GDPR2 la soluzione semplice per rendere il tuo sito WordPress conforme al GDPR

Guida introduttiva

La conformità al GDPR non è più un’opzione, ma un obbligo per chiunque gestisca un sito web che raccoglie dati degli utenti, anche in modo indiretto. Che si tratti di un blog, un e-commerce o una semplice landing page, è fondamentale offrire agli utenti trasparenza e controllo sui propri dati personali.

GDPR2 è un plugin per WordPress progettato per rendere tutto questo molto più semplice.

Con pochi clic, GDPR2 ti permette di:

Generare automaticamente una Privacy Policy personalizzata;
Creare una Cookie Policy completa e aggiornata;
Mostrare un cookie banner conforme alle normative europee, con gestione del consenso granulare;
Tenere traccia dei consensi ottenuti, per essere sempre al sicuro in caso di controlli.

Il suo punto di forza? È pensato per essere intuitivo e accessibile anche ai non esperti, ma offre allo stesso tempo strumenti avanzati per chi desidera personalizzare ogni dettaglio.

In questa guida ti mostreremo passo dopo passo come installare, configurare e utilizzare GDPR2 al meglio, per rendere il tuo sito WordPress perfettamente conforme al Regolamento Generale sulla Protezione dei Dati.

Tipo di Sito e Attività

Personalizza la tua documentazione legale in base alla natura del tuo sito

Uno degli aspetti fondamentali della conformità GDPR è adattare le informazioni fornite agli utenti al contesto specifico in cui operi. Il plugin GDPR2 semplifica questo passaggio chiedendoti fin da subito di specificare:

🔹 Tipo di Sito

Seleziona la tipologia che meglio descrive il tuo sito. Questo permetterà al plugin di generare testi più coerenti con le funzionalità effettive del tuo progetto online. Le opzioni disponibili includono:

Blog / Sito di Notizie: Ideale per chi pubblica articoli, aggiornamenti o contenuti informativi.
E-commerce: Se vendi prodotti o servizi online, questa è l’opzione giusta. Verranno inclusi riferimenti a transazioni, pagamenti e gestione degli ordini.
Sito Aziendale: Per attività commerciali che presentano la propria offerta online ma non vendono direttamente.
Portfolio: Perfetto per liberi professionisti, creativi, fotografi, designer e simili.
Altro: Se il tuo sito non rientra nelle categorie precedenti, puoi scegliere questa opzione e specificare più avanti i dettagli.

👉 Nota: Questa scelta influenzerà il contenuto della Privacy Policy, in particolare le finalità del trattamento, i tipi di dati raccolti e le basi legali.

🔹 Settore di Attività

Una volta selezionato il tipo di sito, GDPR2 ti chiederà di indicare anche il settore in cui opera la tua attività (es. marketing, salute, turismo, formazione, ecc.). Questo aiuta a:

Adattare il linguaggio legale in base al contesto;
Specificare riferimenti normativi particolari, se previsti per quel settore;
Personalizzare i consensi e i moduli, in base alle finalità specifiche del trattamento.

📌 Consiglio pratico: se il tuo sito svolge più di una funzione (es. blog + e-commerce), scegli l’opzione più rilevante o specifica tutto nella descrizione personalizzata, quando disponibile.

Informazioni Azienda

Inserisci i dati legali della tua attività per una documentazione conforme e trasparente

Per generare documenti legali personalizzati e a norma, GDPR2 ti chiede di inserire alcune informazioni ufficiali della tua azienda o attività professionale. Questi dati verranno utilizzati per compilare automaticamente Privacy Policy, Cookie Policy e altri testi legali richiesti.

🏢 Nome Azienda

Inserisci il nome commerciale con cui ti presenti al pubblico. È quello che appare sul sito, nei materiali promozionali o nei social.
Esempio: “Studio Web XYZ”

📄 Nome Legale

Specifica il nome legale completo della tua impresa, come registrato ufficialmente.
Esempio: “XYZ Web Solutions S.r.l.”

