GDPR: Audit del sito web — Checklist

Il vostro sito web è la vetrina digitale della vostra azienda — ed è il primo punto che il Garante per la Protezione dei Dati Personali analizza in caso di reclamo o ispezione. Questa checklist vi guida attraverso tutti i punti di conformità GDPR, dalla privacy policy ai cookie, dagli header di sicurezza ai formulari.

1. Informativa privacy

Presenza e accessibilità

• [ ] L'informativa privacy è presente e raggiungibile da ogni pagina (link nel footer)
• [ ] L'informativa è scritta in italiano chiaro e comprensibile
• [ ] Il link è chiaramente identificabile ("Privacy Policy" o "Informativa Privacy")
• [ ] L'informativa è aggiornata (data di ultimo aggiornamento visibile)

Contenuto obbligatorio (Art. 13 GDPR)

• [ ] Identità del titolare: ragione sociale, sede legale, contatti
• [ ] Contatti DPO: se nominato (obbligatorio per PA, trattamenti su larga scala, dati particolari)
• [ ] Finalità e basi giuridiche: per ogni tipo di trattamento
• [ ] Categorie di dati: quali dati raccogliete
• [ ] Destinatari: chi riceve i dati (fornitori, partner, autorità)
• [ ] Trasferimenti extra-UE: se i dati escono dall'UE, con quali garanzie
• [ ] Periodo di conservazione: per ogni finalità
• [ ] Diritti dell'interessato: accesso, rettifica, cancellazione, portabilità, opposizione
• [ ] Diritto di reclamo: al Garante per la Protezione dei Dati Personali
• [ ] Processo decisionale automatizzato: se applicabile (profilazione, scoring)

2. Cookie e tracciamento

Banner dei cookie

• [ ] Banner presente al primo accesso
• [ ] Pulsante "Accetta" e "Rifiuta" con stessa evidenza grafica
• [ ] Link alla cookie policy / gestione preferenze
• [ ] Nessun cookie di profilazione installato prima del consenso
• [ ] La scelta dell'utente è memorizzata (non richiedere ad ogni visita)

Cookie policy

• [ ] Elenco completo dei cookie utilizzati (nome, finalità, durata, tipo)
• [ ] Distinzione tra cookie tecnici, analitici e di profilazione
• [ ] Istruzioni per la gestione dei cookie nel browser
• [ ] Possibilità di revocare il consenso in qualsiasi momento

Tracciamento

• [ ] Google Analytics configurato con IP anonimizzato (se utilizzato)
• [ ] Nessun pixel di tracciamento attivo senza consenso
• [ ] Tag Manager configurato per rispettare le scelte del banner

3. Formulari e raccolta dati

Form di contatto

• [ ] Solo campi necessari (principio di minimizzazione)
• [ ] Link all'informativa privacy visibile prima dell'invio
• [ ] Checkbox di consenso non pre-selezionata (se raccogliete consenso marketing)
• [ ] Messaggio di conferma dopo l'invio
• [ ] Dati inviati tramite HTTPS

Newsletter / Marketing

• [ ] Consenso esplicito e separato per comunicazioni marketing
• [ ] Double opt-in implementato
• [ ] Link di disiscrizione in ogni email
• [ ] Registro dei consensi con timestamp

Form di registrazione

• [ ] Password con requisiti minimi di complessità
• [ ] Politica password visibile all'utente
• [ ] Nessun dato non necessario richiesto in fase di registrazione
• [ ] Email di verifica dell'account

4. Sicurezza tecnica

Connessione

• [ ] HTTPS attivo su tutto il sito (nessuna pagina in HTTP)
• [ ] Certificato SSL/TLS valido e non scaduto
• [ ] Redirect automatico da HTTP a HTTPS
• [ ] HSTS (HTTP Strict Transport Security) configurato

Header di sicurezza

• [ ] Content-Security-Policy configurato
• [ ] X-Content-Type-Options: nosniff
• [ ] X-Frame-Options: DENY o SAMEORIGIN
• [ ] Referrer-Policy: strict-origin-when-cross-origin
• [ ] Permissions-Policy per limitare le API del browser

Cookie di sicurezza

• [ ] Flag Secure su tutti i cookie
• [ ] Flag HttpOnly sui cookie di sessione
• [ ] Flag SameSite=Strict o Lax
• [ ] Durata dei cookie proporzionata alla finalità

5. Diritti degli interessati

Esercizio dei diritti

• [ ] Procedura chiara per esercitare i diritti (email dedicata o form)
• [ ] Tempo di risposta rispettato (30 giorni massimo, estensibile a 60)
• [ ] Verifica dell'identità del richiedente prima di fornire dati
• [ ] Registro delle richieste ricevute e delle risposte

Diritto alla cancellazione

• [ ] Possibilità di eliminare l'account utente
• [ ] Cancellazione effettiva dei dati (non solo disattivazione)
• [ ] Conferma della cancellazione all'utente

6. Fornitori e terze parti

Analisi delle terze parti

• [ ] Elenco aggiornato di tutti i servizi terzi che ricevono dati dal sito
• [ ] Contratto di responsabile del trattamento (DPA) firmato con ogni fornitore
• [ ] Verifica delle garanzie per i trasferimenti extra-UE

Servizi comuni da verificare

| Servizio | Verifica | |----------|----------| | Google Analytics | IP anonimizzato, consenso, DPA Google | | Google Fonts | Self-hosting preferibile (evita trasferimento dati a Google) | | YouTube embed | Modalità privacy-enhanced, consenso cookie | | Social sharing | Widget senza tracciamento o con consenso | | Chatbot/LiveChat | DPA con il fornitore, informativa aggiornata | | CDN (Cloudflare) | DPA, verifica server location | | Mappe (Google Maps) | Caricamento condizionale con consenso |

7. Misure organizzative

Documentazione

• [ ] Registro dei trattamenti (Art. 30) compilato e aggiornato
• [ ] DPIA effettuata per trattamenti ad alto rischio
• [ ] DPO nominato se obbligatorio
• [ ] Procedure di gestione degli incidenti (data breach)

Formazione

• [ ] Personale formato sulla protezione dei dati
• [ ] Procedure documentate per la gestione delle richieste degli interessati
• [ ] Responsabilità interne chiaramente assegnate

Scoring della conformità

| Punteggio | Livello | Azione | |-----------|---------|--------| | 90-100% | Eccellente | Mantenimento e monitoraggio | | 70-89% | Buono | Correzioni minori pianificate | | 50-69% | Insufficiente | Piano di azione prioritario | | < 50% | Critico | Intervento immediato necessario |

Frequenza degli audit

| Evento | Frequenza | |--------|-----------| | Audit completo | Annuale | | Verifica cookie | Trimestrale | | Aggiornamento informativa | Ad ogni modifica dei trattamenti | | Test dei diritti | Semestrale | | Verifica fornitori | Annuale o a ogni cambio fornitore |

Conclusione

Un audit GDPR del sito web non è un esercizio da fare una volta — è un processo continuo. Ogni nuovo servizio integrato, ogni form aggiunto, ogni fornitore cambiato richiede una verifica. Iniziate dalla checklist sopra e trasformatela in un processo ricorrente.

Scansiona il tuo sito web gratis con WarDek — OWASP, NIS2, GDPR, AI Act in un'unica scansione.