La conformità GDPR ed ePrivacy come stato continuo, non come fotografia annuale.
Gestione tecnica del consenso, validazione giornaliera del tracking, server-side tag management compliant by design. Pensato per i settori dove non potersi permettere una violazione è un requisito di business — pharma, food regolato, finance, healthcare. Al centro del servizio c’è GDPR Daily, la nostra piattaforma proprietaria che valida la conformità del tracking ogni giorno, non una volta all’anno.
GDPR ed ePrivacy sono normative che sembrano statiche ma operano in un ecosistema che cambia tutti i giorni. Le linee guida EDPB e i provvedimenti del Garante Privacy si aggiornano regolarmente. I browser cambiano comportamento sui cookie e sul tracking. I CMP rilasciano nuove versioni che modificano la gestione del consenso. Il marketing aggiunge script per nuove campagne, IT integra strumenti nuovi, partner pubblicitari modificano i loro pixel.
Ognuno di questi eventi può alterare la postura di conformità di un sito senza che nessuno se ne accorga.
Per la maggior parte delle aziende, la fotografia di conformità è scattata una o due volte l’anno da uno studio legale o da un consulente. Tra una fotografia e l’altra possono passare otto, dieci, dodici mesi durante i quali il sito è andato avanti, gli script si sono moltiplicati, il banner del consenso ha smesso di funzionare correttamente su Safari, un pixel di terza parte ha iniziato a sparare senza consent.
Quando arriva il provvedimento del Garante — o anche solo la segnalazione di un utente attivo — il gap si misura in mesi, e la rimediazione si misura in panic mode.
Noi affrontiamo la compliance in modo diverso: validiamo il tracking ogni giorno. Quando qualcosa devia, lo sappiamo entro 24 ore, non a fine anno.
Audit iniziale dello stato di conformità: mappatura completa dei tag che sparano sul sito, inventario dei cookie e degli script di terze parti, gap analysis rispetto alle linee guida EDPB e ai provvedimenti del Garante, risk register con priorità di intervento.
Setup e gestione operativa dei Consent Management Platform (iubenda, OneTrust, Cookiebot, Didomi), integrazione con Consent Mode v2 di Google, ottimizzazione della UX del banner per massimizzare consent rate senza compromettere la conformità.
Architettura GTM server-side con attivazione dei tag condizionata al consenso, anonimizzazione IP, data minimization, endpoint server in EU. Lavoriamo server-side dal primo momento perché è la modalità di tracking che permette un controllo granulare della conformità.
La nostra piattaforma proprietaria: ogni 24 ore validiamo automaticamente che il tracking si comporti come deve. Quali tag stanno sparando, in quale stato di consenso, con quali payload, da quale dominio. Quando rileva una deviazione, alerting immediato al DPO e al team Fortop responsabile del cliente.
La gestione operativa dei diritti dell’interessato (accesso, cancellazione, portabilità, rettifica) viene svolta dalla CMP del cliente. GDPR Daily monitora che il consent banner e i rights link siano esposti correttamente, in ogni stato di consenso e su ogni dominio, con alerting immediato in caso di anomalia.
Supporto documentale completo: registro dei trattamenti (Art. 30), DPIA per i trattamenti ad alto rischio, cookie policy e privacy policy aggiornate, documentazione pronta in caso di ispezione del Garante. Lavoriamo a fianco dei team Legal del cliente — non al loro posto.
Apriamo il progetto con un audit completo: cosa raccogliete, da dove, con quale base giuridica, con quale stato di consenso, con quali fornitori coinvolti. Risk register prioritizzato con stima della severity di ciascuna esposizione.
Costruiamo un piano di intervento con priorità, owner interni ed esterni, timing. Discusso in workshop con il team Legal, IT e Marketing del cliente. Output: roadmap operativa a 3-6 mesi.
Esecuzione tecnica: CMP, server-side tagging, anonimizzazione, data subject rights workflows, documentazione regolatoria. Lavoriamo con i team interni del cliente, con review settimanali.
Attiviamo la piattaforma sul dominio. Da questo momento ogni 24 ore il tracking viene validato automaticamente. Dashboard accessibile in tempo reale al cliente, alerting configurabile.
Review trimestrale della postura di conformità, aggiornamento sulle novità regolatorie (linee guida EDPB, provvedimenti del Garante, sentenze e provvedimenti giurisprudenziali), incident response in caso di anomalie. Il DPO del cliente ha sempre un interlocutore tecnico Fortop disponibile.
| KPI | Cosa misura |
|---|---|
| Consent Compliance Rate | % degli utenti per cui lo stato di consenso è gestito correttamente |
| Tag Firing Compliance | % dei tag che sparano esclusivamente in coerenza con il consenso |
| Third-party Script Coverage | % degli script terzi inventariati e legati al consenso |
| Time to Detect | Tempo tra una deviazione di compliance e la sua rilevazione |
| Time to Remediate | Tempo tra rilevazione e correzione |
| Audit Readiness Score | Stato della documentazione pronta per ispezione del Garante |
> 99%
Tag Firing Compliance
24h
Time to Detect via GDPR Daily
60gg
Inventario third-party completo
Audit Readiness portato a livello “pronto a ispezione” entro il primo trimestre.
Registro dei trattamenti (Art. 30), DPIA dove necessario, cookie policy e privacy policy aggiornate e legalmente coerenti, dashboard GDPR Daily, report mensile sulla postura di conformità, incident response playbook, documentazione tecnica del data flow.
Piattaforma GDPR Daily (proprietaria) · Google Tag Manager + GTM Server-Side · Consent Mode v2 · CMP iubenda, OneTrust, Cookiebot, Didomi · GA4 con anonimizzazione · OneTrust Data Subject Rights · template documentali aggiornati alle linee guida EDPB e ai provvedimenti del Garante Privacy.
Siamo il partner giusto se operi in pharma, food regolato, finance, healthcare, o in qualsiasi settore dove una violazione GDPR diventa un rischio reputazionale e di business prima ancora che un rischio sanzionatorio.
Siamo il partner giusto se gestisci più domini o più paesi e ti serve un partner unico che mantenga uno standard di conformità coerente.
Siamo il partner giusto se hai un DPO interno che cerca un partner tecnico operativo con cui integrarsi, e non un altro studio legale.
Non siamo il partner giusto se cerchi consulenza legale stricto sensu: noi gestiamo il lato tecnico e operativo della compliance, lavoriamo a fianco di studi legali specializzati ma non li sostituiamo.
Se ti serve un parere legale qualificato sulla base giuridica di un trattamento, ti indirizziamo a partner di alto livello con cui collaboriamo regolarmente.
Non siamo il partner giusto se cerchi un setup “GDPR bollino” da minimo sforzo: il nostro modello presuppone una compliance attiva, non simbolica.