InspectWP Logo
Best Practice

Checklist di conformità GDPR per WordPress

8 febbraio 2026 Aggiornato il 19 apr 2026

Il Regolamento Generale sulla Protezione dei Dati (GDPR) si applica a qualsiasi sito web accessibile ai visitatori dell'Unione Europea, indipendentemente da dove il sito è ospitato. Per i proprietari di WordPress, ciò significa prestare attenzione a come il tuo sito raccoglie, elabora e trasferisce i dati personali. Questa checklist si concentra sugli aspetti di implementazione tecnica che puoi verificare e risolvere tu stesso. Per domande legali su accordi di trattamento dei dati, basi giuridiche e requisiti normativi specifici, consulta un responsabile della protezione dei dati qualificato.

Gestire i servizi esterni e i trasferimenti di dati transfrontalieri

Ogni risorsa caricata da un server esterno trasmette come minimo l'indirizzo IP del visitatore all'operatore di quel server. Secondo il GDPR, un indirizzo IP è considerato dato personale. Senza una base giuridica valida o un consenso esplicito, caricare risorse esterne costituisce una violazione della protezione dei dati. Questo è particolarmente problematico con i servizi con sede negli USA, poiché il quadro di trasferimento dei dati UE-USA rimane un terreno legale conteso.

  • Ospita Google Fonts localmente: quando i Google Fonts vengono caricati da fonts.googleapis.com, ogni visualizzazione di pagina trasmette l'indirizzo IP del visitatore, i dati del browser e l'URL referrer ai server di Google. I tribunali tedeschi hanno dichiarato illegale questa pratica senza consenso, con multe a partire da 100 EUR per violazione. Scarica i file dei font e servili dal tuo server. Plugin come "OMGF" o "Local Google Fonts" automatizzano questo processo. Dopo il passaggio, verifica che non rimangano richieste a fonts.googleapis.com o fonts.gstatic.com nella scheda di rete del tuo browser.
  • Disabilita Gravatar o memorizza gli avatar localmente: per impostazione predefinita, WordPress invia hash MD5 degli indirizzi email dei commentatori ai server Gravatar con sede negli USA. Anche l'hash stesso può essere considerato dato personale (può essere invertito per indirizzi email noti). Disabilita Gravatar in Impostazioni > Discussione, o usa un plugin che memorizza gli avatar localmente e li recupera solo una volta con consenso.
  • Self-host analytics o usa un approccio basato sul consenso: Google Analytics trasferisce ampi dati dei visitatori ai server USA, inclusi indirizzi IP, comportamento di navigazione e fingerprint del dispositivo. Self-host una soluzione di analytics come Matomo (dove tutti i dati rimangono sul tuo server) o implementa Google Analytics dietro un adeguato meccanismo di consenso che blocca tutto il tracking fino a quando il visitatore non opta attivamente. Gli strumenti di analytics server-side come Plausible o Fathom sono alternative rispettose della privacy che funzionano senza cookie.
  • Blocca Google Maps fino al consenso: gli embed di Google Maps caricano più script di tracking e trasferiscono dati dei visitatori a Google. Invece di incorporare la mappa direttamente, mostra un'immagine statica o un placeholder con un pulsante "Carica mappa". Carica l'embed Google Maps effettivo solo dopo che l'utente clicca per dare il consenso. Lo stesso approccio si applica a Google reCAPTCHA, che trasferisce anche dati a Google.
  • Esegui l'audit del caricamento di tutte le risorse esterne: oltre ai servizi ovvi, controlla librerie ospitate su CDN (jQuery da ajax.googleapis.com, Font Awesome da cdnjs.cloudflare.com), video YouTube o Vimeo incorporati, widget di social media, chatbot e altri script di terze parti. Ogni richiesta esterna è un potenziale problema GDPR. Sostituisci le librerie ospitate su CDN con copie ospitate localmente dove possibile.
  • Tratta i contenuti incorporati con pattern facade: per video YouTube, embed di social media e contenuti di terze parti simili, usa una soluzione a due clic. Mostra prima una thumbnail o placeholder con un avviso sulla privacy e carica l'embed effettivo solo dopo che il visitatore clicca. Plugin come "Embed Privacy" gestiscono questo automaticamente per i servizi comuni.

