Torna alla panoramica
Cookie bannerAgenzieChecklist

Checklist cookie banner per agenzie web: 20 punti prima di ogni lancio cliente

I giorni di lancio sono giorni di stress — ed è proprio allora che la protezione dei dati finisce nel dimenticatoio. 20 punti di controllo per agenzie web prima di ogni lancio cliente: dall'obbligo del banner al blocco degli script fino a una consegna pulita al cliente.

Aiara Team··9 min di lettura
Checklist cookie banner per agenzie web: 20 punti prima di ogni lancio cliente

Il giorno del lancio di un sito cliente è raramente rilassato: DNS commutato, ultimi contenuti inseriti, il cliente attende l'e-mail di messa online. È proprio in questa frenesia che la protezione dei dati finisce più spesso nel dimenticatoio — il cookie banner gira ancora con la configurazione di staging, l'informativa sulla protezione dei dati proviene dal progetto precedente e l'iframe di Google Maps si carica allegramente prima di qualsiasi consenso.

Giuridicamente, della conformità risponde il gestore del sito, cioè il vostro cliente. Ma siamo onesti: il cliente ha commissionato il sito a voi proprio perché non vuole occuparsi di queste cose. Se l'agenzia consegna un sito non conforme, non rischia multe dirette — ma questioni di responsabilità contrattuale dal contratto d'appalto, discussioni spiacevoli e un danno reputazionale che costa più di qualsiasi checklist. Ecco quindi 20 punti da spuntare prima di ogni lancio cliente — suddivisi in quattro blocchi: giuridico, tecnico, organizzativo e consegna.

Una nota sull'utilizzo: la checklist funziona al meglio come parte fissa del vostro processo di lancio — come modello nello strumento di gestione progetti, copiato per ogni progetto cliente. Chi la ripercorre a memoria, caso per caso, dimentica per esperienza proprio i punti che creano problemi in seguito.

Blocco 1 — Basi giuridiche (punti da 1 a 6)

Questi sei punti appartengono alla fase di progetto, non alla settimana del lancio. Chi li verifica per ultimi scopre le lacune nel momento peggiore.

1. Obbligo del banner verificato. Non ogni sito ha bisogno di un banner di consenso: se il sito imposta solo cookie tecnicamente necessari, in Svizzera basta un'indicazione trasparente nell'informativa sulla protezione dei dati. Non appena girano strumenti statistici o di marketing, il banner diventa inevitabile. La logica decisionale con tutti i casi si trova sulla nostra pagina panoramica sull'obbligo del cookie banner — un banner superfluo infastidisce i visitatori, uno mancante è una violazione.

2. Informativa sulla protezione dei dati aggiornata — e a nome del cliente. Il grande classico degli errori di copia-incolla: nell'informativa figura ancora l'agenzia come titolare del trattamento — o addirittura il cliente del progetto precedente. L'informativa deve nominare il gestore effettivo e riflettere gli strumenti realmente utilizzati. Le richieste di accesso si rivolgono al titolare lì indicato; se è quello sbagliato, il documento non vale nulla.

3. Note legali corrette e complete. Ragione sociale, forma giuridica, indirizzo della sede, possibilità di contatto — la legge federale contro la concorrenza sleale esige per le offerte online una chiara identificazione del fornitore. È il punto più facilmente verificabile dell'intero sito: concorrenti e difensori dei consumatori notano un errore a colpo d'occhio. Cosa deve contenere esattamente è descritto nel nostro articolo sull'obbligo delle note legali in Svizzera.

4. Tutte le lingue del pubblico di riferimento coperte. Un sito bilingue, ma testi legali solo in tedesco? Un consenso deve essere informato — chi non capisce il testo non può acconsentire validamente. Banner e informativa sulla protezione dei dati vanno inseriti in ogni versione linguistica del sito; nella Svizzera romanda e in Ticino non è un optional, ma un requisito di base.

5. Applicabilità del GDPR verificata. «Azienda svizzera» non significa «solo diritto svizzero». Secondo il principio del luogo di mercato, il Regolamento generale europeo sulla protezione dei dati si applica anche quando l'offerta si rivolge in modo riconoscibile a persone nell'UE — spedizioni in Germania, prezzi in euro, pubblicità mirata. Cosa significa concretamente lo spiega la nostra guida al GDPR; per il banner significa soprattutto: requisiti di consenso più severi.

6. Contratti di trattamento su commissione conclusi. Hosting, strumento per newsletter, fornitore di gestione del consenso — tutti trattano dati personali per conto del cliente, e ciò richiede contratti. Importante: la parte contraente è il cliente come titolare del trattamento, non l'agenzia. Quando un contratto di trattamento su commissione è obbligatorio e cosa deve contenere lo spiega il nostro articolo sul contratto di trattamento su commissione.