👉 Se sei un libero professionista o una ditta individuale, usa la tua denominazione completa (es. “Mario Rossi – Web Developer”).

📍 Indirizzo Legale

Qui va indicata la sede legale della tua azienda. Serve per identificare correttamente il titolare del trattamento.
Inserisci via, numero civico, CAP, città e provincia.
Esempio: Via Roma 12, 00100 Roma (RM)

🆔 Numero di Registrazione

È il numero con cui la tua azienda è registrata presso la Camera di Commercio o un registro equivalente (es. REA).
Se non sei iscritto, puoi lasciare il campo vuoto o indicare “Non applicabile”.

💼 Partita IVA

Fondamentale per identificare il soggetto giuridico. Inserisci la tua Partita IVA italiana o il numero di identificazione fiscale se operi all’estero.

Contatti del Responsabile della Protezione dei Dati (DPO)

Se hai nominato un DPO (Data Protection Officer), GDPR2 ti consente di inserire i suoi contatti per rispettare l’obbligo di trasparenza previsto dal regolamento.

📧 Email DPO

Inserisci l’indirizzo email dedicato al contatto con il DPO. Questo indirizzo sarà visibile agli utenti e usato per esercitare i diritti previsti dal GDPR.

☎️ Telefono DPO

Un numero diretto o alternativo per contattare il DPO. Non è sempre obbligatorio, ma è consigliato per facilitare la comunicazione con gli utenti e le autorità competenti.

📌 Nota bene: Se non hai un DPO nominato (cosa comune nelle microimprese), puoi lasciare questi campi vuoti. GDPR2 genererà automaticamente testi alternativi che non fanno riferimento a questa figura.

Dati Personali

Specifica quali dati raccoglie il tuo sito per una policy precisa e trasparente

Per generare una Privacy Policy efficace e realmente conforme, GDPR2 ti guida nell’identificare esattamente quali categorie di dati personali vengono trattate sul tuo sito.

Questa sezione è cruciale: permette al plugin di costruire testi legali su misura e informare correttamente gli utenti sulle informazioni raccolte, in base alla loro natura e finalità.

📌 Come funziona?

Ti verrà chiesto di selezionare le tipologie di dati raccolti tramite moduli, strumenti di tracciamento, processi di pagamento, analytics o altri sistemi integrati nel sito.

Vediamo nel dettaglio le categorie:

🔹 Dati di Identificazione

Questi dati servono a riconoscere o contattare direttamente l’utente.

Nome e Cognome: Raccogli se usi moduli di contatto, iscrizione, commenti o checkout.
Indirizzo Email: Comune in newsletter, moduli, ordini e supporto clienti.
Numero di Telefono: Utilizzato in moduli di contatto, prenotazioni o vendite.
Indirizzo Postale: Rilevante per spedizioni, fatture o registrazioni formali.

🔹 Dati Tecnici

Dati raccolti automaticamente durante la navigazione.

Indirizzo IP: Spesso registrato dai server, plugin di sicurezza, sistemi di statistica.
Cookie: Inclusi quelli tecnici, analitici, di profilazione, ecc. Il plugin li rileva automaticamente.
Informazioni Browser: Riguarda tipo di dispositivo, sistema operativo, risoluzione schermo, ecc.

👉 Questi dati sono spesso raccolti senza che l’utente li inserisca manualmente, ma vanno comunque dichiarati.

🔹 Dati di Pagamento

Se vendi prodotti o servizi, è probabile che tu tratti anche dati legati a pagamenti.

Dati di Pagamento: Numero di carta, IBAN, token di pagamento (tramite gateway come Stripe, PayPal, ecc.).
Dati di Fatturazione: Nome azienda, Partita IVA, indirizzo, codice SDI o PEC.

📌 Nota: Anche se il pagamento è gestito da terze parti, è bene dichiarare che questi dati vengono trasmessi tramite il tuo sito.

