Conformità & GDPR

Come verificare la conformità GDPR del tuo sito web nel 2026

Avere un banner cookie non prova nulla. La conformità GDPR di un sito si constata nel browser: cosa si attiva prima del minimo clic, e cosa succede davvero quando si rifiuta. Ecco come verificare il tuo sito — a mano, poi in 90 secondi.

Fred Gaveau28 giugno 2026~9 min di lettura

La maggior parte dei siti che analizziamo mostra un banner e si crede in regola. Eppure, nella maggioranza dei casi, dei tracker — Google Analytics, Meta Pixel, retargeting — si attivano prima che il visitatore abbia cliccato qualcosa, o continuano a girare dopo un rifiuto. Il banner rassicura, ma non blocca nulla. Un audit GDPR serve esattamente a misurare questo scarto tra ciò che credi e ciò che il tuo sito fa davvero.

Cosa verifica davvero un audit GDPR

Un audit utile non legge le tue note legali: osserva il comportamento tecnico della pagina. I punti da controllare:

Tracker prima del consenso — quali cookie e script si attivano al caricamento, prima di ogni azione del visitatore.
Effettività del rifiuto — dopo un clic su « Rifiuta », i tracker di marketing si fermano davvero, o sparisce solo il banner?
Trasferimenti extra-UE — verso quali server e CDN partono i dati (spesso gli Stati Uniti, senza garanzie).
Banner di consenso — presenza, e soprattutto simmetria « Accetta » / « Rifiuta ».
Google Consent Mode v2 — configurato correttamente, o in modalità « concesso per impostazione predefinita »?
Tracker mascherati (CNAME cloaking) — spie travestite da sottodominio first-party.

È esattamente ciò che elenca il nostro audit GDPR gratuito: carica la tua pagina come un vero visitatore e svolge tre fasi — prima del consenso, dopo l'accettazione, dopo il rifiuto.

Il metodo manuale: 10 minuti con i DevTools

Puoi fare una prima constatazione da solo, senza strumenti. Apri il tuo sito in navigazione privata, poi gli strumenti di sviluppo del browser (F12):

Scheda « Application » → Cookie: ricarica la pagina senza toccare il banner. Ogni cookie diverso da quelli strettamente necessari (carrello, sessione, sicurezza, il cookie di consenso stesso) non dovrebbe esserci.
Scheda « Network »: individua i domini terzi. Vedi chiamate verso google-analytics.com, facebook.net o doubleclick.net prima del tuo clic? È uno scarto.
Clicca « Rifiuta », poi ricarica: le stesse chiamate tornano? Se sì, il tuo rifiuto non è effettivo.

Questo metodo è affidabile ma noioso, e gli sfuggono i tracker mascherati da CNAME cloaking o quelli attivati in ritardo. Da qui l'utilità di una scansione automatica.

Da ricordare

La conformità non si legge in una privacy policy: si constata nel browser, prima del clic e dopo un rifiuto. Se un tracker di marketing si esegue in una di queste due fasi, hai uno scarto da correggere.

Il metodo automatico: 90 secondi

Il nostro strumento ripercorre queste tre fasi per te e produce un rapporto leggibile: scarti osservati, tracker rilevati, trasferimenti extra-UE, stato del banner, Consent Mode. È gratuito, senza registrazione, e non conserva alcun rapporto (tutto vive al massimo due minuti in memoria, dalla Francia).

Avvia l'audit GDPR del tuo sito →

Leggere il risultato: gli scarti più frequenti

Quattro constatazioni tornano quasi sempre:

Analytics prima del consenso — Google Analytics caricato al primo rendering. È lo scarto n°1; vedi anche il nostro articolo sul costo SEO del banner cookie.
Rifiuto inefficace — il banner si chiude ma i pixel continuano. Su Shopify è quasi sistematico: come dimostrarlo in cinque minuti.
Pixel pubblicitari — Meta, TikTok, Google Ads, spesso messi da un tag manager.
Dipendenze extra-UE — CDN e font ospitati negli Stati Uniti, che espongono l'IP dei tuoi visitatori.

Correggere: da dove cominciare

La logica non è « chiedere meglio il consenso », ma ridurre ciò che lo rende necessario. Tre principi:

Separa gli usi: la misurazione dell'audience da un lato, il marketing dall'altro. Uno strumento di misura che non legge né scrive nulla sul dispositivo non attiva l'obbligo di consenso (articolo 5(3) della direttiva ePrivacy).
Blocca prima del clic: nessun tracker non essenziale deve eseguirsi finché il visitatore non ha accettato, e un rifiuto deve davvero tagliarli.
Scegli strumenti che non aprono il dibattito: un analytics senza cookie né identificatore persistente toglie la misurazione dell'audience dall'equazione del consenso. È l'approccio di Snorklee — senza banner, senza cookie.

Un audit è una constatazione tecnica indicativa, non un parere legale: può contenere falsi positivi. Per una decisione, fallo validare da un DPO o da un legale.

Oltre il GDPR: la sovranità

Essere « conforme » non dice nulla su dove vanno i tuoi dati. Un sito può rispettare il GDPR pur dipendendo interamente da servizi americani. Per mappare queste dipendenze, completa l'audit GDPR con il nostro checker di sovranità: rivela quali terzi espongono i tuoi visitatori fuori dall'UE e propone alternative europee.

In sintesi

Auditare il proprio sito non è rileggere le condizioni: è aprire il browser e guardare cosa si attiva prima del clic e dopo un rifiuto. Fallo a mano per capire, poi automatizzalo per seguirlo nel tempo.

Verifica gratuitamente la conformità GDPR del tuo sito →

FAQ

Come verificare la conformità GDPR del proprio sito?
Apri il tuo sito in navigazione privata e ispeziona, nei DevTools, i cookie e le richieste di rete attivati prima di ogni clic e dopo un rifiuto: devono comparire solo gli elementi strettamente necessari. Uno strumento di audit automatizza questa constatazione sulle tre fasi (prima del consenso, dopo l'accettazione, dopo il rifiuto).

L'audit GDPR è gratuito?
Sì. L'audit di Snorklee è gratuito al 100 %, senza registrazione, e mostra un rapporto in circa 90 secondi. Nessun rapporto viene conservato: vive al massimo due minuti in memoria, poi viene cancellato.

Un banner cookie basta per essere conformi?
No. Un banner che non impedisce ai tracker di attivarsi prima del clic — o che non li taglia dopo un rifiuto — non rende conformi. La conformità si constata nel comportamento tecnico della pagina, non nella presenza di un banner.

Cosa verifica un audit GDPR di un sito web?
I tracker rilasciati prima del consenso, l'effettività del rifiuto, i trasferimenti di dati fuori dall'UE, la presenza e la simmetria del banner, la configurazione di Google Consent Mode v2 e i tracker mascherati da CNAME cloaking.

Pubblicato a giugno 2026. Quadro giuridico: articolo 5(3) della direttiva 2002/58/CE (ePrivacy) — informazione generale, non un parere legale individuale. Un audit automatizzato è indicativo e può contenere falsi positivi o falsi negativi.