Blocco 2 — Tecnica (punti da 7 a 13)

Qui si decide se il banner produce un effetto reale o è pura decorazione. Tutti e sette i punti si testano in meno di un'ora.

7. Blocco degli script prima del consenso testato. Caricare la pagina in una finestra privata, aprire gli strumenti per sviluppatori, osservare la scheda Network — e non cliccare nulla. Se partono richieste verso Google Analytics, Meta o altri tracker, gli script si caricano prima del consenso e il banner è inefficace. Questo test dura cinque minuti e scopre il più grave di tutti gli errori.

8. Google Consent Mode V2 attivo. Chi utilizza Google Analytics o Google Ads per un pubblico nello Spazio economico europeo non può evitare il Consent Mode V2 — senza segnali di consenso corretti, Google limita funzioni pubblicitarie come il remarketing. Verificate che il banner trasmetta davvero i segnali. La configurazione è spiegata nel nostro articolo sul Google Consent Mode V2 in Svizzera.

9. iframe bloccati — con segnaposto. Google Maps, YouTube e Vimeo impostano cookie non appena l'iframe si carica — prima che qualcuno abbia acconsentito. L'approccio corretto: l'iframe viene bloccato e sostituito da un segnaposto con «Attiva contenuto», che carica il contenuto solo dopo un clic. Testate in modo mirato le pagine con mappa e video; è lì che avvengono la maggior parte degli incidenti.

10. Banner in tutte le lingue del sito. Il punto 4 vale anche tecnicamente: il banner deve seguire la lingua della pagina visitata. Un banner tedesco sulla versione francese del sito mina il consenso informato — e ai visitatori appare semplicemente incompleto.

11. Visualizzazione mobile testata. Su dispositivi reali, non solo nell'emulazione degli strumenti per sviluppatori. Circa il 60 per cento delle visite ai siti svizzeri arriva dallo smartphone; un banner che spinge il pulsante di rifiuto sotto l'area visibile o non si lascia chiudere ostacola la libera scelta della maggioranza dei vostri visitatori.

12. «Rifiuta» equivalente ad «Accetta». L'Incaricato federale della protezione dei dati e della trasparenza esige nelle sue linee guida scelte equivalenti: stessa dimensione, stesso contrasto, stesso livello. Un link testuale grigio «Rifiuta» accanto a un pulsante «Accetta» sgargiante è considerato un dark pattern — ed è l'errore che salta all'occhio per primo in qualsiasi verifica. Il timore di un calo del tasso di accettazione è peraltro quasi sempre infondato: banner corretti creano fiducia, e la fiducia giova al marchio del cliente.

13. Scansione dei cookie dopo il lancio. L'ambiente di produzione differisce quasi sempre dallo staging: altro dominio, servizi aggiuntivi, caching, veri tag pubblicitari. Scansionate il sito in produzione subito dopo il lancio e confrontate il risultato con la configurazione del banner — con il nostro scanner di siti web bastano pochi minuti.

Blocco 3 — Organizzazione (punti da 14 a 17)

Il lancio non è un punto d'arrivo, ma l'inizio dell'esercizio. Questi quattro punti evitano che un sito oggi conforme scivoli silenziosamente fuori dalla conformità entro sei mesi.

14. Registro dei consensi attivo. L'onere della prova dei consensi spetta al titolare del trattamento. Senza un registro con marca temporale, identificativo pseudonimo e categorie scelte, in caso di controversia non si può dimostrare un solo consenso — chi non documenta nulla si ritrova come se non avesse mai chiesto. Prima della consegna, verificate che il registro scriva davvero le voci.

15. Responsabilità chiarite per iscritto. Il cliente è il titolare del trattamento; l'agenzia, a seconda della configurazione, responsabile del trattamento su commissione. Fissate nel contratto di progetto chi cura i testi legali, chi risponde alle richieste delle persone interessate e chi gestisce il banner. Le competenze non chiarite ricadono nel dubbio sull'agenzia — esattamente ciò che si vuole escludere contrattualmente.

16. Processo definito per nuovi strumenti e pixel. Tre mesi dopo il lancio, il marketing del cliente chiede un nuovo pixel di conversione — e nessuno pensa al banner. Concordate quindi una procedura fissa: ogni nuovo strumento passa attraverso i passaggi assegnare una categoria del banner, integrare l'informativa sulla protezione dei dati, verificare il contratto con il fornitore. Senza processo, la più bella conformità al lancio è storia dopo un trimestre.

