WhatsApp

info@brentasoft.com

WhatsApp

Richiedi Preventivo

GDPR aziendale: la guida pratica 2021 per PMI

Tabella dei Contenuti

Riunione aziendale su privacy e sicurezza dati GDPR

Il GDPR aziendale non è più una novità: il Regolamento UE 2016/679 è in vigore dal 25 maggio 2018 e nel 2021 entra nel suo terzo anno di applicazione concreta. Eppure, secondo le rilevazioni del Garante per la protezione dei dati personali, una quota significativa di PMI italiane non ha ancora completato l’adeguamento. Tra registro dei trattamenti, DPIA, nomina del DPO e gestione dei data breach, gli adempimenti sono molti e le sanzioni – come dimostrano i casi TIM e Iliad del 2020 – sono tutt’altro che simboliche.

Questa guida, aggiornata a febbraio 2021, raccoglie in un unico documento tutto quello che un’azienda – e in particolare una piccola o media impresa – deve sapere per essere conforme al GDPR: principi, obblighi, strumenti operativi e accorgimenti pratici, con un focus specifico sulle implicazioni per il software gestionale e gli strumenti di lavoro digitali, sempre più centrali dopo l’esplosione dello smart working causata dalla pandemia.

Scudo di sicurezza informatica su dati aziendali
Le misure di sicurezza tecniche e organizzative sono uno dei pilastri del GDPR.

1. GDPR aziendale: lo stato dell’arte nel 2021

A quasi tre anni dall’entrata in vigore, il GDPR è ormai una realtà strutturale per qualsiasi organizzazione che tratti dati personali in Europa. Il 2020 e l’inizio 2021 sono stati segnati da tre fattori che hanno cambiato lo scenario:

  • L’aumento delle sanzioni: il Garante italiano ha emesso provvedimenti record (TIM 27,8 milioni di euro, Iliad 800.000 euro), confermando che il regolatore italiano è tra i più attivi in Europa.
  • La sentenza Schrems II della Corte di Giustizia UE (luglio 2020), che ha invalidato il Privacy Shield e reso molto più complesso il trasferimento di dati personali verso gli Stati Uniti.
  • La pandemia da Covid-19, che ha imposto a milioni di aziende l’adozione rapida di smart working, videoconferenze, tracking sanitario in azienda – tutte attività con forti implicazioni privacy.

Nel frattempo è cambiato anche il vertice del Garante: Antonello Soro ha terminato il mandato a luglio 2020 e dal 14 luglio 2020 è entrato in carica Pasquale Stanzione. Il nuovo collegio sta lavorando su diversi fronti: cookie, marketing, smart working, intelligenza artificiale.

Il messaggio è chiaro: l’epoca della tolleranza è finita. Anche le PMI, che spesso si erano sentite “fuori dal radar” del Garante, sono oggi destinatarie di ispezioni e sanzioni proporzionate al fatturato ma comunque significative.

2. I 7 principi fondamentali del GDPR

L’articolo 5 del Regolamento UE 2016/679 fissa i sette principi che ogni trattamento deve rispettare. Sono il cuore del GDPR: chi li interiorizza riesce a impostare correttamente tutti gli adempimenti operativi.

  1. Liceità, correttezza e trasparenza: ogni trattamento deve avere una base giuridica (consenso, contratto, obbligo di legge, interesse legittimo, ecc.) e deve essere comunicato all’interessato in modo chiaro.
  2. Limitazione della finalità: i dati vanno raccolti per finalità determinate, esplicite e legittime, e non possono essere riutilizzati per scopi incompatibili.
  3. Minimizzazione: si raccolgono solo i dati strettamente necessari. Niente raccolta “preventiva” di informazioni che non servono.
  4. Esattezza: i dati devono essere accurati e aggiornati. Se sbagliati, vanno rettificati o cancellati.
  5. Limitazione della conservazione: i dati vanno conservati solo per il tempo necessario. Servono policy di retention chiare.
  6. Integrità e riservatezza: misure di sicurezza tecniche e organizzative adeguate (cifratura, controllo accessi, backup).
  7. Responsabilizzazione (accountability): il titolare deve essere in grado di dimostrare di aver rispettato i principi precedenti.