🔹 Dati Sensibili

Categorie speciali di dati che richiedono maggiore attenzione e specifico consenso.

Dati Sanitari: Rilevanti per siti medici, cliniche, farmacie online, ecc.
Dati Biometrici: Per il riconoscimento facciale, impronte digitali, ecc. (raro nei siti standard, ma presente in app o portali di accesso sicuro).

⚠️ Importante: Se tratti dati sensibili, devi adottare misure di sicurezza rafforzate e assicurarti che il consenso dell’utente sia esplicito e verificabile.

✅ Consiglio pratico

Attiva solo le categorie che effettivamente raccogli. GDPR2 utilizzerà queste informazioni per:

Generare testi chiari e coerenti;
Mostrare le basi legali appropriate (es. consenso, obblighi contrattuali, interesse legittimo);
Adattare il cookie banner e il registro consensi.

Finalità del Trattamento

Spiega agli utenti perché raccogli i loro dati personali

Il GDPR richiede che ogni sito spieghi con precisione le finalità per cui raccoglie e utilizza i dati personali degli utenti. Con GDPR2 puoi farlo in modo guidato, selezionando le attività realmente svolte sul tuo sito.

Questa sezione serve a generare informative trasparenti e su misura per ciò che fai concretamente.

Vediamo nel dettaglio le opzioni disponibili:

🔹 Finalità Principali

📬 Contatto e Comunicazione

Utilizzi i dati per rispondere a richieste tramite moduli, email, telefono o chat.
Esempi: modulo contatti, richieste di preventivo, assistenza clienti.

📣 Newsletter e Marketing

Raccogli email o altri dati per inviare aggiornamenti, promozioni, offerte o contenuti informativi.
Esempi: iscrizione a una newsletter, automazioni di email marketing, promozioni personalizzate.

📊 Analisi e Statistiche

Usi strumenti (es. Google Analytics, Matomo) per monitorare il traffico, capire il comportamento degli utenti e migliorare il sito.
⚠️ Importante: se usi cookie analitici di terze parti senza anonimizzazione, serve consenso.

🔹 Finalità E-commerce

🛒 Gestione Ordini

Tratti dati per ricevere, elaborare e gestire ordini effettuati sul sito.

📦 Spedizione e Consegna

Utilizzi i dati per organizzare la spedizione dei prodotti acquistati, anche tramite corrieri esterni.

🔁 Resi e Rimborsi

Gestisci richieste di reso, sostituzione o rimborso secondo le condizioni di vendita.

👉 Queste finalità sono fondamentali per qualsiasi sito che vende online, anche se usa piattaforme esterne come WooCommerce o Shopify.

🔹 Finalità Legali

📄 Conformità Legale

Tratti dati per rispettare obblighi di legge, come la conservazione di fatture, comunicazioni fiscali o richieste dell’autorità.

🛡 Sicurezza e Prevenzione Frodi

Utilizzi i dati per tutelare il sito e gli utenti da accessi non autorizzati, attacchi informatici o attività sospette.
Esempi: plugin di sicurezza, antispam, sistemi antifrode integrati nei pagamenti.

✅ Consiglio pratico

Attiva solo le finalità effettive per il tuo sito. GDPR2 imposterà:

Le basi legali appropriate per ciascuna finalità (es. consenso, contratto, obbligo legale);
I testi specifici nella privacy policy e nel registro delle attività di trattamento;
Eventuali checkbox nei moduli di contatto o iscrizione.

Base Giuridica del Trattamento

Ogni trattamento ha bisogno di una “buona ragione” – e il GDPR vuole sapere qual è

Il Regolamento Europeo GDPR impone che ogni dato personale trattato abbia una base giuridica chiara. In parole semplici, devi spiegare su quale fondamento legale ti basi per raccogliere e usare un certo tipo di dato.

GDPR2 ti aiuta a mappare le basi giuridiche in modo semplice e coerente con le finalità che hai selezionato in precedenza.

