La raccolta e il trattamento dei dati personali sono alla base di moltissime attività online: form di contatto, newsletter, e-commerce, analytics, campagne di marketing. Con il GDPR, ogni azienda che raccoglie dati di utenti europei deve rispettare regole precise su cosa può raccogliere, come e per quanto tempo. In questa guida trovi tutto quello che serve sapere — con una checklist operativa finale in 10 punti.
Quali dati personali si possono raccogliere online
Per il GDPR è “dato personale” qualsiasi informazione che identifica o rende identificabile una persona fisica: nome, email, telefono, indirizzo IP, identificativi dei cookie, dati di geolocalizzazione, persino la combinazione di più informazioni apparentemente anonime.
Dati comuni e dati “riservati”: la differenza che cambia tutto
Non tutti i dati pesano allo stesso modo. Il GDPR distingue i dati comuni (anagrafiche, contatti, dati di navigazione) dalle categorie particolari di dati — quelli che il linguaggio comune chiama dati riservati o sensibili: salute, orientamento sessuale, opinioni politiche, convinzioni religiose, appartenenza sindacale, dati biometrici e genetici (art. 9 GDPR).
La regola è netta: la raccolta di dati riservati è vietata per impostazione predefinita, salvo eccezioni specifiche — la più rilevante per le aziende è il consenso esplicito dell’interessato per finalità determinate. Se il tuo sito raccoglie anche solo indirettamente dati di questo tipo (un form in ambito sanitario, per esempio), servono basi giuridiche rafforzate e misure di sicurezza superiori.
Dati dei clienti e dati dei dipendenti
La raccolta dati clienti (anagrafiche per ordini, storico acquisti, preferenze) segue le regole del rapporto contrattuale; i dati dei dipendenti hanno tutele aggiuntive, perché il rapporto di lavoro rende il consenso raramente “libero” nel senso richiesto dal GDPR. Stessa norma, applicazioni diverse.
Le basi giuridiche: quando la raccolta è lecita
Ogni raccolta deve poggiare su una base giuridica dell’art. 6 GDPR. Per le attività online le più frequenti sono tre:
- Consenso — libero, specifico, informato e revocabile. Vale per newsletter, marketing, profilazione, cookie non tecnici. Le caselle pre-spuntate non sono consenso.
- Contratto — i dati necessari a fornire ciò che l’utente chiede: spedire un ordine, gestire un account, rispondere a una richiesta di preventivo. Qui il consenso non serve (e chiederlo è un errore).
- Legittimo interesse — utilizzabile con cautela e previo bilanciamento documentato: ad esempio per la sicurezza informatica o alcune analisi interne. Non è il jolly per evitare il consenso.
L’errore più diffuso? Raccogliere “tutto, che non si sa mai”. Vale il principio opposto, la minimizzazione: solo i dati necessari alla finalità dichiarata.
Come raccogliere i dati in conformità
Form di contatto e newsletter
- Chiedi solo i campi necessari (nome ed email bastano quasi sempre).
- Informativa privacy linkata e leggibile prima dell’invio.
- Checkbox separate per finalità diverse: rispondere alla richiesta ≠ inviare marketing.
- Per la newsletter, il double opt-in è la prassi che mette al riparo da contestazioni.
Cookie e tracciamento
Cookie tecnici: nessun consenso. Cookie di profilazione, marketing e statistica non anonimizzata: consenso preventivo tramite banner conforme, con possibilità di rifiutare con la stessa facilità con cui si accetta. Il dettaglio va gestito in una cookie policy aggiornata: ne abbiamo parlato in questa guida su privacy e cookie policy.
E-commerce e dati dei clienti
Un negozio online raccoglie molti dati su base contrattuale (ordine, fatturazione, spedizione) — ma attenzione ai confini: il remarketing, i suggerimenti personalizzati e l’analisi dei comportamenti d’acquisto richiedono basi giuridiche proprie. E i dati di pagamento non vanno mai conservati oltre il necessario, né fuori da sistemi certificati.
