Siti web

Il tuo sito WordPress è davvero GDPR compliant? Cosa controllare

di Francesco Ammendolia
Tempo di lettura
5 minuti di lettura

La conformità GDPR di un sito WordPress apre svariate domande: la privacy policy è completa? Il banner dei cookie raccoglie il consenso in modo valido? I processi interni registrano le scelte degli utenti

Questo approfondimento raccoglie i punti che, tramite un servizio di consulenza ad hoc, un webmaster, un programmatore o un web designer dovrebbe controllare prima di una verifica esterna, proponendosi come una guida pratica pensata per chi cerca chiarezza e azioni concrete.

Che cosa dice la legge e perché non ignorarla

La GDPR (Regolamento UE 2016/679) è la norma di riferimento per la protezione dei dati personali: stabilisce le basi giuridiche per il trattamento, i diritti degli interessati e gli obblighi dei titolari e dei responsabili del trattamento. Per i siti web le norme rilevanti riguardano in particolare il consenso, la minimizzazione dei dati, la trasparenza e la tenuta di registri e misure di sicurezza adeguate.

In parallelo, autorità e board europei hanno prodotto linee guida specifiche su comportamento e strumenti come i cookie banner, per chiarire come il consenso debba essere raccolto e registrato per essere valido. Le raccomandazioni del Garante sulla Privacy e dei gruppi di lavoro su cookie e banner sono una risorsa pratica per capire cosa vogliono i garanti nazionali.

Sintesi rapida: le 6 regole base da rispettare

  • Trasparenza: informativa chiara e aggiornata sulla privacy, con indicazione dei trattamenti e dei responsabili.
  • Consenso valido quando richiesto: libero, specifico, informato e inequivocabile.
  • Registro dei consensi e prova: conservare evidenze delle scelte degli utenti.
  • Limitazione e minimizzazione: raccogliere solo i dati necessari.
  • Sicurezza tecnica e organizzativa: misure adeguate per proteggere i dati.
  • Diritti degli interessati: procedure per accesso, rettifica, cancellazione, portabilità e opposizione.

Cosa verificare sul sito: checklist operativa

  1. Banner e meccanismo di consenso
    Verificare che il banner non pre-selezioni scelte, che consenta rifiuto facile e che non attivi script di tracciamento prima del consenso esplicito. Controllare la granularità: il visitatore deve poter scegliere per categorie (necessari, preferenze, statistiche, marketing). Le ultime linee guida europee sul cookie banner descrivono criteri e casi pratici.
  2. Politiche e informative
    Controllare che la privacy policy e la cookie policy siano aggiornate, referenzino i responsabili esterni (es. cloud provider, analytics) e contengano basi giuridiche per ogni trattamento, durata di conservazione e modalità di esercizio dei diritti.
  3. Registro e log dei consensi
    Verificare che il CMP (Consent Management Platform) o il plugin WordPress registri data, ora, versione della policy, opt-in/opt-out e ID utente o sessione, per poter dimostrare il consenso in caso di audit.
  4. Script e scanner automatici
    Eseguire uno scan dei cookie e degli script attivi; deve emergere chi esegue tracciamenti esterni e con quale finalità. Strumenti automatici aiutano a individuare tracker nascosti e script caricati in modo asincrono.
  5. Contratti e responsabili esterni
    Accertarsi che vi siano contratti con terze parti (Data Processing Agreement) per servizi come newsletter, gateway di pagamento, analytics e hosting.
  6. Valutazioni di rischio
    Quando il sito tratta dati sensibili o effettua profilazione estesa, valutare se è necessaria una DPIA (data protection impact assessment).
Infografica che mostra una checklist per la conformità GDPR di un sito web

Strumenti e plugin per WordPress: quali usare e come sceglierli

Per gestire consenso e banner su WordPress esistono soluzioni lato plugin e piattaforme esterne (CMP). La scelta dipende da budget, complessità e richiesta di auditing.

