Cosa serve per aprire un sito web - Nestweb Agency

Il tuo modulo contatti non ha la spunta privacy? Ecco quando è illegale (e come renderlo a norma GDPR)

20 Marzo 2026

Gabriele Verona

Se il modulo contatti del tuo sito non ha una checkbox privacy, non è detto che sia illegale, ma dipende da come lo usi. La normativa GDPR stabilisce regole precise su quando serve il consenso esplicito e quando basta un’informativa. In questa guida ti spiego esattamente cosa deve contenere un form a norma, quando rischi sanzioni e come sistemarlo in pochi passaggi.

Vuoi affidare il tuo progetto a dei professionisti?

Se hai le idee chiare ma ti serve un partner tecnico per l’esecuzione, ci siamo. Sviluppiamo Siti Web, Landing Page e strategie SEO orientate al ritorno sull’investimento. Niente chiacchiere, solo risultati misurabili.

Partiamo subito da una cosa importante: ogni volta che un utente compila un modulo contatti sul tuo sito, stai raccogliendo dati personali. E questo significa che il GDPR entra in gioco, che tu lo voglia o no.

La domanda che molti si fanno è: ma allora la checkbox privacy è obbligatoria oppure no? E la risposta, come spesso accade con il GDPR, è: dipende.

Dipende da cosa chiedi all’utente, da come usi quei dati e da quale base giuridica stai utilizzando per trattarli. Andiamo per ordine e vediamo tutto con chiarezza.

Il modulo contatti raccoglie dati personali? Cosa dice il GDPR

Sì, anche un semplice form di contatto raccoglie dati personali, ed è proprio questo il punto da cui partire.

Il GDPR definisce dato personale qualsiasi informazione che permetta di identificare direttamente o indirettamente una persona fisica. E qui non parliamo solo di codici fiscali o indirizzi di casa: nome, cognome, email e numero di telefono sono tutti dati personali.

Quindi, anche se il tuo modulo contatti sembra innocuo, stai comunque effettuando un trattamento di dati personali, e questo ti obbliga a rispettare le regole della normativa.

Quali dati personali raccoglie normalmente un form contatti

Un classico modulo contatti ti chiede:

  • Nome e cognome dell’utente
  • Indirizzo email per rispondergli
  • Numero di telefono (se previsto)
  • Messaggio o richiesta libera

Niente di particolarmente sensibile, certo. Ma il GDPR non fa distinzioni: se raccogli anche solo un’email, sei tenuto a rispettare la normativa.

E questo significa che devi essere trasparente su come usi quei dati, per quanto tempo li conservi e chi può accedervi.

Perché un modulo contatti è considerato trattamento dati

Il concetto di trattamento dati comprende qualsiasi operazione che fai sui dati personali: dalla raccolta alla conservazione, dalla consultazione alla cancellazione.

Quando un utente compila il tuo form e clicca “Invia”, tu stai:

  • Raccogliendo i suoi dati
  • Memorizzandoli nel tuo database o nella casella email
  • Utilizzandoli per rispondere alla sua richiesta

Questo, per il GDPR, è trattamento. E ogni trattamento deve avere una base giuridica valida, cioè una motivazione legale che ti autorizza a farlo.

Ed è proprio qui che entra in gioco la questione della checkbox privacy.

Il modulo contatti senza checkbox privacy è illegale?

Eccoci arrivati al cuore della questione: la checkbox privacy è sempre obbligatoria?

La risposta breve è: no, non sempre. Ma attenzione, perché la risposta lunga è più articolata e dipende da cosa fai con quei dati.

Il GDPR prevede diverse basi giuridiche per trattare dati personali. Le più comuni per un form contatti sono:

  • Consenso esplicito (la famosa checkbox)
  • Esecuzione di un contratto o di una richiesta precontrattuale
  • Legittimo interesse del titolare

Se il modulo serve solo a rispondere a una richiesta dell’utente (ad esempio: “vorrei informazioni sui vostri servizi”), la base giuridica può essere l’esecuzione della richiesta precontrattuale. In questo caso, tecnicamente, il consenso esplicito non è necessario.

Tuttavia, devi comunque garantire la trasparenza: l’utente deve sapere chi tratta i suoi dati, perché lo fai e per quanto tempo li conservi. E questo significa che l’informativa privacy deve essere sempre presente e accessibile, anche senza checkbox.

Ma c’è un “ma” importante: se il modulo prevede anche l’iscrizione a newsletter, attività di marketing o comunicazioni commerciali, allora il consenso esplicito diventa obbligatorio. E qui la checkbox non è più opzionale.

Quindi ricapitoliamo: checkbox obbligatoria? Dipende dalla finalità. Se chiedi solo un contatto per rispondere, puoi anche non metterla (ma devi avere l’informativa). Se usi i dati anche per altro, il consenso esplicito è obbligatorio.