🛠 Cos’è una base giuridica?

È il motivo legale per cui puoi raccogliere e trattare dati personali. Senza una base valida, il trattamento è considerato illegittimo.

Ecco le opzioni previste dal GDPR e come si applicano ai siti web:

🔹 Consenso dell’interessato

Quando chiedi e ottieni un sì esplicito.
Usato per:

Iscrizione a newsletter
Cookie non essenziali (marketing, profilazione)
Moduli di contatto opzionali
Sondaggi o iscrizioni a eventi

⚠️ Il consenso deve essere libero, specifico, informato e revocabile in ogni momento.

🔹 Esecuzione di un contratto

Quando il trattamento è necessario per un servizio richiesto dall’utente.
Usato per:

Ordini e acquisti online
Registrazione a un’area riservata
Prenotazioni
Attivazione di account o licenze

📌 Qui il consenso non è richiesto, perché l’utente ha già chiesto volontariamente il servizio.

🔹 Adempimento di un obbligo legale

Quando la legge ti impone di trattare i dati.
Usato per:

Emissione di fatture
Conservazione dei dati fiscali
Comunicazioni obbligatorie verso enti pubblici

👉 In questo caso non serve consenso, ma va dichiarato in modo trasparente nella privacy policy.

🔹 Tutela degli interessi vitali

Raramente usata nei siti web. Serve solo in casi di emergenza, per proteggere la vita o l’incolumità di una persona.
Esempio (estremo): inviare dati al 118 in caso di malore durante una consulenza online.

🔹 Esecuzione di un compito di interesse pubblico

Usata solo da enti pubblici o soggetti che svolgono compiti di interesse generale.
Esempio: un sito comunale che gestisce prenotazioni per i vaccini.

Se non sei un ente pubblico, puoi ignorarla.

🔹 Pursuance di interessi legittimi

Quando il trattamento è giustificato da un tuo interesse, purché non prevalga sui diritti dell’utente.
Usato per:

Analisi statistiche interne
Sicurezza del sito
Prevenzione frodi
Soft marketing a clienti esistenti

📌 Serve sempre un bilanciamento degli interessi, da documentare, ma non richiede consenso.

✅ Come si usa nel plugin?

GDPR2 assegna automaticamente la base giuridica più adatta in base alle finalità che hai selezionato, ma ti dà anche la possibilità di personalizzarla manualmente.

Conservazione dei Dati

Quanto a lungo tieni i dati? E dove li tieni?

Il GDPR richiede che tu definisca e comunichi in modo chiaro:

Per quanto tempo conservi i dati personali raccolti
Dove questi dati vengono fisicamente o digitalmente archiviati

GDPR2 ti guida passo dopo passo per indicare queste informazioni, che andranno poi riportate nella privacy policy e nel registro dei trattamenti.

🕒 Periodo di Conservazione

Specifica la durata per cui i dati vengono conservati, a seconda della tipologia e della finalità.

Esempi pratici:

Contatti via form: fino a 12 mesi dopo l’ultima comunicazione
Iscrizione alla newsletter: fino alla revoca del consenso
Dati per fatturazione: 10 anni (obbligo di legge)
Account utenti: finché resta attivo o fino alla richiesta di cancellazione
Dati raccolti per analisi statistiche: max 26 mesi (es. Google Analytics)

📌 Consiglio: evita formule vaghe tipo “il tempo necessario”. Indica sempre un periodo preciso o una condizione chiara (es. “fino a revoca”).

📍 Ubicazione dei Dati

Indica dove sono conservati fisicamente o virtualmente i dati degli utenti. Questo è importante anche per valutare la conformità con le normative europee, soprattutto in caso di trasferimenti internazionali.