L’ultimo principio, l’accountability, è il vero spartiacque rispetto al vecchio Codice Privacy: non basta essere conformi, bisogna poterlo provare con documentazione, registri e procedure.

3. Quali aziende sono obbligate (tutte) e gli adempimenti per dimensione

Una domanda ricorrente: “Sono una piccola impresa con 5 dipendenti, devo davvero applicare il GDPR?”. La risposta è . Il GDPR si applica a chiunque tratti dati personali nel contesto di un’attività professionale o commerciale, indipendentemente dalle dimensioni.

Ciò che cambia in funzione della dimensione e del tipo di trattamento è il livello degli adempimenti:

Microimprese (1-9 dipendenti)

  • Informative privacy aggiornate (clienti, fornitori, dipendenti, sito web)
  • Registro dei trattamenti semplificato
  • Misure di sicurezza di base (password, antivirus, backup)
  • Procedura per gestire le richieste degli interessati
  • DPO non obbligatorio (salvo casi specifici)

Piccole imprese (10-49 dipendenti)

  • Tutti i punti precedenti, più:
  • Registro completo dei trattamenti
  • Valutazione dei rischi e misure proporzionate
  • Formazione del personale
  • Contratti con i responsabili esterni (art. 28)

Medie imprese (50-249 dipendenti)

  • Tutto quanto sopra, più:
  • DPIA per i trattamenti ad alto rischio
  • Probabile nomina del DPO (in funzione dei trattamenti)
  • Procedure formalizzate per data breach
  • Audit periodici di conformità

Per gestire correttamente questi adempimenti è fondamentale partire da una gestione anagrafiche ordinata: clienti, fornitori, dipendenti devono essere censiti in modo univoco, con riferimenti alle informative consegnate e alle basi giuridiche dei trattamenti.

Team in ufficio durante audit di compliance GDPR
Il registro dei trattamenti è il documento chiave dell’accountability GDPR.

4. Il Registro dei trattamenti: come compilarlo

Il Registro dei trattamenti (art. 30 GDPR) è il documento più importante per dimostrare l’accountability. È obbligatorio per tutte le aziende con più di 250 dipendenti e per quelle che effettuano trattamenti non occasionali, su categorie particolari di dati o con rischi per i diritti degli interessati – cioè, di fatto, per la quasi totalità delle PMI.

Il Registro deve contenere, per ogni trattamento:

  • Nome e dati di contatto del titolare (e dell’eventuale DPO)
  • Finalità del trattamento
  • Categorie di interessati (es. dipendenti, clienti, fornitori)
  • Categorie di dati personali (anagrafici, contatto, contabili, sanitari, ecc.)
  • Categorie di destinatari (interni, esterni, paesi terzi)
  • Eventuali trasferimenti extra-UE
  • Tempi di conservazione (retention)
  • Misure di sicurezza tecniche e organizzative

Per una PMI tipica, i trattamenti da registrare sono di solito tra 10 e 30: gestione clienti, fornitori, dipendenti, contabilità, marketing, videosorveglianza, sito web, newsletter, candidature di lavoro, ecc.

Il registro va tenuto in forma scritta (anche elettronica) ed esibito al Garante in caso di richiesta. Esistono modelli ufficiali sul sito del Garante Privacy, ma la cosa più importante è che il documento rifletta la realtà operativa dell’azienda, non un copia-incolla.

5. DPIA: quando è obbligatoria e come si fa

La Valutazione d’impatto sulla protezione dei dati (Data Protection Impact Assessment) è un’analisi preventiva dei rischi che un trattamento può comportare per i diritti e le libertà degli interessati. È obbligatoria, secondo l’art. 35 GDPR, quando il trattamento “presenta un rischio elevato”.

Il Garante italiano ha pubblicato una lista di trattamenti per i quali la DPIA è sempre obbligatoria. Tra i più rilevanti per le PMI:

  • Videosorveglianza sistematica di aree pubbliche o accessibili al pubblico
  • Trattamenti di dati biometrici per l’identificazione
  • Profilazione su larga scala con effetti significativi
  • Trattamenti di dati sanitari su larga scala
  • Geolocalizzazione di dipendenti
  • Trattamenti che combinano dati di più fonti per profilazione

Una DPIA ben fatta contiene:

  1. Descrizione sistematica del trattamento
  2. Valutazione di necessità e proporzionalità
  3. Identificazione dei rischi per gli interessati
  4. Misure previste per mitigare i rischi
  5. Eventuale consultazione del DPO

Se la DPIA evidenzia rischi elevati che non possono essere mitigati, scatta l’obbligo di consultazione preventiva del Garante (art. 36).