Quando la checkbox privacy è davvero obbligatoria

Ora vediamo nel dettaglio i casi in cui la checkbox non è una scelta, ma un obbligo di legge.

Form con iscrizione newsletter o marketing

Se il tuo modulo contatti include una spunta per iscriversi alla newsletter, ricevere offerte commerciali o aggiornamenti promozionali, il consenso esplicito è obbligatorio.

In questo caso la base giuridica è proprio il consenso, che deve essere:

  • Libero (l’utente può rifiutare senza conseguenze)
  • Specifico (deve sapere esattamente a cosa acconsente)
  • Informato (deve avere accesso all’informativa completa)
  • Inequivocabile (deve compiere un’azione attiva, come spuntare una casella)

E la checkbox non può essere preselezionata. L’utente deve spuntarla volontariamente, altrimenti il consenso non è valido.

Form di richiesta informazioni semplice

Se il modulo serve solo a raccogliere richieste di informazioni o preventivi, senza finalità di marketing, puoi utilizzare come base giuridica l’esecuzione della richiesta precontrattuale.

In questo caso la checkbox non è tecnicamente obbligatoria, ma devi comunque inserire un link all’informativa privacy, magari con una frase del tipo: “I tuoi dati saranno trattati secondo la nostra informativa privacy”.

Molti siti, però, preferiscono inserire comunque una checkbox anche in questi casi, per dimostrare la presa visione dell’informativa da parte dell’utente e tutelare l’azienda in caso di controlli.

Consensi separati per finalità diverse

Questo è un punto cruciale che molti sbagliano: se hai più finalità di trattamento, devi chiedere consensi separati.

Ad esempio, se raccogli i dati per:

  1. Rispondere alla richiesta
  2. Inviare newsletter
  3. Condividere i dati con partner commerciali

Devi prevedere una checkbox distinta per ogni finalità. Non puoi raggruppare tutto in un unico consenso generico, altrimenti violi il principio di specificità del GDPR.

E ogni consenso deve essere libero: l’utente deve poter accettare la richiesta di contatto ma rifiutare la newsletter, senza che questo gli impedisca di usare il form.

Come deve essere un modulo contatti a norma GDPR (checklist)

Mettiamo tutto insieme e vediamo quali elementi deve avere un form contatti davvero a norma. Questa è la checklist che ti serve per verificare il tuo sito:

Link all’informativa privacy
Deve essere presente e ben visibile, possibilmente con un link diretto alla pagina della privacy policy. L’utente deve poter consultare l’informativa prima di compilare il form.

Checkbox non preselezionata
Se prevedi una checkbox per il consenso (marketing, newsletter, ecc.), non deve essere già spuntata. Il consenso deve essere un’azione volontaria dell’utente.

Finalità del trattamento chiare
Devi spiegare perché raccogli quei dati e cosa ne farai. Frasi vaghe tipo “per finalità amministrative” non bastano. Sii specifico: “per rispondere alla tua richiesta di preventivo” è molto meglio.

Minimizzazione dei dati
Chiedi solo i dati che ti servono davvero. Se per rispondere a una richiesta ti basta l’email, non chiedere anche indirizzo, codice fiscale e numero di telefono.

Registrazione del consenso
Se raccogli consensi espliciti (newsletter, marketing), devi conservare una prova del consenso dato: data, ora, IP, testo della checkbox. Molti plugin WordPress lo fanno automaticamente.

Informazioni sulla conservazione
L’utente deve sapere per quanto tempo conserverai i suoi dati. Ad esempio: “I tuoi dati saranno conservati per 2 anni dalla data della richiesta”.

Diritti dell’utente
Anche se non è obbligatorio inserirli nel form, è buona pratica ricordare all’utente che ha diritto di accedere, rettificare o cancellare i propri dati.

Se rispetti tutti questi punti, il tuo modulo contatti è a norma GDPR. E riduci drasticamente il rischio di sanzioni.

Esempio di modulo contatti GDPR corretto

Ora ti mostro come potrebbe essere strutturato un form contatti davvero a norma, con esempi concreti di testo.

Esempio testo checkbox privacy

Se il form serve solo per rispondere alla richiesta, puoi usare questo testo:

“Ho letto l’informativa privacy e acconsento al trattamento dei miei dati per la gestione della richiesta.”

Oppure, se preferisci non usare la checkbox per la richiesta di contatto, puoi inserire una frase informativa sotto il form:

“I tuoi dati saranno trattati secondo la nostra informativa privacy per rispondere alla tua richiesta.”