Implementare correttamente il consenso ai cookie

La direttiva ePrivacy (spesso chiamata "Direttiva sui cookie") integra il GDPR e richiede il consenso prima di impostare cookie non essenziali. Ottenere il consenso ai cookie nel modo giusto è uno degli aspetti più esaminati della conformità GDPR.

  • Installa un plugin di gestione del consenso adeguato: usa una consent management platform (CMP) dedicata come Complianz, Real Cookie Banner o Cookiebot. Questi plugin gestiscono la complessità legale della categorizzazione dei cookie, della registrazione del consenso e del blocco degli script. Le soluzioni gratuite spesso mancano di funzionalità importanti come il consent logging o il rilevamento automatico degli script.
  • Blocca i cookie e gli script non essenziali prima del consenso: questo è il requisito tecnico più cruciale. Il tuo plugin di consenso deve effettivamente impedire il caricamento dei cookie di tracking, degli script di analytics e dei pixel di marketing fino a quando il visitatore non dà il consenso. Mostrare semplicemente un banner senza bloccare gli script non è conforme. Testa questo aprendo il tuo sito in una finestra in incognito, rifiutando tutti i cookie e controllando se nella scheda di rete appaiono ancora richieste di terze parti.
  • Offri categorie di cookie granulari: i visitatori devono poter scegliere tra diverse categorie: Funzionali (necessari per il funzionamento del sito), Statistiche (analytics e misurazione delle prestazioni) e Marketing (pubblicità e tracking). Un semplice "Accetta tutto" senza alternative non è conforme al GDPR.
  • Rendi il rifiuto dei cookie altrettanto facile: il pulsante "Rifiuta tutto" o "Accetta solo essenziali" deve essere prominente e facilmente raggiungibile quanto il pulsante "Accetta tutto". Nascondere l'opzione di rifiuto dietro un link "Gestisci impostazioni", utilizzare un carattere più piccolo o richiedere clic aggiuntivi è stato giudicato non conforme da più autorità europee per la protezione dei dati.
  • Consenti di ritirare il consenso in qualsiasi momento: i visitatori devono poter modificare le loro preferenze sui cookie dopo la decisione iniziale. Aggiungi un link permanente nel footer (es. "Impostazioni cookie" o "Impostazioni privacy") che riapre la finestra di dialogo del consenso. Questo è un requisito legale, non opzionale.
  • Registra e conserva i dati sul consenso: in caso di controversia o audit, devi poter dimostrare che il consenso è stato dato. Il tuo plugin di consenso deve memorizzare una registrazione con timestamp di ogni decisione di consenso, comprese quali categorie sono state accettate e la versione della politica sulla privacy in vigore al momento.

Requisiti di archiviazione e trattamento dei dati di WordPress

Oltre ai cookie, WordPress elabora i dati personali in diversi altri modi che richiedono attenzione sotto il GDPR.