Esempi comuni:

Server in UE (es. Aruba, OVH, Hetzner)
Cloud Provider in UE (es. IONOS, Scaleway, AWS con datacenter europei)
Piattaforme esterne (es. Mailchimp, Stripe, Google Workspace – specificando se sono soggette a SCC o altri meccanismi di garanzia)

⚠️ Se i dati sono archiviati al di fuori dello Spazio Economico Europeo (SEE), vanno indicate le garanzie adottate, come le Clausole Contrattuali Standard (SCC).

✅ Come ti aiuta GDPR2?

Nel backend del plugin potrai:

Impostare periodi diversi per ciascun tipo di dato/finalità
Specificare se i dati sono conservati su server propri, di terzi, o in cloud
Generare automaticamente i testi da inserire nella privacy policy e nel registro dei trattamenti

Diritti degli Utenti

Spiegare i diritti non è un optional. È un obbligo.

Il Regolamento Generale sulla Protezione dei Dati (GDPR) riconosce ai cittadini europei una serie di diritti fondamentali sui propri dati personali.
Ogni sito web deve informare gli utenti dei loro diritti e permettere loro di esercitarli in modo semplice ed efficace.

GDPR2 include automaticamente questi diritti nella privacy policy generata, ma è utile che tu li conosca per rispondere correttamente a eventuali richieste.

📋 Diritti da includere nella tua policy:

🔐 Diritto di Accesso

L’utente può chiederti quali dati hai raccolto, come li usi e con chi li condividi.
🧭 Esempio: “Vorrei sapere quali dati personali avete su di me.”

✏️ Diritto di Rettifica

Se un dato è errato o incompleto, l’utente può chiedere la correzione.
🛠 Esempio: cambio di indirizzo email, aggiornamento di nome/cognome.

🗑️ Diritto alla Cancellazione (o “Diritto all’oblio”)

L’utente può chiedere che i suoi dati siano cancellati, salvo obblighi di legge (es. dati fiscali).
📌 Non sempre è possibile cancellare tutto subito, ma devi giustificare eventuali eccezioni.

⛔ Diritto alla Limitazione

L’utente può chiedere di limitare temporaneamente l’uso dei suoi dati, ad esempio durante una contestazione.
🧘‍♂️ I dati vengono “congelati”, ma non cancellati.

🔄 Diritto alla Portabilità

L’utente può chiedere di ricevere i suoi dati in un formato strutturato e leggibile, o trasferirli a un altro titolare.
📦 Utile per account, profili utente, cronologie di acquisti.

🚫 Diritto di Opposizione

L’utente può opporsi all’uso dei suoi dati per finalità specifiche, ad esempio il marketing diretto.
📭 Se qualcuno si cancella da una newsletter, questo diritto va rispettato subito.

🤖 Diritto a non essere sottoposto a decisioni automatizzate

L’utente può chiedere che le decisioni che lo riguardano (es. scoring, profilazione) non siano prese solo da algoritmi, ma prevedano l’intervento umano.
💡 Rilevante se il sito usa intelligenza artificiale, profilazioni avanzate, o automazioni che influenzano l’esperienza utente.

✅ Come funziona con GDPR2?

Il plugin ti permette di:

Includere tutti i diritti con testi già pronti e personalizzabili
Indicare un punto di contatto (email o form) per esercitare i diritti
Documentare in backend eventuali richieste ricevute dagli utenti

🌍 Trasferimenti Internazionali

Dove vanno a finire i dati degli utenti?

Il GDPR richiede massima trasparenza su dove vengono trattati e conservati i dati personali. Se i dati escono dall’UE o dallo Spazio Economico Europeo (SEE), è fondamentale indicare:

Dove vanno
Chi li gestisce
Quali garanzie di sicurezza sono applicate

📌 Trasferimenti di Dati:

Nella tua privacy policy (e nel registro dei trattamenti) devi specificare se i dati:

🇪🇺 Vengono trattati all’interno dell’Unione Europea

Nessun problema: i trasferimenti all’interno dell’UE sono considerati sicuri e conformi.

🇳🇴🇮🇸🇱🇮 Avvengono all’interno dello Spazio Economico Europeo (SEE)

Anche qui sei in regola. Il SEE comprende tutti i paesi UE più Norvegia, Islanda e Liechtenstein.