Esempio consenso marketing separato

Se vuoi anche proporre l’iscrizione alla newsletter, aggiungi una seconda checkbox separata, con un testo del tipo:

“Acconsento a ricevere comunicazioni commerciali e newsletter da [Nome Azienda] tramite email.”

Ricorda: questa checkbox deve essere facoltativa e distinta dalla prima. L’utente deve poter inviare la richiesta anche senza iscriversi alla newsletter.

Struttura ideale del form

Ecco come potrebbe essere strutturato un modulo contatti completo e a norma:

Campi richiesti:

  • Nome e Cognome
  • Email
  • Messaggio

Testo informativo sotto i campi:
“I tuoi dati saranno trattati secondo la nostra [informativa privacy] per rispondere alla tua richiesta.”

Checkbox opzionale (newsletter):
“Acconsento a ricevere newsletter e comunicazioni commerciali.”

Pulsante invio:
“Invia richiesta”

Semplice, chiaro, trasparente. Questo è un form che rispetta il GDPR.

Errori comuni nei moduli contatti dei siti aziendali

Ora vediamo quali sono gli errori più frequenti che trovo nei siti dei clienti quando faccio un’analisi. Alcuni sono banali, altri più subdoli, ma tutti ti espongono a sanzioni.

Checkbox già selezionata
Questo è l’errore classico. Molti siti preselezionano la casella del consenso marketing per “facilitare” l’iscrizione. Ma il GDPR è chiarissimo: il consenso deve essere un’azione attiva dell’utente. Checkbox preselezionata = consenso non valido.

Informativa privacy assente o non raggiungibile
Alcuni form non linkano proprio l’informativa privacy, altri la linkano ma il link è rotto o porta a una pagina generica. L’informativa deve essere facilmente accessibile e specifica per quel trattamento.

Marketing senza consenso separato
Molti siti usano una singola checkbox generica tipo: “Accetto termini e condizioni e privacy policy”. Questo non va bene se dentro c’è anche il consenso al marketing. Ogni finalità deve avere il suo consenso specifico.

Troppi dati richiesti
Form che chiedono nome, cognome, email, telefono, azienda, settore, dimensione aziendale, partita IVA… tutto in un semplice modulo di contatto. Il principio di minimizzazione del GDPR dice che devi chiedere solo i dati strettamente necessari alla finalità.

Nessuna informazione su conservazione e diritti
Molti form non spiegano per quanto tempo i dati vengono conservati e come l’utente può esercitare i suoi diritti (accesso, cancellazione, rettifica). Questo non rende il form illegale, ma riduce la trasparenza richiesta dal GDPR.

Se il tuo sito ha anche solo uno di questi errori, è ora di sistemarlo. E ora ti spiego come farlo, anche se usi WordPress.

Come rendere a norma un form contatti su WordPress (Elementor o plugin)

Se il tuo sito è fatto con WordPress, hai diverse opzioni per creare un modulo contatti a norma GDPR. Vediamo le più comuni.

Contact Form 7

Contact Form 7 è uno dei plugin più usati per i form contatti. Per renderlo a norma GDPR:

  1. Aggiungi un campo checkbox nel form editor con questo codice:

[acceptance acceptance-privacy] Ho letto l'informativa privacy e acconsento al trattamento dei dati [/acceptance]

  1. Se vuoi che la checkbox sia obbligatoria (per il marketing, ad esempio), usa il tag acceptance.
  2. Inserisci il link all’informativa privacy direttamente nel testo della checkbox.
  3. Per conservare i consensi, installa un plugin come Flamingo che registra tutte le sottomissioni del form.
  4. Puoi aggiungere una seconda checkbox opzionale per la newsletter usando il tag checkbox invece di acceptance.

Elementor Form

Se usi Elementor Pro, il widget Form ha già opzioni GDPR integrate:

  1. Aggiungi un campo Acceptance (accettazione) dal pannello di sinistra.
  2. Inserisci il testo della checkbox e linka l’informativa privacy.
  3. Per aggiungere una seconda checkbox opzionale (newsletter), usa il campo Checkbox e imposta “Non richiesto”.
  4. Nelle impostazioni avanzate del form, puoi attivare la registrazione delle submission per conservare una prova dei consensi.
  5. Se usi un plugin come WP Mail SMTP, assicurati che le email siano inviate in modo sicuro e che i dati non vengano dispersi.

Plugin privacy e policy

Per gestire meglio la conformità GDPR, considera di installare:

  • WP GDPR Compliance: aggiunge checkbox privacy a tutti i form e gestisce le richieste di cancellazione dati.
  • Complianz: crea automaticamente policy privacy personalizzate e gestisce i cookie.
  • GDPR Cookie Consent: gestisce i banner cookie e i consensi utente.

Questi strumenti ti aiutano a mantenere il sito a norma senza dover fare tutto manualmente.

