Nel 2026, un numero allarmante di siti web italiani non è ancora conforme al RGPD. Assenza di informativa sulla privacy, cookie installati senza consenso, moduli di contatto privi di informazioni sul trattamento dei dati: le violazioni sono spesso basilari, ma le sanzioni del Garante per la Protezione dei Dati Personali possono raggiungere i 300.000 € per una PMI e fino a 20 milioni di euro o il 4 % del fatturato mondiale per le strutture più grandi. Se avete un sito web, siete quasi certamente interessati.
Cosa rende un sito web non conforme al RGPD?
Un sito web è considerato non conforme dal momento in cui raccoglie o tratta dati personali senza rispettare le disposizioni del RGPD e del Codice Privacy italiano (D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018). La raccolta di dati personali inizia molto prima di quanto la maggior parte degli imprenditori immagini.
Il vostro sito raccoglie dati personali se:
- Dispone di un modulo di contatto (nome, email, messaggio)
- Utilizza Google Analytics, Meta Pixel o qualsiasi strumento di tracciamento
- Propone una newsletter o account clienti
- Installa cookie non essenziali al caricamento
- Dispone di un chat online o sistema di commenti
Per sapere se la vostra azienda è interessata, consultate la nostra guida sull’ambito di applicazione del RGPD. Nella pratica, la quasi totalità dei siti web professionali è soggetta al RGPD.
Le sanzioni in gioco: ben oltre la multa simbolica
L’articolo 83 del RGPD prevede due livelli di sanzioni amministrative:
Primo livello (art. 83§4): fino a 10 milioni di euro o il 2 % del fatturato annuo mondiale per violazioni relative agli obblighi del titolare (registro dei trattamenti, sicurezza, notifica delle violazioni).
Secondo livello (art. 83§5): fino a 20 milioni di euro o il 4 % del fatturato annuo mondiale per violazioni dei principi fondamentali (liceità, consenso, diritti degli interessati).
L’Italia si è distinta in Europa come uno dei paesi con le sanzioni più elevate. Il Garante ha comminato sanzioni multimilionarie nel settore delle telecomunicazioni, della sanità e del riconoscimento facciale. Per una panoramica, consultate il nostro top 15 delle sanzioni del Garante.
Oltre alle sanzioni pecuniarie, il Garante può disporre:
- Un ammonimento pubblico
- Un’ingiunzione di cessazione del trattamento
- Una limitazione temporanea del trattamento
- Il divieto di trattamento
I 7 inadempimenti più comuni nei siti web
1. Assenza di informativa sulla privacy
Gli articoli 13 e 14 del RGPD impongono un’informazione chiara e accessibile agli interessati. Un sito senza informativa sulla privacy — o con un’informativa incompleta — è in violazione diretta. È l’inadempimento più frequentemente riscontrato dal Garante.
2. Cookie installati senza consenso
Le Linee guida del Garante sui cookie (giugno 2021) e l’art. 122 del Codice Privacy richiedono il consenso preventivo prima dell’installazione di cookie non essenziali. I siti che caricano strumenti di analisi o pixel pubblicitari senza consenso si espongono a sanzioni significative.
3. Note legali assenti o incomplete
Il D.Lgs. 70/2003 (attuazione della Direttiva e-commerce) impone note legali obbligatorie su ogni sito web professionale, con identificazione del titolare, partita IVA, sede legale e dati di contatto.
4. Moduli senza informativa RGPD
Ogni modulo che raccoglie dati personali deve essere accompagnato da un’informativa: identità del titolare, finalità, base giuridica, periodo di conservazione e diritti degli interessati.
5. Assenza del registro dei trattamenti
L’articolo 30 del RGPD impone la tenuta di un registro delle attività di trattamento che documenti ogni trattamento di dati.
6. Trasferimenti internazionali senza garanzie
L’utilizzo di servizi statunitensi (hosting, analytics, email marketing) implica spesso trasferimenti di dati al di fuori dell’UE che devono essere tutelati da garanzie adeguate (clausole contrattuali tipo, decisione di adeguatezza).
7. Diritti degli interessati non garantiti
Il RGPD garantisce il diritto di accesso (art. 15), rettifica (art. 16), cancellazione (art. 17) e portabilità (art. 20). Un sito che non consente l’esercizio effettivo di questi diritti è in violazione.
Come il Garante individua i siti non conformi
Segnalazioni e reclami: il Garante riceve migliaia di segnalazioni ogni anno. Un cliente insoddisfatto, un concorrente o un ex dipendente può presentare un reclamo.
Ispezioni settoriali: il Garante conduce campagne ispettive per settore. Telecomunicazioni, sanità, marketing digitale e videosorveglianza sono stati obiettivi ricorrenti.
Violazioni di sicurezza: una violazione dei dati che richiede la notifica (art. 33 RGPD) può innescare un’ispezione completa delle pratiche del sito.
Come rendere conforme il vostro sito
Rivolgersi a un avvocato specializzato (500-2.000 € per un audit): un avvocato specializzato in diritto della privacy realizzerà un audit approfondito. Soluzione raccomandata per siti con dati sanitari o videosorveglianza.
Fare da soli con modelli online (0 € ma rischioso): i modelli disponibili spesso non tengono conto delle specificità italiane (Codice Privacy, provvedimenti del Garante). Il rischio di lacune è elevato.
Utilizzare un’IA generica (ChatGPT, Claude) (0 € + revisione avvocato 150-300 €): questi strumenti possono produrre bozze, ma non sempre padroneggiano le specificità del quadro normativo italiano.
Utilizzare un’IA giuridica specializzata (14,90-19,90 €): soluzioni come WebLegal.ai generano tutti i vostri documenti legali obbligatori — informativa sulla privacy, politica dei cookie, condizioni d’uso, condizioni di vendita — in pochi minuti, conformi al RGPD e adattati alla vostra attività.
Conclusione
Un sito non conforme al RGPD non è solo un rischio giuridico: è una bomba a orologeria. Le sanzioni possono raggiungere importi devastanti per una PMI, e il Garante intensifica ogni anno la propria attività ispettiva. Le violazioni più sanzionate sono spesso le più basilari: assenza di informativa, cookie senza consenso, moduli senza informazioni. Nel 2026, la conformità è accessibile e rapida. Non aspettate un’ispezione per agire.