🌐 Vengono trasferiti a Paesi Terzi (fuori dal SEE)

Qui le cose si complicano: il GDPR permette il trasferimento solo se il paese terzo garantisce un livello adeguato di protezione.
Se usi servizi come Google, Meta, Mailchimp, Stripe, AWS (non UE), è molto probabile che i dati escano dal SEE.

🛡️ Garanzie per i Trasferimenti

Per essere conforme, devi specificare quali misure hai adottato per proteggere i dati nei trasferimenti internazionali.

Ecco le più comuni:

Clausole Contrattuali Standard (SCC): contratti approvati dalla Commissione UE per tutelare i dati nei Paesi terzi.
Esempio: Google, Meta e molte piattaforme USA li usano.
Binding Corporate Rules (BCR): regole interne valide per gruppi multinazionali che trattano i dati in vari paesi.
Decisioni di Adeguatezza: se l’UE ha riconosciuto formalmente un paese terzo come “adeguato” (es. Svizzera, UK, Canada per alcuni settori).
Consenso esplicito dell’utente: solo come ultima risorsa e non sufficiente da sola per garantire la conformità continuativa.

✅ Come ti aiuta GDPR2?

Il plugin ti permette di:

Selezionare i paesi o provider terzi coinvolti
Indicare il tipo di garanzia usata (SCC, BCR, ecc.)
Generare il testo conforme da inserire nella privacy policy
Mantenere aggiornata la documentazione in caso di cambi normativa

🔐 Sicurezza dei Dati

Non basta raccogliere dati. Bisogna anche proteggerli.

Il GDPR impone al titolare del trattamento di garantire la sicurezza, l’integrità e la riservatezza dei dati personali.
Questo significa che, oltre a informare gli utenti, devi anche spiegare quali misure tecniche e organizzative metti in atto per proteggerli.

🔧 Misure di Sicurezza comuni da includere

🔒 Crittografia dei Dati

Usi protocolli sicuri come HTTPS, e (se applicabile) la crittografia lato server o client per proteggere dati sensibili o di pagamento.
💡 Obbligatoria per e-commerce o form di contatto che gestiscono dati riservati.

🧑‍💼 Controllo degli Accessi

Solo persone autorizzate hanno accesso ai dati, in base a ruoli precisi.
Può includere:

Autenticazione a due fattori (2FA)
Limitazione dell’accesso per collaboratori
Logging degli accessi e delle modifiche ai dati

💾 Backup Regolari

Effettui salvataggi automatici e regolari dei dati su server sicuri, in modo da poterli ripristinare in caso di incidente (es. attacchi, malfunzionamenti).
🛑 Importante anche per la resilienza ai ransomware.

🧪 Test di Sicurezza

Effettui periodicamente controlli di sicurezza, come:

Vulnerability scan
Test di penetrazione (penetration testing)
Aggiornamenti regolari di plugin, CMS, sistema operativo
🎯 Fondamentale per WordPress: un plugin vecchio può bastare per un data breach.

✅ Come ti aiuta GDPR2?

Il plugin ti permette di:

Selezionare facilmente le misure adottate
Generare testi tecnicamente corretti ma chiari per gli utenti
Personalizzare le descrizioni in base al tipo di sito (blog, ecommerce, aziendale…)

🍪 Cookie e Tecnologie di Tracciamento

Chi ama il tuo sito… deve poter dire sì ai cookie!

Il GDPR e la Direttiva ePrivacy richiedono di informare gli utenti in modo trasparente su quali cookie vengono usati, ottenere il consenso (dove necessario) e permettere una gestione granulare delle preferenze.

