa
Indica come gli utenti saranno informati in caso di modifiche sostanziali dell’informativa: notifica via email, banner informativo sul sito, data dell’ultimo aggiornamento visibile in cima o in fondo al documento. Indica la data della versione corrente e, idealmente, mantieni una cronologia delle versioni accessibile.
Gli errori più comuni
Anche con le migliori intenzioni, alcuni errori si ripetono frequentemente nelle informative sulla privacy:
Formulazioni troppo vaghe. Frasi come “utilizziamo i tuoi dati per migliorare i nostri servizi” non soddisfano il requisito di trasparenza. Ogni finalità deve essere descritta in modo specifico e concreto.
Copiare e incollare da un concorrente. Ogni sito web ha trattamenti di dati diversi. Un’informativa copiata sarà necessariamente inesatta per la tua attività e costituisce di per sé una violazione.
Base giuridica assente o errata. Indicare una finalità senza specificare la corrispondente base giuridica, o invocare il consenso quando il trattamento si basa in realtà sull’esecuzione di un contratto, costituisce una non conformità.
Assenza dei dati di contatto del DPO. Se la tua organizzazione ha l’obbligo di designare un Responsabile della Protezione dei Dati (articolo 37), i suoi dati di contatto devono figurare nell’informativa. La loro assenza è una violazione distinta.
Informativa obsoleta. Un’informativa che menziona servizi non più utilizzati, o che non copre nuovi trattamenti aggiunti dalla sua redazione, non è più conforme. L’aggiornamento regolare è indispensabile.
Documento non accessibile. L’informativa deve essere accessibile in massimo 2 clic da qualsiasi pagina del sito. Un link solo nel footer della homepage non è sufficiente se la navigazione interna non lo riprende.
Come ottenere un’informativa sulla privacy completa
Di fronte alla complessità dei requisiti, esistono diverse soluzioni:
Rivolgersi a un avvocato specializzato (200-500 €): la soluzione più personalizzata, ma il costo e i tempi (diverse settimane) possono essere un ostacolo, soprattutto per PMI e liberi professionisti.
Redigerla autonomamente (0 € ma rischioso): senza competenze giuridiche, il rischio di omissioni o errori è elevato. Gli articoli 13 e 14 del RGPD contengono oltre 20 punti informativi obbligatori, e una singola omissione è sufficiente a rendere il documento non conforme.
Utilizzare un’IA generica (0 € + revisione avvocato 150-300 €): strumenti come ChatGPT possono produrre una prima bozza, ma non conoscono le specificità del tuo sito e richiedono una revisione legale per garantire la conformità.
Utilizzare uno strumento legale specializzato (14,90-19,90 €): soluzioni come WebLegal.ai ti guidano passo dopo passo attraverso ogni elemento obbligatorio, garantendo che nessuna informazione venga omessa. Il documento viene generato in pochi minuti, adattato alla tua attività e conforme alle ultime esigenze del RGPD. Per una protezione completa, considera tutti i 4 documenti legali obbligatori per il tuo sito web.
Conclusione
Un’informativa sulla privacy conforme al RGPD non è un semplice testo giuridico da spuntare in una checklist di conformità: è uno strumento di trasparenza che protegge sia i tuoi utenti sia la tua azienda. Ciascuno degli 11 elementi illustrati in questo articolo risponde a un requisito specifico del regolamento. Ometterne anche solo uno espone la tua organizzazione a sanzioni fino a 20 milioni di euro o al 4 % del fatturato mondiale annuo. Nel 2026, con l’intensificazione dei controlli da parte del Garante della Privacy, non lasciare nulla al caso — assicurati che la tua informativa sulla privacy sia completa, aggiornata e accessibile.