17. Ritmo di riscansione stabilito. I siti cambiano in modo strisciante: gli aggiornamenti dei plugin portano nuovi cookie, i servizi cambiano i loro domini. Una scansione automatica a trimestre — meglio: mensile — rivela gli scostamenti tra realtà e configurazione del banner prima che lo faccia un cliente, un concorrente o un'autorità.

Blocco 4 — Consegna (punti da 18 a 20)

La migliore configurazione serve a poco se il cliente non la capisce. Gli ultimi tre punti trasformano la chiusura di un progetto in una consegna pulita.

18. Il cliente conosce la sua dashboard. Alla consegna, mostrate dove si trovano le statistiche dei consensi, le impostazioni del banner e i rapporti di scansione — mezz'ora basta. Un cliente che capisce la propria soluzione di consenso non chiama l'agenzia per ogni piccolezza e si accorge da solo quando qualcosa non va.

19. Processo di manutenzione dei testi legali concordato. Un nuovo prodotto, un nuovo fornitore di newsletter, all'improvviso uno shop online — ogni cambiamento aziendale può toccare l'informativa sulla protezione dei dati. Chiarite esplicitamente: il cliente segnala le modifiche all'agenzia, oppure cura i testi da solo tramite un generatore? Entrambe le varianti funzionano; solo quella non chiarita non funziona.

20. Documentazione consegnata. Quali strumenti sono integrati, quali categorie di cookie configurate, quali contratti conclusi, chi ha accesso a cosa. Sembra lavoro certosino, ma fa risparmiare ore a ogni richiesta di accesso, a ogni rifacimento e a ogni cambio di personale. E in caso di controversia, la documentazione dimostra che l'agenzia ha lavorato in modo pulito — è anche la vostra protezione.

Per agenzie con molti clienti

Per un singolo sito, questa checklist si completa in una o due ore. Per trenta siti clienti diventa un problema di processo — nessuno verifica 600 punti a mano, e di certo non ogni trimestre. È esattamente per questo che Aiara è stato costruito: una dashboard centrale per tutti i domini dei clienti, scansioni automatiche con notifica in caso di scostamenti, testi legali generati e curati per ogni cliente, oltre a registri dei consensi integrati. Le agenzie ricevono condizioni partner con livelli di sconto e fatturazione cumulativa — i dettagli si trovano su Aiara per le agenzie.

Domande frequenti

L'agenzia web è responsabile se il cookie banner del cliente non è conforme?

Nei confronti delle autorità risponde il gestore del sito — è lui il titolare del trattamento ai sensi della legge sulla protezione dei dati. L'agenzia può però rispondere sul piano contrattuale: chi consegna un sito web come opera deve un'opera priva di difetti, e a seconda dell'accordo ciò include la conformità giuridica promessa. A ciò si aggiunge il danno reputazionale quando un cliente riceve posta dall'Incaricato federale della protezione dei dati e della trasparenza a causa di un sito appena consegnato.

Ogni sito cliente ha bisogno di un cookie banner?

No. Se un sito imposta solo cookie tecnicamente necessari, in Svizzera basta un'informativa sulla protezione dei dati trasparente. Non appena vengono impostati cookie statistici, di comfort o di marketing — ed è il caso della maggior parte dei siti aziendali —, serve una vera soluzione di consenso. E se l'offerta si rivolge anche a persone nell'UE, il banner è comunque inevitabile.

Come verifico se gli script vengono bloccati prima del consenso?

Aprire il sito in una finestra privata, avviare gli strumenti per sviluppatori, selezionare la scheda Network, ricaricare la pagina — e non cliccare nulla. Se compaiono richieste verso google-analytics.com, facebook.com o altri domini di tracciamento, qualcosa si carica prima del consenso. Vale anche la pena controllare sotto Application → Cookies quali cookie sono già stati impostati senza alcuna interazione.

Con quale frequenza le agenzie dovrebbero riscansionare i siti dei clienti?

Almeno ogni trimestre, meglio ogni mese — e in più dopo ogni aggiornamento importante, cambio di plugin o nuovo strumento di marketing integrato. I siti cambiano in modo strisciante: un aggiornamento di plugin porta un nuovo cookie, il marketing aggiunge un pixel, e la configurazione del banner non corrisponde più alla realtà.

Cosa offre Aiara concretamente alle agenzie web?

Una dashboard centrale per tutti i domini dei clienti, scansioni automatiche dei cookie con notifica in caso di scostamenti, testi legali generati in quattro lingue, registri dei consensi integrati e un programma partner con livelli di sconto e fatturazione cumulativa. Così la maggior parte dei punti di questa checklist può essere automatizzata invece di essere spuntata a mano per ogni cliente.

Pronti per un consenso cookie pulito?

Aiara gestisce banner cookie, informativa privacy e impressum del tuo sito — conforme a LPD e GDPR.

Scopri Aiara