Con GDPR2 puoi selezionare facilmente:

Tipi di cookie usati
Finalità
Strumenti specifici (come Google Analytics)
Durata di conservazione

🧩 Tipi di Cookie Utilizzati

🔧 Cookie Tecnici

Essenziali per il funzionamento del sito. Non richiedono consenso.
Esempi:

Cookie di sessione
Cookie di login
Cookie per mantenere le preferenze dell’utente

⏱️ Cookie di Sessione

Vengono eliminati automaticamente alla chiusura del browser.
Utilizzati per: login temporaneo, carrello e-commerce, navigazione step-by-step.

🎛️ Cookie di Preferenze

Memorizzano le scelte dell’utente (lingua, layout, prodotti visualizzati).
Richiedono consenso solo se non strettamente tecnici.

📊 Cookie Analitici

Utilizzati per raccogliere informazioni aggregate sull’uso del sito.

Google Analytics

Raccoglie dati anonimi o pseudonimizzati su comportamento e navigazione.
⚠️ Richiede anonimizzazione IP e consenso per essere conforme.

Altri Strumenti Analitici

Es: Matomo, Hotjar, Plausible
Il plugin consente di specificarli e dichiararli nella cookie policy.

🎯 Cookie di Marketing

Utilizzati per profilare gli utenti e mostrare pubblicità mirata.

Cookie Pubblicitari

Es: Google Ads, Facebook Pixel
Tracciano il comportamento su più siti e creano un profilo dell’utente.

Cookie Social Media

Es: pulsanti di condivisione di Facebook, Twitter, Instagram
Possono tracciare l’utente anche se non interagisce col widget.

⚠️ Necessitano sempre del consenso preventivo.

⏳ Durata dei Cookie

Specifica per ogni cookie per quanto tempo viene conservato.

Esempi:

Cookie di sessione: fino alla chiusura del browser
Cookie tecnici: 30 giorni
Cookie di marketing: fino a 12 mesi

✅ Come ti aiuta GDPR2?

Genera il banner cookie personalizzato, compatibile con IAB TCF 2.0
Consente la gestione selettiva del consenso
Ti guida nella classificazione dei cookie (anche automaticamente)
Crea una cookie policy completa pronta da inserire nel sito

🧑‍💻 Processori di Dati

Non fai tutto da solo? Allora servono garanzie.

Quando affidi dati personali a terze parti (hosting, tool di email marketing, servizi cloud…), queste aziende diventano “Responsabili del Trattamento” ai sensi del GDPR, anche detti data processors.
È tuo dovere dichiararli e assicurarti che trattino i dati in modo conforme.

🗂️ Categorie di Processori da dichiarare

🌐 Fornitore di Hosting

Ospita il sito e può avere accesso ai dati (database, log, IP).
Es: Aruba, SiteGround, OVH, Amazon Web Services, ecc.

📈 Servizi di Analisi

Gestiscono il tracciamento delle visite e l’analisi del comportamento degli utenti.
Es: Google Analytics, Matomo, Hotjar

💳 Processori di Pagamento

Gestiscono i pagamenti online e trattano dati di fatturazione.
Es: Stripe, PayPal, Nexi, Klarna

📧 Servizi Email

Inviano newsletter, email transazionali, notifiche.
Es: Mailchimp, Brevo, MailerLite, Sendgrid

☁️ Servizi Cloud

Archiviazione o sincronizzazione dei dati su infrastrutture cloud.
Es: Dropbox, Google Drive, Microsoft OneDrive

📜 Accordi con i Processori

Il GDPR richiede che ogni rapporto con un processore sia regolato da un contratto specifico (art. 28).
Nel plugin puoi indicare che:

Hai sottoscritto accordi scritti o digitali con tutti i fornitori coinvolti
Questi accordi includono clausole contrattuali standard (SCCs), Binding Corporate Rules o altri strumenti di garanzia
I processori si impegnano a:
- trattare i dati solo su tua istruzione
- mantenere la riservatezza
- garantire la sicurezza tecnica e organizzativa
- collaborare in caso di richiesta da parte dell’interessato o del Garante

✅ GDPR2 ti semplifica tutto questo:

Ti consente di selezionare le categorie di processori usati
Ti guida nell’inserimento dei fornitori effettivi
Genera una sezione chiara da inserire nella tua Privacy Policy
Ti suggerisce esempi di clausole da utilizzare nei contratti

🔐 Violazioni dei Dati

Quando qualcosa va storto… è fondamentale essere pronti.