I dati raccolti: conservazione, accesso e cancellazione
La raccolta è solo l’inizio. Sui dati raccolti l’azienda ha obblighi continuativi:
- Conservazione limitata: ogni categoria di dati deve avere un tempo di conservazione definito e dichiarato (i curricula non si tengono “per sempre”, i log di navigazione nemmeno).
- Diritti degli interessati: accesso, rettifica, cancellazione (“diritto all’oblio”), portabilità, opposizione. Devi poter rispondere a una richiesta entro 30 giorni — e per farlo devi sapere dove stanno i dati.
- Sicurezza (art. 32): misure tecniche e organizzative adeguate — cifratura, accessi limitati, backup. La protezione della rete fa parte del pacchetto.
- Registro dei trattamenti: per la maggior parte delle aziende è di fatto necessario documentare cosa si raccoglie, perché, dove e per quanto.
Cosa rischi se sbagli
Le sanzioni GDPR arrivano fino a 20 milioni di euro o al 4% del fatturato globale annuo. Ma per una PMI il danno più concreto è spesso un altro: il blocco dei trattamenti disposto dal Garante (niente più newsletter, niente più profilazione) e il danno reputazionale verso clienti e partner. Abbiamo dedicato una guida alle sanzioni e a come evitarle.
In alcuni casi è inoltre obbligatoria la nomina di un Data Protection Officer (DPO) — vale la pena verificare se la tua azienda rientra nei criteri.
Checklist operativa: raccolta dati a prova di GDPR in 10 punti
- Mappa tutti i punti di raccolta del sito (form, newsletter, checkout, chat, analytics).
- Per ciascuno, individua la base giuridica corretta (consenso, contratto, legittimo interesse).
- Elimina i campi non necessari: minimizzazione.
- Aggiorna privacy policy e cookie policy, linkate e leggibili.
- Banner cookie conforme: rifiutare dev’essere facile quanto accettare.
- Checkbox separate per finalità separate; niente caselle pre-spuntate.
- Definisci i tempi di conservazione per ogni categoria di dati.
- Predisponi una procedura per le richieste degli interessati (30 giorni).
- Proteggi i dati: cifratura, accessi limitati, backup, rete sicura.
- Documenta tutto nel registro dei trattamenti — e forma chi tocca i dati.
Per la parte tecnica del sito, qui trovi la checklist di conformità GDPR del sito web e la guida pratica all’adeguamento.
Domande frequenti
Posso raccogliere dati senza consenso?
Sì, quando esiste un’altra base giuridica valida: i dati necessari a un contratto (es. spedire un ordine) non richiedono consenso. Il consenso serve per marketing, profilazione e cookie non tecnici.
Quali dati NON posso raccogliere?
I dati delle categorie particolari (salute, religione, politica, biometrici…) sono vietati salvo eccezioni specifiche come il consenso esplicito. E in generale: tutto ciò che non è necessario alla finalità dichiarata.
Per quanto tempo posso conservare i dati raccolti?
Non esiste un termine unico: vale il principio di limitazione — il tempo necessario alla finalità, dichiarato nell’informativa. Indicativamente: dati contrattuali per gli obblighi fiscali (10 anni), marketing finché il consenso è attivo, candidature 6-12 mesi.
Il GDPR vale anche per una microimpresa?
Sì: il GDPR si applica a chiunque tratti dati personali, dal libero professionista alla multinazionale. Cambiano le misure proporzionate, non l’obbligo.
Metti in sicurezza la raccolta dati della tua azienda
La conformità non è un documento da firmare una volta: è un processo. Swebby supporta le aziende nell’adeguamento al GDPR con analisi, documentazione e soluzioni tecniche — dal banner cookie alla sicurezza della rete. Scopri il servizio GDPR & Normative o prenota una consulenza gratuita di 30 minuti.
Articolo aggiornato a giugno 2026 con la nuova struttura espansa: basi giuridiche, raccolta conforme per canale, conservazione e checklist operativa.
Di Vincenzo Vigorito, team Swebby.
La conformità senza mal di testa.
Audit, documenti e formazione con GDPR & Normative: mettiti in regola una volta, bene.
Richiedi la call gratuita