Privacy & GDPRTutti i professionisti
Cookie policy per studio professionale: cosa scrivere e come aggiornarla
14 min letturaPrivacy & GDPRUltimo aggiornamento: 1 aprile 2026Di Redazione WebProfessionisti
In sintesi
La cookie policy dello studio professionale deve elencare i tracciatori usati, finalita' e basi giuridiche, collegata a un banner che registra le scelte. Aggiornarla quando cambiano analytics o plugin. Integrare con privacy policy e registro trattamenti.
I cookie e altri tracciatori installati sul sito dello studio professionale richiedono trasparenza e, per molte categorie, consenso prima dell'attivazione. La cookie policy e' il documento che spiega quali strumenti usate, per quanto tempo e con quali finalita'. Per avvocati, commercialisti e professionisti sanitari, la correttezza documentale rafforza la fiducia dei clienti e riduce il rischio di sanzioni ispettive. Nel 2023 il Garante Privacy ha irrogato sanzioni per oltre 45 milioni di euro a soggetti italiani (fonte: Relazione annuale Garante, 2023), confermando che il tema non e' solo formale.
Atlante Digitale dedica un'intera sezione al GDPR e alla privacy digitale con definizioni accessibili anche per non tecnici, utile per comprendere il quadro normativo prima di adeguare il proprio sito. In questa guida vi accompagniamo nella redazione di una cookie policy completa e nella configurazione di un banner conforme, con indicazioni operative che potete applicare subito. Se preferite delegare l'intero adeguamento, su WebProfessionisti potete richiedere un preventivo gratuito che include la consulenza privacy del sito.
Cosa prevede il GDPR per i siti dei professionisti
Il Regolamento UE 2016/679 (GDPR) si applica a qualsiasi sito che raccoglie o tratta dati personali di utenti europei. Titolare del trattamento e' in genere lo studio o il professionista che determina finalita' e mezzi del trattamento. La norma richiede di mappare tutte le basi giuridiche — consenso, esecuzione contrattuale, obbligo legale, legittimo interesse — e di documentare le misure di sicurezza adottate.
Per il sito web, questo significa che ogni modulo di contatto, form di prenotazione, iscrizione a newsletter o sistema di tracciamento deve avere una base giuridica chiara e dichiarata. Il consenso, quando necessario, deve essere libero, specifico, informato e inequivocabile: non bastano checkbox pre-spuntate o banner che ammettono solo "accetta tutto". Il Garante italiano ha chiarito nelle Linee guida del 2021 che il rifiuto deve essere accessibile quanto l'accettazione, senza percorsi nascosti o dark pattern che indirizzino l'utente verso il consenso.
Per gli studi professionali che trattano categorie particolari di dati — avvocati con fascicoli processuali, medici con dati sanitari, psicologi con informazioni cliniche — le misure devono essere rafforzate: crittografia, accessi limitati, valutazioni d'impatto ove necessario. La cookie policy e' uno degli elementi visibili di un sistema di compliance che comprende anche privacy policy, registro dei trattamenti e contratti con i fornitori. Come approfondito nella nostra guida al GDPR per siti professionali, l'adeguamento non e' un costo ma un investimento in credibilita'.
Cookie banner e consenso: come implementarli correttamente
Il cookie banner e' il primo punto di contatto tra il visitatore e la vostra policy. Le Linee guida del Garante Privacy del 2021 stabiliscono requisiti precisi che molti siti professionali ancora non rispettano. Il banner deve comparire alla prima visita e offrire tre opzioni equiparate visivamente: accetta, rifiuta e personalizza. Nessuna delle tre deve essere nascosta, ridotta di dimensione o posizionata in modo sfavorevole.
I cookie tecnici — necessari al funzionamento del sito, come quelli di sessione o di preferenza lingua — possono essere attivati senza consenso, purche' dichiarati nella policy. Tutti gli altri richiedono il consenso esplicito prima dell'installazione: questo include Google Analytics (salvo configurazioni specifiche con anonimizzazione completa), pixel di Meta o LinkedIn, script di remarketing, widget di live chat che tracciano il comportamento.
La scelta della CMP (Consent Management Platform) e' importante: strumenti come Cookiebot, Iubenda o Osano gestiscono il banner, registrano le preferenze e bloccano automaticamente gli script non autorizzati. Conservate i log dei consensi con timestamp: in caso di verifica ispettiva, la tracciabilita' delle scelte e' determinante. Aggiornate il banner ogni volta che aggiungete o rimuovete un fornitore di tracciamento, e ripetete un audit cookie dopo ogni rilascio in produzione per verificare che il comportamento reale corrisponda a quanto dichiarato.
Categorie di cookie e come documentarle nella policy
Una cookie policy efficace distingue chiaramente le tipologie di tracciamento e per ciascuna indica finalita', base giuridica, durata e fornitore. La suddivisione standard prevede tre categorie principali, piu' eventuali sotto-categorie specifiche per il vostro sito.
