Salta al contenuto principale

GDPR e raccolta dati online: cosa devono sapere le aziende

GDPR 15/11/2024 Vincenzo Vigorito

La raccolta e il trattamento dei dati personali sono alla base di moltissime attività online: form di contatto, newsletter, e-commerce, analytics, campagne di marketing. Con il GDPR, ogni azienda che raccoglie dati di utenti europei deve rispettare regole precise su cosa può raccogliere, come e per quanto tempo. In questa guida trovi tutto quello che serve sapere — con una checklist operativa finale in 10 punti.

Quali dati personali si possono raccogliere online

Per il GDPR è “dato personale” qualsiasi informazione che identifica o rende identificabile una persona fisica: nome, email, telefono, indirizzo IP, identificativi dei cookie, dati di geolocalizzazione, persino la combinazione di più informazioni apparentemente anonime.

Dati comuni e dati “riservati”: la differenza che cambia tutto

Non tutti i dati pesano allo stesso modo. Il GDPR distingue i dati comuni (anagrafiche, contatti, dati di navigazione) dalle categorie particolari di dati — quelli che il linguaggio comune chiama dati riservati o sensibili: salute, orientamento sessuale, opinioni politiche, convinzioni religiose, appartenenza sindacale, dati biometrici e genetici (art. 9 GDPR).

La regola è netta: la raccolta di dati riservati è vietata per impostazione predefinita, salvo eccezioni specifiche — la più rilevante per le aziende è il consenso esplicito dell’interessato per finalità determinate. Se il tuo sito raccoglie anche solo indirettamente dati di questo tipo (un form in ambito sanitario, per esempio), servono basi giuridiche rafforzate e misure di sicurezza superiori.

Dati dei clienti e dati dei dipendenti

La raccolta dati clienti (anagrafiche per ordini, storico acquisti, preferenze) segue le regole del rapporto contrattuale; i dati dei dipendenti hanno tutele aggiuntive, perché il rapporto di lavoro rende il consenso raramente “libero” nel senso richiesto dal GDPR. Stessa norma, applicazioni diverse.

Le basi giuridiche: quando la raccolta è lecita

Ogni raccolta deve poggiare su una base giuridica dell’art. 6 GDPR. Per le attività online le più frequenti sono tre:

  • Consenso — libero, specifico, informato e revocabile. Vale per newsletter, marketing, profilazione, cookie non tecnici. Le caselle pre-spuntate non sono consenso.
  • Contratto — i dati necessari a fornire ciò che l’utente chiede: spedire un ordine, gestire un account, rispondere a una richiesta di preventivo. Qui il consenso non serve (e chiederlo è un errore).
  • Legittimo interesse — utilizzabile con cautela e previo bilanciamento documentato: ad esempio per la sicurezza informatica o alcune analisi interne. Non è il jolly per evitare il consenso.

L’errore più diffuso? Raccogliere “tutto, che non si sa mai”. Vale il principio opposto, la minimizzazione: solo i dati necessari alla finalità dichiarata.

Come raccogliere i dati in conformità

Form di contatto e newsletter

  • Chiedi solo i campi necessari (nome ed email bastano quasi sempre).
  • Informativa privacy linkata e leggibile prima dell’invio.
  • Checkbox separate per finalità diverse: rispondere alla richiesta ≠ inviare marketing.
  • Per la newsletter, il double opt-in è la prassi che mette al riparo da contestazioni.

Cookie e tracciamento

Cookie tecnici: nessun consenso. Cookie di profilazione, marketing e statistica non anonimizzata: consenso preventivo tramite banner conforme, con possibilità di rifiutare con la stessa facilità con cui si accetta. Il dettaglio va gestito in una cookie policy aggiornata: ne abbiamo parlato in questa guida su privacy e cookie policy.

E-commerce e dati dei clienti

Un negozio online raccoglie molti dati su base contrattuale (ordine, fatturazione, spedizione) — ma attenzione ai confini: il remarketing, i suggerimenti personalizzati e l’analisi dei comportamenti d’acquisto richiedono basi giuridiche proprie. E i dati di pagamento non vanno mai conservati oltre il necessario, né fuori da sistemi certificati.