  • Cookies and Content Security Policy (di Johan Jonk Stenström): plugin WordPress che blocca cookie e contenuti esterni impostando intestazioni Content-Security-Policy, mostrando un modal o un banner e bloccando script/iframe/immagini fino al consenso dell’utente. Offre un Quickstart con risorse comuni per popolare rapidamente la lista domini permessi, supporto multilanguage (WPML/Polylang), compatibilità con page builder e opzioni per gestire cache e debug. Salva le prove di consenso in database, include bypass per test e supporta Google Consent Mode v2.
  • Complianz: plugin WordPress che genera cookie policy, gestisce banner e registra consensi; offre piani free e pro, con prezzi a partire da pacchetti personali fino ad abbonamenti per agenzie. È utile per implementazioni native su WordPress.
  • Cookiebot (By Usercentrics): CMP esterno che scansiona il sito, blocca script prima del consenso e fornisce registri dei consensi; ha piani a consumo e versioni enterprise per grandi siti.
  • Iubenda: offre banner, policy legali e scan mensili, con piani tariffari basati su pageviews e funzionalità avanzate per documentazione legale. È comodo se si vuole un pacchetto “policy + banner” integrato.

Scegliere tra plugin e CMP esterno

  • Plugin WordPress (self-hosted): maggiore controllo, costi una tantum o licenza annuale, buona integrazione con temi e builder.
  • CMP esterno: auditing continuo, scansioni e aggiornamenti legali inclusi, costi ricorrenti ma gestione “chiavi in mano”.

La scelta dipende anche da esigenze di documentazione legale e dalla necessità di prove di consenso per audit.

Strumenti tecnici consigliati per la verifica

  • Scanner cookie e script: per mappare tracker.
  • Console browser e strumenti di rete per verificare caricamenti prima/dopo il consenso.
  • Log dei consensi esportabili in CSV/JSON.
  • Controllo dei cookie tecnici: assicurarsi che i cookie essenziali non richiedano consenso.

Per verificare con periodicità la conformità GDPR di un sito WordPress è necessario anche affidarsi a un programmatore freelance esperto di WordPress, che possa gestire aggiornamenti sicuri di core, temi e plugin, configurare backup e restore, nonché risolvere velocemente vulnerabilità o conflitti che comprometterebbero la privacy: un contratto di manutenzione tecnico trasforma la conformità da attività puntuale a processo continuo. Per maggiori dettagli sul servizio di supporto e assistenza, puoi consultare la pagina del servizio di manutenzione WordPress.

Nota su accessibilità e normative correlate

A fine giugno 2025 è entrata in gioco la EU Accessibility Act per molti servizi digitali, e la conformità all’accessibilità conviene includerla nella revisione di conformità complessiva del sito. Per approfondire l’impatto sull’ecosistema WordPress vedere l’articolo Dal 28 giugno 2025 cambia tutto: il tuo sito WordPress è conforme all’EU Accessibility Act (EAA)?.

Come verificare “in modo certo” (audit e prove)

Per ottenere certezze occorre una procedura strutturata:

  • Audit tecnico: scansione di script, cookie e richieste verso terze parti.
  • Revisione legale: confronto tra informative, registro dei trattamenti e prassi operative.
  • Test di scenario: navigazione come utente nuovo, ritorno, cancellazione del consenso.

Una verifica completa combina strumenti tecnici e valutazione documentale; le linee guida del Garante e dell’EDPB forniscono criteri per stabilire se un sistema di consenso è conforme.

Quanto costa rendere un sito conforme al GDPR?

Non esiste un prezzo fisso, ma variabili che incidono sul costo: dimensione del sito, complessità dei tracciamenti, numero di terze parti, necessità di integrazione con sistemi CRM o e-commerce, e livello di evidenza documentale richiesto.