I cookie tecnici garantiscono funzionalita' essenziali: gestione della sessione, preferenze di navigazione, sicurezza. Sono generalmente esenti da consenso se strettamente necessari. I cookie analitici misurano audience e percorsi di navigazione: se utilizzate Google Analytics con mascheramento IP e senza incrocio con altri dati Google, il Garante ha indicato condizioni specifiche; in caso contrario serve consenso. I cookie di profilazione e marketing — pixel social, remarketing, advertising — richiedono sempre consenso esplicito prima dell'attivazione.
Per ciascun cookie presente sul vostro sito, la policy dovrebbe includere una tabella con nome tecnico, finalita', durata e tipologia. Evitate testi generici copiati da generatori automatici senza verifica: le incongruenze tra policy e script effettivamente installati sono tra le contestazioni piu' frequenti. Usate strumenti di scansione come Cookiebot Scanner o BuiltWith per identificare tutti i tracciatori attivi, ma verificate manualmente i comportamenti dinamici (cookie impostati dopo login, A/B test, funnel di acquisto), perche' gli scanner automatici non li rilevano sempre.
| Categoria | Consenso necessario | Esempio | Cosa dichiarare |
|---|---|---|---|
| Tecnici | No (se strettamente necessari) | Session ID, CSRF token | Finalita', durata |
| Analitici | Dipende dalla configurazione | Google Analytics | Configurazione privacy, fornitore |
| Marketing/Profilazione | Si, sempre | Meta Pixel, LinkedIn Insight | Finalita', terze parti, opt-out |
Privacy policy, moduli di contatto e newsletter
La cookie policy non esiste in isolamento: deve essere coerente con la privacy policy generale del sito e con le informative specifiche collegate ai moduli di raccolta dati. La privacy policy deve contenere: identita' del titolare, tipologie di dati raccolti, finalita' e basi giuridiche, eventuali destinatari o trasferimenti extra-UE, periodo di conservazione, diritti dell'interessato e modalita' di reclamo all'autorita'.
Ogni modulo di contatto deve avere una base giuridica appropriata. Per un form "richiedi preventivo", la base e' generalmente l'esecuzione di misure precontrattuali; per una newsletter, serve consenso specifico con doppio opt-in (email di conferma). Conservate le prove di iscrizione e offrite sempre un link di disiscrizione funzionante. Se raccogliete dati tramite live chat o sistemi di prenotazione online, anche questi vanno documentati con informativa dedicata.
Per gli studi che trattano dati particolari — uno studio medico che riceve richieste su patologie, uno psicologo con form di primo contatto — le cautele devono essere ancora maggiori: minimizzazione dei campi raccolti (chiedete solo cio' che serve), conservazione limitata e, se necessario, valutazione d'impatto. Allineate cookie policy, privacy policy e registro trattamenti ogni volta che modificate i form o aggiungete un nuovo strumento di raccolta dati.
Gestione dei fornitori terzi e tracciamento
Ogni fornitore che tratta dati tramite il vostro sito dovrebbe essere inquadrato con un accordo ai sensi dell'articolo 28 del GDPR, che disciplina il rapporto tra titolare e responsabile del trattamento. Hosting, email marketing, CRM, analytics, live chat, piattaforme di prenotazione: ciascuno di questi servizi accede potenzialmente a dati personali dei vostri visitatori o clienti.
I pixel social di Meta, LinkedIn o altri trattano dati per finalita' pubblicitarie e vanno dichiarati nella cookie policy, attivati solo dopo consenso. Lo stesso vale per gli embed di YouTube o Vimeo, che possono impostare cookie di terze parti: usate la modalita' privacy-enhanced o placeholder che caricano il player solo dopo consenso. Anche le mappe di Google Maps possono trasmettere dati di posizione: valutate alternative statiche o caricamento condizionato.
Il principio di minimizzazione si applica anche qui: ogni script in meno significa meno clausole da monitorare, meno fornitori da contrattualizzare e meno superficie esposta a rischi. Prima di aggiungere un nuovo widget di heatmap, un chatbot o un sistema di A/B testing, chiedetevi se il valore analitico o funzionale giustifica la complessita' privacy. Un sito con tre script ben documentati e' molto piu' sicuro — e piu' veloce — di uno con venti tracciatori gestiti in modo approssimativo.
