WordPress GDPR 2026: conformità + checklist

← Blog Fondamenti del GDPR Conformità
9 min di lettura
Aggiornato: 16 giugno 2026
WebLegal Team

Gratuito · Senza registrazione · Risultato in 30 secondi

WordPress alimenta quasi il 40 % dei siti web nel mondo, dai blog agli store WooCommerce. Ma installare WordPress non rende il tuo sito conforme al GDPR. Su un sito self-hosted (WordPress.org), sei tu l’editore il titolare del trattamento ai sensi del Regolamento Generale sulla Protezione dei Dati. WordPress.org fornisce solo il software; il tuo hosting e ciascun plugin agiscono come responsabili del trattamento. È a te che il Garante per la protezione dei dati personali chiederà conto, e le sanzioni possono raggiungere i 20 milioni di euro o il 4 % del fatturato annuo mondiale.

Inizia analizzando il tuo sito gratuitamente con il nostro scanner di conformità GDPR per individuare i punti da correggere. Questo articolo spiega cosa fa e cosa non fa WordPress per la tua conformità, gli obblighi che devi soddisfare tu, gli errori più frequenti e come mettere in regola il tuo sito rapidamente.

Cosa fa WordPress (e cosa non fa) per la conformità

Cosa fornisce WordPress

Il core di WordPress include alcune funzioni legate alla privacy:

  • Un modello di informativa sulla privacy: una bozza generica in Impostazioni → Privacy. È uno scheletro di base, non adattato alla tua attività.
  • Strumenti per i diritti: in Strumenti → Dati personali puoi esportare o cancellare i dati di un utente per gestire le richieste di accesso e cancellazione (articoli 15 e 17 del GDPR).
  • Una casella di consenso ai commenti: attiva per impostazione predefinita, ma riguarda solo la memorizzazione dei dati del commentatore — non è un cookie banner.

Cosa NON fornisce WordPress

WordPress è software libero: non firma alcun contratto con te e non redige i tuoi testi legali. Quanto segue è interamente sotto la tua responsabilità:

  • Un accordo sul trattamento dei dati (DPA) ai sensi dell’articolo 28 — proviene dal tuo hosting e da ciascun plugin, non da WordPress.org.
  • Un cookie banner conforme (la casella dei commenti non lo è).
  • La tua informativa sulla privacy personalizzata, la tua cookie policy, i tuoi termini di utilizzo, le tue condizioni di vendita e i tuoi dati identificativi del titolare.
  • La gestione del Consent Mode v2 di Google, ormai indispensabile se usi Google Analytics 4 o Google Ads.

I 5 obblighi GDPR per il tuo sito WordPress

1. Pubblicare un’informativa sulla privacy completa

Gli articoli 13 e 14 del GDPR impongono un’informazione trasparente. La tua informativa deve indicare l’identità del titolare, le finalità di ogni trattamento, le basi giuridiche, i destinatari (il tuo hosting e tutti i plugin di terze parti), i periodi di conservazione e i diritti degli interessati.

Rifiutare deve essere semplice quanto accettare (pulsanti «Accetta» e «Rifiuta» ugualmente visibili), i tracker non essenziali non devono essere installati prima del consenso, e l’utente deve poter modificare le sue scelte in qualsiasi momento. Se usi Google Analytics 4 o Google Ads, il tuo banner deve inoltre trasmettere il Consent Mode v2. Invece di accumulare plugin, puoi installare il nostro cookie banner GDPR gratuito — senza limiti di pagine viste né abbonamento.

3. Mappare i tuoi plugin (i tuoi responsabili)

Ogni plugin che accede ai dati dei tuoi visitatori è un responsabile del trattamento aggiuntivo. La tua informativa deve rifletterli, e devi assicurarti che ciascuno offra garanzie (DPA, localizzazione dei dati). È la specificità di WordPress: la flessibilità dei plugin è anche la tua principale superficie di rischio.

4. Pubblicare i tuoi dati identificativi

Ogni sito con attività deve identificare il proprio editore (titolare, indirizzo, contatti, partita IVA). L’assenza di queste informazioni ti espone a contestazioni e sanzioni.

5. Tenere un registro dei trattamenti

L’articolo 30 del GDPR ti obbliga a documentare i tuoi trattamenti: finalità, categorie di dati, destinatari e periodi di conservazione.