I dati raccolti: conservazione, accesso e cancellazione

La raccolta è solo l’inizio. Sui dati raccolti l’azienda ha obblighi continuativi:

  • Conservazione limitata: ogni categoria di dati deve avere un tempo di conservazione definito e dichiarato (i curricula non si tengono “per sempre”, i log di navigazione nemmeno).
  • Diritti degli interessati: accesso, rettifica, cancellazione (“diritto all’oblio”), portabilità, opposizione. Devi poter rispondere a una richiesta entro 30 giorni — e per farlo devi sapere dove stanno i dati.
  • Sicurezza (art. 32): misure tecniche e organizzative adeguate — cifratura, accessi limitati, backup. La protezione della rete fa parte del pacchetto.
  • Registro dei trattamenti: per la maggior parte delle aziende è di fatto necessario documentare cosa si raccoglie, perché, dove e per quanto.

Cosa rischi se sbagli

Le sanzioni GDPR arrivano fino a 20 milioni di euro o al 4% del fatturato globale annuo. Ma per una PMI il danno più concreto è spesso un altro: il blocco dei trattamenti disposto dal Garante (niente più newsletter, niente più profilazione) e il danno reputazionale verso clienti e partner. Abbiamo dedicato una guida alle sanzioni e a come evitarle.

In alcuni casi è inoltre obbligatoria la nomina di un Data Protection Officer (DPO) — vale la pena verificare se la tua azienda rientra nei criteri.

Checklist operativa: raccolta dati a prova di GDPR in 10 punti

  1. Mappa tutti i punti di raccolta del sito (form, newsletter, checkout, chat, analytics).
  2. Per ciascuno, individua la base giuridica corretta (consenso, contratto, legittimo interesse).
  3. Elimina i campi non necessari: minimizzazione.
  4. Aggiorna privacy policy e cookie policy, linkate e leggibili.
  5. Banner cookie conforme: rifiutare dev’essere facile quanto accettare.
  6. Checkbox separate per finalità separate; niente caselle pre-spuntate.
  7. Definisci i tempi di conservazione per ogni categoria di dati.
  8. Predisponi una procedura per le richieste degli interessati (30 giorni).
  9. Proteggi i dati: cifratura, accessi limitati, backup, rete sicura.
  10. Documenta tutto nel registro dei trattamenti — e forma chi tocca i dati.

Per la parte tecnica del sito, qui trovi la checklist di conformità GDPR del sito web e la guida pratica all’adeguamento.

Domande frequenti

Posso raccogliere dati senza consenso?

Sì, quando esiste un’altra base giuridica valida: i dati necessari a un contratto (es. spedire un ordine) non richiedono consenso. Il consenso serve per marketing, profilazione e cookie non tecnici.

Quali dati NON posso raccogliere?

I dati delle categorie particolari (salute, religione, politica, biometrici…) sono vietati salvo eccezioni specifiche come il consenso esplicito. E in generale: tutto ciò che non è necessario alla finalità dichiarata.

Per quanto tempo posso conservare i dati raccolti?

Non esiste un termine unico: vale il principio di limitazione — il tempo necessario alla finalità, dichiarato nell’informativa. Indicativamente: dati contrattuali per gli obblighi fiscali (10 anni), marketing finché il consenso è attivo, candidature 6-12 mesi.

Il GDPR vale anche per una microimpresa?

Sì: il GDPR si applica a chiunque tratti dati personali, dal libero professionista alla multinazionale. Cambiano le misure proporzionate, non l’obbligo.

Metti in sicurezza la raccolta dati della tua azienda

La conformità non è un documento da firmare una volta: è un processo. Swebby supporta le aziende nell’adeguamento al GDPR con analisi, documentazione e soluzioni tecniche — dal banner cookie alla sicurezza della rete. Scopri il servizio GDPR & Normative o prenota una consulenza gratuita di 30 minuti.

Articolo aggiornato a giugno 2026 con la nuova struttura espansa: basi giuridiche, raccolta conforme per canale, conservazione e checklist operativa.


Di Vincenzo Vigorito, team Swebby.

La conformità senza mal di testa.

Audit, documenti e formazione con GDPR & Normative: mettiti in regola una volta, bene.

Richiedi la call gratuita