Chi rischia sanzioni se il form non è a norma GDPR

Chiariamo subito una cosa: la responsabilità è sempre del titolare del trattamento, cioè dell’azienda proprietaria del sito.

Se il tuo sito ha un modulo contatti non a norma, sei tu (o la tua azienda) a rischiare sanzioni, non il web designer che ha realizzato il sito o il consulente che gestisce il server.

Il Garante per la Protezione dei Dati Personali può effettuare controlli su segnalazione o d’ufficio. E le sanzioni possono arrivare fino a 20 milioni di euro o il 4% del fatturato annuo globale, a seconda di quale cifra è più alta.

Nella pratica, per un form contatti non a norma, le sanzioni sono generalmente più contenute (si parla di migliaia di euro), ma dipende dalla gravità della violazione e dalla collaborazione del titolare.

Ecco perché è fondamentale mettersi a norma subito, senza aspettare ispezioni o segnalazioni. La prevenzione costa molto meno di una sanzione.

Checklist finale: il tuo modulo contatti è davvero a norma?

Prima di chiudere, ripassa questi punti per verificare se il tuo form rispetta il GDPR:

  • Link all’informativa privacy presente e funzionante
  • Checkbox non preselezionata (se prevista per marketing)
  • Consensi separati per finalità diverse (contatto, newsletter, terze parti)
  • Testo chiaro sulla finalità del trattamento
  • Dati richiesti ridotti al minimo necessario
  • Sistema di registrazione dei consensi attivo (per conservare le prove)

Se anche solo uno di questi punti manca, il tuo modulo ha un problema. E vale la pena sistemarlo prima che diventi un problema legale.

Se hai dubbi su come rendere il tuo sito davvero a norma GDPR, o se vuoi essere sicuro che tutti i form e le pagine rispettino la normativa privacy, possiamo aiutarti a fare un controllo completo e sistemare tutto. Contattaci per una consulenza: verifichiamo insieme la conformità del tuo sito e ti diamo indicazioni precise su cosa correggere.

Serve aiuto con il digitale?

Che serva creare un sito, gestire i social o campagne pubblicitarie, analizziamo insieme la soluzione giusta per la tua azienda.

Consulenza gratuita

Hai un'idea da realizzare nel mondo digitale ma non sai da dove partire?

Contattaci

Altri post recenti

2026

Creazione Siti Web per Ristoranti: come ricevere prenotazioni senza pagare commissioni a TheFork

Un ristorante può ricevere prenotazioni senza pagare commissioni utilizzando un sito web con sistema di…

Leggi di più
2026

Newsletter senza consenso: è legale iscrivere un utente automaticamente? Regole GDPR per non finire nello spam (o nei guai)

In Italia e nell’Unione Europea inviare newsletter promozionali senza consenso è illegale, secondo quanto stabilito…

Leggi di più
2026

Bandi marketing e digitalizzazione per imprese 2026: contributi per siti web, SEO e marketing digitale

Sì, i bandi per la digitalizzazione delle imprese nel 2026 esistono e coprono investimenti strategici…

Leggi di più
2026

Conviene affidarsi a una web agency nel 2026? Quando ha senso (e quando no)

Affidarsi a una web agency conviene se hai bisogno di competenze integrate e un progetto…

Leggi di più
2026

Come creare una email professionale con dominio personalizzato (e abbandonare Gmail)

Avere una email professionale con dominio personalizzato significa passare da nome@gmail.com a info@tuaazienda.it. È una…

Leggi di più
2026

Gestire un sito WordPress da soli è difficile? Guida Elementor per chi non è tecnico

No, gestire un sito WordPress da soli non è difficile se il sito è costruito…

Leggi di più
2026

Pagamenti a rate su un ecommerce: come funziona il pagamento dilazionato nel 2026

Il pagamento a rate su un ecommerce permette ai clienti di acquistare subito un prodotto…

Leggi di più
2026

Sito multilingue: quanto costa tradurre un sito web per l’estero? (Plugin vs traduttore umano)

Tradurre un sito web costa da poche decine a diverse migliaia di euro, a seconda…

Leggi di più
2026

Contratto realizzazione sito web: le 5 clausole fondamentali per tutelarti con i clienti

Un contratto di realizzazione sito web ben fatto ti protegge da mancati pagamenti, richieste infinite…

Leggi di più
2026

Come verificare di chi è il dominio del sito (e perché deve essere intestato a te)

Puoi verificare l’intestatario di un dominio utilizzando un servizio WHOIS, che mostra i dati ufficiali…

Leggi di più
Copyright © 2026 – Tel. +39 370 363 2932gabriele@nestwebagency.comPrivacy PolicyCookie Policy

Richiedi informazioni