6. Il DPO: chi è obbligato a nominarlo

Il Data Protection Officer (Responsabile della Protezione dei Dati) è la figura chiave del sistema GDPR. La sua nomina è obbligatoria nei casi previsti dall’art. 37:

  • Autorità o organismi pubblici
  • Aziende le cui attività principali consistono in trattamenti che richiedono monitoraggio regolare e sistematico su larga scala (es. compagnie assicurative, banche, telco)
  • Aziende che trattano su larga scala categorie particolari di dati (sanitari, biometrici, ecc.) – tipicamente cliniche, laboratori di analisi, RSA

Per la maggior parte delle PMI manifatturiere o commerciali il DPO non è obbligatorio, ma può essere nominato volontariamente. Il DPO può essere interno (un dipendente con competenze adeguate) o esterno (consulente, studio professionale, società specializzata).

Il DPO deve avere indipendenza, riportare al vertice e non trovarsi in conflitto di interesse con altre funzioni aziendali. Questo significa che il responsabile IT, il direttore HR o l’amministratore non possono essere DPO della stessa azienda.

7. Privacy by design e by default nel software aziendale

L’art. 25 GDPR introduce due concetti fondamentali per chiunque sviluppi o utilizzi software che trattano dati personali: la privacy by design (la protezione dei dati va progettata fin dall’inizio del software) e la privacy by default (le impostazioni di default devono essere quelle più protettive).

In pratica, un gestionale conforme deve avere caratteristiche come:

  • Profilazione granulare degli utenti, con principio del minimo privilegio
  • Log degli accessi e delle operazioni sui dati sensibili
  • Cifratura dei dati a riposo e in transito
  • Pseudonimizzazione dove possibile
  • Funzioni native per esercitare i diritti degli interessati (accesso, rettifica, cancellazione, portabilità)
  • Policy di retention configurabili
  • Procedure automatizzate per la gestione dei consensi

È qui che la scelta del software fa la differenza. Adottare gestionali personalizzati sviluppati con la privacy by design – invece di patchare a posteriori soluzioni concepite prima del 2018 – riduce drasticamente il rischio di non conformità e i costi di adeguamento.

Lucchetto digitale su tastiera per privacy dati
Privacy by design: la protezione dei dati va progettata fin dall’inizio del software.

8. Trasferimenti extra-UE post-Schrems II

La sentenza C-311/18 della Corte di Giustizia UE (16 luglio 2020), nota come Schrems II, ha invalidato il Privacy Shield, il meccanismo che consentiva il trasferimento di dati personali dall’UE agli USA. Da allora le aziende europee si trovano in una situazione complessa.

I trasferimenti verso paesi terzi (extra-UE) sono ancora possibili, ma richiedono:

  • Decisione di adeguatezza della Commissione Europea (es. Svizzera, Canada, Giappone, Regno Unito post-Brexit)
  • Clausole Contrattuali Tipo (Standard Contractual Clauses – SCC), che sono in fase di aggiornamento proprio nel 2021
  • Norme Vincolanti d’Impresa (BCR) per i gruppi multinazionali
  • Misure supplementari tecniche e organizzative (cifratura forte con chiavi controllate dall’esportatore, pseudonimizzazione, ecc.)

Per le PMI italiane il problema è soprattutto pratico: se usate Microsoft 365, Google Workspace, Mailchimp, AWS o simili, dovete verificare con i fornitori quali misure aggiuntive hanno adottato post-Schrems II. Sempre più aziende stanno valutando soluzioni cloud aziendali con datacenter europei per evitare la complessità dei trasferimenti.

9. Data breach: gestione e notifica

Una violazione dei dati personali (data breach) è qualsiasi evento che comporti, accidentalmente o illecitamente, la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzato ai dati. Esempi: un laptop rubato, un attacco ransomware, un’email inviata al destinatario sbagliato, un fornitore che subisce un’intrusione.