Gli errori più frequenti su WordPress

  • Scambiare la casella dei commenti per un cookie banner: sono due cose diverse. Senza un vero banner, i tuoi cookie di analisi e pubblicità vengono installati senza consenso valido.
  • Installare Google Analytics senza Consent Mode v2: GA4 deposita allora tracker prima di qualsiasi consenso — una violazione diretta.
  • Lasciare l’informativa predefinita: lo scheletro generico non riflette né i tuoi trattamenti reali né i tuoi plugin.
  • Installare plugin e dimenticarli: ogni plugin attivo che conserva dati aumenta il tuo rischio. Disinstalla quelli che non usi più.
  • Non firmare il DPA del tuo hosting: il rapporto di responsabilità deve essere regolato dall’articolo 28.
  • Moduli senza base giuridica: un modulo di contatto o newsletter (Contact Form 7, WPForms…) necessita di una base giuridica e di un’informativa.

I plugin di WordPress e il GDPR

L’ecosistema di plugin è il grande punto di forza di WordPress, ma ogni plugin che tocca i dati dei visitatori diventa un responsabile. Verifica in via prioritaria:

  • Moduli: Contact Form 7, WPForms — verifica la base giuridica e la conservazione.
  • Analytics: Google Analytics 4, Matomo — abbina al consenso e al Consent Mode v2.
  • Gestione cookie: plugin dedicati come Complianz, iubenda o CookieYes — verifica che blocchino gli script prima del consenso.
  • E-commerce: WooCommerce aggiunge gli obblighi di consumo (diritto di recesso, condizioni di vendita).
  • Newsletter e page builder: Mailchimp, Brevo, Elementor — attenzione agli script di terze parti che caricano prima del consenso.

Molti di questi plugin sono editati da aziende statunitensi: verifica che i trasferimenti extra-UE siano coperti dal Data Privacy Framework o da clausole contrattuali tipo (Schrems II).

Come rendere conforme il tuo sito WordPress

Quattro strade portano ai tuoi testi legali:

Rivolgersi a un avvocato (500-2.000 €): su misura e competente, ma costoso e lento.

Usare modelli gratuiti (0 €, rischio elevato): generici, spesso obsoleti e mai adattati ai tuoi plugin o alla tua attività.

Usare un’IA generica (ChatGPT): bozze plausibili che omettono clausole obbligatorie e creano incoerenze tra i tuoi documenti.

Usare un generatore legale specializzato (19,90 €-49,90 €): il generatore di documenti legali WebLegal produce i tuoi 4 documenti (informativa sulla privacy, cookie, termini di utilizzo, condizioni di vendita) in meno di 10 minuti, con coerenza garantita. Il modulo guidato ti chiede dei tuoi plugin, dei tuoi strumenti di analisi e della tua attività per produrre documenti davvero adatti al tuo sito WordPress.

Gestisci un negozio online? Vedi anche le nostre guide WooCommerce GDPR e PrestaShop GDPR.

Conclusione

Usare WordPress non ti esonera dai tuoi obblighi GDPR. In quanto titolare, devi garantire che la tua informativa, il tuo cookie banner, i tuoi termini e i tuoi dati identificativi siano conformi — e che i tuoi plugin non depositino tracker prima del consenso. WordPress fornisce i mattoni di base, ma non bastano. Nel 2026 la conformità non è più un’opzione. Non aspettare una contestazione: genera i tuoi documenti legali conformi per WordPress in meno di 10 minuti.

Diritto all'Oblio Italia: Guida Pratica 2026 - Fondamenti del GDPR

Diritto all'Oblio Italia: Guida Pratica 2026

⏱ 8 min di lettura
Fondamenti del GDPR

Come esercitare il diritto all'oblio in Italia nel 2026: richiesta a Google, casi del Garante, sentenze Corte di Cassazione e procedura passo passo.

Leggi articolo →
Codice Privacy vs GDPR: Cosa Sapere in Italia - Fondamenti del GDPR

Codice Privacy vs GDPR: Cosa Sapere in Italia

⏱ 8 min di lettura
Fondamenti del GDPR Conformità

Il Codice Privacy italiano (D.Lgs. 196/2003) coesiste con il GDPR. Differenze, sovrapposizioni e regole pratiche per chi tratta dati personali in Italia.

Leggi articolo →
GDPR E-commerce 2026: 7 Errori del Garante - Fondamenti del GDPR

GDPR E-commerce 2026: 7 Errori del Garante

⏱ 9 min di lettura
Fondamenti del GDPR E-commerce

I 7 errori GDPR più frequenti negli e-commerce che attivano un controllo del Garante Privacy nel 2026 (cookie, trasferimenti USA, responsabili).

Leggi articolo →