Una violazione dei dati personali (data breach) può verificarsi per errore umano, attacchi informatici, perdita di dispositivi, accessi non autorizzati o falle di sicurezza.

Il GDPR richiede che tu abbia una procedura documentata per gestire tali situazioni e, se necessario, notificare l’autorità competente e gli interessati entro 72 ore.

⚙️ Procedura per Violazioni

Con GDPR2 puoi inserire una procedura personalizzata. Ecco un esempio base, adattabile:

In caso di violazione dei dati personali, il Titolare del Trattamento:

Avvia immediatamente un’indagine interna per accertare natura, portata e origine dell’incidente.

Documenta ogni fase dell’accaduto, come richiesto dall’art. 33 del GDPR.

Se la violazione comporta un rischio per i diritti e le libertà degli interessati, notifica l’accaduto al Garante della Privacy entro 72 ore.

Se il rischio è elevato, informa anche direttamente gli interessati coinvolti, indicando le misure adottate e i dati compromessi.

Valuta le azioni correttive da adottare per prevenire ulteriori violazioni.

👉 Puoi modificare o ampliare la procedura in base alle dimensioni e alla struttura del tuo sito o della tua azienda.

📮 Contatto per Violazioni

Nel caso un utente o collaboratore volesse segnalare una potenziale violazione, è necessario fornire un punto di contatto diretto.

Email consigliata da inserire:
📧 privacy@nomedominio.it
(o un altro indirizzo accessibile al Titolare o al DPO)

✅ Come ti aiuta GDPR2

Ti guida nella creazione della procedura in pochi clic
Inserisce automaticamente i riferimenti normativi
Ti permette di aggiornare rapidamente il contatto in caso di cambiamenti
Aggiunge tutto alla tua Privacy Policy in modo ordinato e conforme

🔄 Modifiche alla Policy

Perché anche le regole si aggiornano

Le informative privacy non sono scolpite nella pietra: possono (e devono) cambiare quando:

si introducono nuovi servizi
si raccolgono nuovi tipi di dati
cambiano le basi giuridiche
si aggiornano i fornitori o gli strumenti di tracciamento

Il GDPR richiede che le modifiche siano tracciabili e comunicate chiaramente.

🆔 Versione Policy

Serve per identificare la versione attuale della tua privacy policy.
Formato consigliato:

1.0 → versione iniziale
2.0 → grande aggiornamento
2025.1 → prima revisione del 2025

👉 Con GDPR2 puoi gestire automaticamente le versioni e mantenerle visibili nel footer del tuo sito o nella policy.

📅 Ultimo Aggiornamento

Indica la data effettiva dell’ultima modifica alla policy.
Esempio: 17 maggio 2025
Serve a garantire trasparenza e informare l’utente sulla validità del documento.

📢 Notifica Modifiche

Qui va specificato come verranno comunicate agli utenti le modifiche alla privacy policy.
Esempio pratico da inserire:

Eventuali modifiche alla presente Privacy Policy saranno pubblicate su questa pagina e, se rilevanti, comunicate agli utenti tramite:

Avviso sul sito (es. banner o pop-up)

Email (per gli utenti registrati)

Aggiornamento del documento con nuova versione e data

In caso di modifiche sostanziali, potresti anche richiedere nuovamente il consenso, se necessario.

✅ Come ti aiuta GDPR2

Ti permette di gestire e tracciare le versioni della policy
Ti ricorda quando aggiornare la data dell’ultima modifica
Integra un sistema di notifica agli utenti (es. banner in evidenza)
Ti suggerisce i canali migliori per comunicare i cambiamenti