Indicazioni orientative (range realistici)

  • Soluzione base fai-da-te con plugin free + tempo interno: 0–300 euro di spese dirette, più il tempo lavoro per adattare policy e banner.
  • Plugin premium o CMP (abbonamento annuale): da 50 a 1.000 euro/anno a seconda del fornitore e del traffico (es. piani personali di Complianz o Cookiebot).
  • Audit professionale e interventi tecnici (sviluppatore / webmaster): tipicamente 200–500 euro euro per sito medio, variabile in base a integrazioni, customizzazioni e numero di pagine.
  • Progetti complessi, certificazioni o programmi di compliance continuativa: da 5.000 euro in su, se sono necessari audit approfonditi, DPIA e implementazione di sistemi di sicurezza avanzati. Fonti di settore che stimano costi di implementazione e certificazione mostrano ordini di grandezza simili.

Esempio pratico

Un sito vetrina con pochi plugin, gestione dei cookie tramite Cookies and Content Security Policy e aggiornamento testuale della privacy policy può essere messo a posto con un intervento di poche ore da uno sviluppatore WordPress. Un e-commerce con profilazione, tracciamento marketing e integrazione CRM richiederà analisi, modifiche ai flussi e verifiche contrattuali con provider esterni, perciò il costo sale in modo significativo.

Quanto rischia chi non è conforme: sanzioni

Le sanzioni GDPR possono essere molto elevate e sono imposte dal Garante per la Privacy: l’adeguamento non è solo un costo, ma anche una forma di gestione del rischio legale e reputazionale. In caso di violazioni le autorità possono irrogare multe amministrative significative oltre a disporre misure correttive come ordini di adeguamento, limitazioni o divieti di trattamento e blocco temporaneo dei dati.

Sul piano civile, il titolare può essere esposto a richieste di risarcimento da parte degli interessati e a controversie contrattuali con clienti o partner; sul piano reputazionale, la perdita di fiducia può tradursi in calo di fatturato e opportunità. Per questo motivo la conformità va gestita con controlli periodici, documentazione puntuale (registro dei trattamenti, DPIA quando necessarie), misure tecniche e organizzative aggiornate e un piano di manutenzione tecnica che preveda interventi rapidi in caso di vulnerabilità.

Consigli SEO e Google Discover: come rendere il contenuto sostenibile

La conformità GDPR e la corretta implementazione dei cookie influenzano anche il modo in cui Analytics e strumenti di tracciamento funzionano, con impatto sui dati raccolti per SEO e campagne. Inoltre un sito trasparente e correttamente impostato migliora l’esperienza utente, un segnale indiretto per Discover. Per questo motivo è consigliabile includere nella revisione elementi come la correttezza del tracking, l’integrazione con Google Consent Mode e la qualità delle policy visibili pubblicamente. Molti CMP moderni e plugin integrano supporto a Google Consent Mode per mitigare il problema dei dati persi in seguito ai rifiuti.

Pronto per la verifica professionale: contattare lo sviluppatore

Se il titolare del sito, il responsabile o chi gestisce il progetto desidera una verifica puntuale e la messa a norma, è consigliabile rivolgersi a due figure distinte ma coordinate: un avvocato o uno studio legale per le valutazioni giuridiche, la redazione della documentazione (informative, contratti, base giuridica del trattamento, DPIA quando necessarie) e la validazione dei testi delle policy; un programmatore freelance o uno sviluppatore WordPress per le implementazioni tecniche (configurazione di plugin per cookie e CSP, logging dei consensi, gestione cache, backup, test di sicurezza e monitoraggio).

Lavorare congiuntamente (tramite incarichi chiaramente definiti, controlli post-intervento e un contratto di manutenzione tecnica e legale) assicura che le scelte normative siano effettivamente applicabili sul piano tecnico e che la conformità sia mantenuta nel tempo.

Foto profilo di Francesco Ammendolia
articolo scritto da Francesco Ammendolia

Sviluppatore front-end, esperto Wordpress e Woocommerce e consulente digitale, da anni realizza temi personalizzati WP per siti su misura e e-commerce. Supporta privati e agenzie nella programmazione, manutenzione e gestione di progetti con Wordpress.

Whatsapp Numero telefonico LinkedIn