Tabella: checklist GDPR per sito professionale
Usate questa checklist per verificare lo stato di conformita' del vostro sito. Consigliamo di ripeterla almeno ogni sei mesi e dopo ogni modifica significativa (cambio CMS, nuovo plugin, aggiornamento fornitori).
| Voce | Stato da verificare | Frequenza |
|---|---|---|
| Cookie policy | Allineata ai cookie effettivi del sito | Dopo ogni deploy |
| Cookie banner | Rifiuto equiparato ad accetto, no dark pattern | Semestrale |
| Log consensi | Timestamp conservati, ricostruibili | Continuo |
| Privacy policy | Aggiornata con tutti i trattamenti attivi | Dopo ogni modifica |
| Contratti fornitori | Art. 28 GDPR con hosting, analytics, CRM | Annuale |
| Registro trattamenti | Completo e aggiornato | Semestrale |
| Moduli con informative | Informativa visibile su ogni form | Dopo ogni modifica |
| Tempi conservazione lead | Definiti e rispettati | Annuale |
| HTTPS e certificato SSL | Attivo e non scaduto | Mensile |
| Formazione interna | Chi aggiorna il sito conosce le regole | Annuale |
Attenzione legale
Le presenti indicazioni hanno natura generica e non sostituiscono la consulenza legale specialistica sul caso concreto. Verificare sempre aggiornamenti normativi e orientamenti del Garante Privacy.
Aggiornamenti, audit periodici e formazione interna
Una cookie policy utile e' sincronizzata con cio' che il sito fa davvero. Ogni rifacimento del sito, aggiornamento del CMS, aggiunta di plugin o cambio di fornitore puo' introdurre nuovi script e tracciatori: ripetete un audit cookie dopo ogni deploy in produzione, non solo in staging. Una procedura interna "go-live privacy" — chi approva nuovi script, chi verifica il fornitore, come si documenta il cambiamento — riduce il rischio di banner obsoleto.
Calendarizzate revisioni semestrali del banner e della lista cookie, con test su browser diffusi e navigazione in incognito per verificare i comportamenti reali. Conservate le versioni storiche della policy e del banner quando cambiate i testi: sono utili in caso di audit, reclami o contestazioni legali per ricostruire lo stato al momento della visita dell'interessato. Se avete nominato un DPO o un consulente privacy esterno, coinvolgetelo nelle scelte su analytics e remarketing: riduce rischi interpretativi e garantisce coerenza documentale.
La formazione di chi aggiorna il sito — segreteria, marketing, collaboratori — e' spesso il punto debole: un mini playbook interno con regole chiare ("prima di aggiungere uno script, verifica con il titolare privacy") previene errori che possono costare caro. Per gli studi associati o multi-sede, coordinate una politica privacy unica ed evitate incongruenze tra filiali. Mantenete un indirizzo email dedicato alla privacy, facilmente individuabile nel footer e nella policy, con tempi di risposta ragionevoli: dimostra accountability e rafforza la fiducia di visitatori e clienti.
Scarica la Checklist Sito Web
27 punti da verificare prima di pubblicare il sito del tuo studio. PDF gratuito.
Scarica gratisWP
Redazione WebProfessionisti
WebProfessionisti è specializzata in siti web, SEO locale e marketing digitale per studi professionali italiani. Ogni guida è scritta e verificata dal nostro team di esperti.
Scopri i nostri servizi →Servono informativa privacy chiara, base giuridica per ogni trattamento, cookie banner con scelte granulari ove necessario, misure di sicurezza adeguate e possibilita' per l'interessato di esercitare diritti (accesso, cancellazione, rettifica). Va tenuto un registro dei trattamenti aggiornato e vanno contrattualizzati i fornitori che trattano dati per conto dello studio.
Deve comparire prima dell'installazione di cookie non tecnici, offrire rifiuto con la stessa facilita' dell'accettazione, consentire scelte per categoria e rimandare alla cookie policy dettagliata. Niente checkbox pre-spuntate, niente percorsi che rendano il rifiuto piu' difficile dell'accettazione. Le Linee guida del Garante italiano del 2021 restano il riferimento operativo principale.
Non sempre. Il DPO e' obbligatorio solo in presenza di specifici criteri: trattamenti sistematici su larga scala di categorie particolari di dati, monitoraggio regolare e sistematico su larga scala. Uno studio legale con pochi collaboratori generalmente non rientra in questi criteri, ma la valutazione va fatta caso per caso con consulenza legale specializzata.
Il Garante puo' applicare sanzioni amministrative fino a 20 milioni di euro o al 4% del fatturato annuo globale, a seconda della gravita'. Oltre alla sanzione economica, ci sono rischi reputazionali significativi e possibili contenziosi con clienti, pazienti o controparti che possono emergere da gestioni superficiali dei dati personali.
Ogni volta che cambiate strumenti di tracciamento, aggiungete o rimuovete plugin, modificate le finalita' di un cookie o cambiate fornitore di analytics. In assenza di modifiche, una revisione semestrale permette di verificare che la policy sia ancora allineata al comportamento reale del sito.