  • Gestisci correttamente i dati dei moduli di commento: WordPress memorizza il nome, l'indirizzo email e l'URL del sito web dei commentatori. Inoltre, imposta cookie per ricordare queste informazioni per i visitatori di ritorno. Disabilita questi cookie in Impostazioni > Discussione (deseleziona "Mostra casella di opt-in dei cookie"), o sostituisci il comportamento predefinito con una casella di consenso esplicita che faccia riferimento alla tua politica sulla privacy.
  • Aggiungi una casella di consenso alla privacy a tutti i moduli: ogni modulo che raccoglie dati personali (moduli di contatto, iscrizioni alla newsletter, moduli di registrazione) ha bisogno di una casella in cui l'utente dia esplicitamente il consenso al trattamento dei propri dati. La casella non deve essere preselezionata e l'etichetta deve fare riferimento alla tua politica sulla privacy. La maggior parte dei plugin di moduli (Contact Form 7, WPForms, Gravity Forms) supportano questo nativamente.
  • Rivedi l'uso di localStorage e sessionStorage: questi meccanismi di archiviazione del browser possono essere utilizzati per il tracking, proprio come i cookie. Esegui l'audit di quali dati i tuoi plugin memorizzano in localStorage e sessionStorage. Tutti i dati che possono identificare o tracciare un visitatore rientrano nel GDPR. Puoi controllarlo negli strumenti di sviluppo del browser sotto la scheda "Application".
  • Limita la conservazione dei dati dei moduli di contatto: non conservare gli invii dei moduli indefinitamente. Configura il tuo plugin di moduli per eliminare automaticamente gli invii dopo un periodo definito (es. 90 giorni). Se hai bisogno dei dati più a lungo per uno scopo specifico, documenta tale scopo nella tua politica sulla privacy.
  • Implementa politiche di conservazione dei dati: secondo il principio di limitazione della conservazione del GDPR, i dati personali non possono essere conservati più a lungo del necessario. Questo si applica agli account utente, ai commenti, ai dati degli ordini (per WooCommerce), ai file di log e ai dati di analytics. Definisci periodi di conservazione per ogni categoria di dati e applicali, manualmente o con automazione.
  • Supporta le richieste di accesso degli interessati: il GDPR conferisce agli individui il diritto di richiedere una copia di tutti i dati personali che possiedi su di loro e il diritto di farli eliminare. WordPress include una pagina di strumenti per la privacy integrata (sotto Strumenti > Esporta dati personali e Strumenti > Cancella dati personali) che aiuta in questo, ma dovresti testare il processo e assicurarti che copra i dati di tutti i tuoi plugin.

Pagine legali obbligatorie per la conformità GDPR

Alcune pagine sono legalmente richieste per ogni sito web accessibile nell'UE. Pagine legali mancanti o incomplete possono portare ad avvisi, multe o lettere di diffida.

  • Politica sulla privacy (obbligatoria ovunque nell'UE): deve descrivere tutte le attività di trattamento dei dati in un linguaggio chiaro e comprensibile. Includi quali dati raccogli, perché li raccogli, per quanto tempo li conservi, con chi li condividi e quali diritti hanno i visitatori. WordPress fornisce un modello di politica sulla privacy sotto Impostazioni > Privacy che copre le basi, ma dovresti personalizzarlo per i tuoi plugin e servizi specifici.
  • Politica sui cookie (raccomandata): può essere una pagina separata o una sezione all'interno della tua politica sulla privacy. Elenca tutti i cookie che il tuo sito imposta, il loro scopo, la durata e se sono first-party o third-party. Il tuo plugin di gestione del consenso di solito genera automaticamente questo elenco.
  • Imprint / Avviso legale (obbligatorio in Germania e Austria): deve contenere il nome legale completo, indirizzo postale, indirizzo email e numero di telefono dell'operatore del sito. Per le aziende, questo include il numero del registro commerciale, il numero di partita IVA e la persona responsabile. Questo è richiesto dalla Telemediengesetz tedesca (TMG) e dall'E-Commerce-Gesetz austriaca (ECG), non dal GDPR, ma viene applicato altrettanto.

Verifica la conformità GDPR del tuo WordPress con InspectWP

La sezione GDPR di InspectWP rileva automaticamente l'uso di Gravatar, Google Fonts caricati esternamente, tracking Google Analytics, embed Google Maps, Facebook pixel e script di tracking, e altre risorse esterne che trasferiscono dati dei visitatori a terze parti. Usalo come punto di partenza per il tuo audit GDPR. Pianifica scansioni regolari per intercettare nuove risorse esterne che potrebbero essere introdotte quando i plugin vengono aggiornati o quando viene pubblicato nuovo contenuto.

Articolo precedente

Checklist di sicurezza per WordPress

Articolo successivo

Checklist SEO per WordPress

Articoli correlati

Lanciare un nuovo sito WordPress — cosa controllare

Guida all'ottimizzazione delle prestazioni di WordPress

Checklist SEO per WordPress

Vedi tutti gli articoli

Controlla subito il tuo sito WordPress

InspectWP analizza il tuo sito WordPress per problemi di sicurezza, problemi SEO, conformità GDPR e prestazioni — gratuitamente.

Analizza gratis il tuo sito