Fonti e riferimenti
Termini dal glossario
GDPR
Il GDPR, Regolamento europeo sulla protezione dei dati personali, definisce principi e diritti per chi tratta dati di persone fisiche nell'Unione. Impatta siti web che raccolgono moduli, newsletter, cookie di profilazione o strumenti analytics. Gli obblighi includono base giuridica del trattamento, informativa chiara, misure di sicurezza e risposta agli esercizio dei diritti degli interessati. Per professionisti, spesso titolari e responsabili di trattamento, vanno mappate le finalità e aggiornati accordi con fornitori. Sanzioni e reputazione sono i rischi principali in caso di violazioni. Il sito deve rendere facile contattare il titolare e gestire consensi ove necessario. La compliance non è statica: nuovi strumenti marketing o chatbot richiedono rivalutazioni periodiche. Documentare le scelte in registro e policy aiuta dimostrabilità in audit.
Privacy PolicyLa privacy policy è l'informativa resa agli utenti sul trattamento dei dati personali raccolti tramite sito, app o servizi collegati. Deve indicare titolare, finalità, base giuridica, conservazione, diritti e destinatari, in linguaggio comprensibile. Per professionisti titolari del trattamento, aggiornarla quando si aggiungono strumenti come chatbot o newsletter è obbligatorio. Link ben visibili in footer e nei form aumentano trasparenza e fiducia. La policy non sostituisce il consenso dove richiesto, ma informa. Versioni archiviate dimostrano conformità nel tempo in caso di contestazioni. Allineare testo e pratiche effettive evita incongruenze pericolose in audit o reclami.
HTTPSHTTPS è il protocollo HTTP crittografato tramite TLS, che protegge integrità e riservatezza dei dati scambiati tra browser e server. I motori di ricerca premiano siti sicuri e i browser segnalano come non sicuri quelli ancora su HTTP per pagine con form. Per studi professionali che raccolgono dati sensibili, HTTPS è indispensabile oltre che una buona pratica. Il certificato va rinnovato e configurato correttamente su tutte le risorse, inclusi sottodomini e CDN, per evitare contenuti misti. Redirect da HTTP a HTTPS con codice 301 consolida segnali e previene duplicati. HSTS può essere aggiunto per ridurre rischi di downgrade. Monitorare scadenze e catene di certificati evita interruzioni che danneggiano fiducia e conversioni.
SSLSSL è il predecessore storico della nomenclatura usata per i certificati TLS che abilitano HTTPS; oggi si parla spesso di certificati TLS anche se il termine SSL resta comune nel linguaggio quotidiano. Garantisce che la connessione tra utente e server sia crittografata e che l'identità del sito sia verificata da un'autorità attendibile, salvo eccezioni. Browser mostrano lucchetti o avvisi in base allo stato del certificato. Per siti professionali con login o dati personali, configurazione corretta è obbligatoria. Errori di catena o certificati scaduti generano allarmi che allontanano i clienti. Hosting gestiti spesso rinnovano automaticamente con Let's Encrypt. HSTS e redirect coerenti completano l'implementazione sicura.
Firma digitaleLa firma digitale è uno strumento crittografico che garantisce autenticità e integrità di un documento elettronico, diversamente dalla semplice firma elettronica grafica o dal click di accettazione. In Italia, i certificati qualificati e le soluzioni riconosciute consentono di produrre atti con valore legale in molti rapporti con la PA e tra privati, secondo normativa europea e nazionale. Per studi professionali, integrare la firma digitale nei flussi di onboarding dei clienti accelera contratti e deleghe senza carta. È importante informare gli utenti su passaggi, conservazione e revoche. Dal punto di vista del sito, pagine che spiegano come inviare documenti in modo sicuro riducono attriti e supportano la conformità. Aggiornarsi sulle evoluzioni eIDAS e sulle piattaforme certificate evita uso di strumenti non idonei. La firma digitale non sostituisce sempre la PEC per certe comunicazioni obbligatorie: verificare caso per caso.
DominioIl nome di dominio è l'indirizzo testuale univoco che gli utenti digitano nel browser per raggiungere un sito, come esempio.it, composto da secondo livello e estensione. La scelta influenza memorabilità, percezione professionale e coerenza con email istituzionali. Gli estensioni .it sono comuni in Italia; esistono anche TLD tematiche o geografiche con regole diverse. Il dominio va registrato presso un registrar e collegato ai server DNS che puntano all'hosting. Trasferimenti e rinnovi vanno monitorati per evitare scadenze che espongono a cybersquatting. Per professionisti, allineare dominio, intestazione dello studio e presenza su Google riduce confusione nei clienti. Evitare nomi troppo lunghi o facilmente confondibili con competitor. La disponibilità va verificata prima di stampare carta intestata. Il dominio non include automaticamente casella PEC, che segue regole distinte. In sintesi, è l'identità digitale primaria dello studio sul web.