Il GDPR (art. 33-34) impone tempi stretti:

  • Entro 72 ore dalla scoperta, il titolare deve notificare la violazione al Garante (salvo che la violazione sia improbabile presenti rischi)
  • Senza ingiustificato ritardo, deve comunicare la violazione agli interessati se il rischio è elevato
  • Tutti gli incidenti vanno annotati nel Registro dei data breach, anche quelli non notificati

Per rispettare le 72 ore serve una procedura interna chiara: chi rileva l’incidente, chi valuta la gravità, chi notifica, chi comunica agli interessati. Senza procedura, il rischio è arrivare alla notifica fuori tempo – aggravante che il Garante considera in sede sanzionatoria.

Negli ultimi 12 mesi gli attacchi ransomware contro PMI italiane sono cresciuti in modo esponenziale: nel 2020 il CERT-AGID ha registrato un aumento di oltre il 200% delle segnalazioni rispetto al 2019. Avere backup offline, log centralizzati e una procedura di response è oggi una necessità, non un’opzione.

10. Sanzioni 2020-2021 e casi italiani

Le sanzioni del GDPR arrivano fino a 20 milioni di euro o al 4% del fatturato mondiale annuo, ma raramente raggiungono questi limiti. Il Garante italiano nel 2020 ha però fatto sul serio:

  • TIM: 27,8 milioni di euro (gennaio 2020) per telemarketing aggressivo, mancato rispetto del consenso, problemi nel diritto di opposizione – è la sanzione GDPR più alta mai irrogata in Italia
  • Iliad: 800.000 euro (gennaio 2020) per problemi di trasparenza nelle informative
  • UniCredit: 600.000 euro (aprile 2020) per inadeguate misure di sicurezza che hanno portato a un data breach
  • Eni Gas e Luce: complessivamente 11,5 milioni di euro per attivazioni non richieste e telemarketing
  • Comune di Bolzano: 84.000 euro per uso eccessivo della videosorveglianza scolastica

Il pattern è chiaro: il Garante colpisce duro su marketing non consensuale, data breach causati da misure inadeguate e trattamenti senza base giuridica. Sono esattamente i tre rischi tipici delle PMI: mailing list senza consenso, password deboli, contratti senza informativa.

11. Software e GDPR: cosa controllare in CRM, ERP, e-commerce

Il software gestionale è dove si concentra la maggior parte dei dati personali aziendali. Una verifica di conformità GDPR del proprio CRM, ERP o e-commerce dovrebbe coprire almeno questi punti:

CRM

  • Gestione granulare dei consensi marketing (newsletter, telemarketing, profilazione)
  • Tracciamento delle fonti di acquisizione dei lead
  • Funzione di esportazione e cancellazione dei dati di un contatto
  • Log delle modifiche e degli accessi

ERP

  • Profilazione utenti per area (vendite, contabilità, magazzino, HR)
  • Cifratura del database e dei backup
  • Retention configurabile su clienti inattivi e dipendenti cessati
  • Modulo dedicato GDPR con registro trattamenti integrato (vedi modulo GDPR ERP Brenta)

E-commerce

  • Cookie banner conforme con consenso preventivo (in attesa delle nuove linee guida del Garante 2021)
  • Informativa privacy chiara, accessibile in checkout
  • Doppio opt-in per la newsletter
  • Procedura di cancellazione account utente

Per il dettaglio normativo del Regolamento è sempre utile consultare il testo ufficiale su EUR-Lex.

Per chi opera nel B2B, l’integrazione tra GDPR e altri obblighi normativi – come la fatturazione elettronica B2B – è oggi un tema centrale: stesso database clienti, stesse policy di conservazione, stesse misure di sicurezza.

12. Domande frequenti

Una PMI con 5 dipendenti deve nominare il DPO?

No, salvo che tratti su larga scala dati sanitari/biometrici o effettui monitoraggio sistematico. Tuttavia, il titolare resta sempre responsabile e può scegliere un consulente esterno per il supporto privacy.

Quanto costa adeguarsi al GDPR per una PMI?

Dipende dalla complessità: per una PMI tipica con un solo gestionale e attività B2B il costo dell’adeguamento iniziale può variare tra 2.000 e 10.000 euro, più i costi annuali di mantenimento (consulenza, formazione, audit).

Posso usare WhatsApp per comunicare con i clienti?

Sì, ma serve il consenso esplicito e un’informativa specifica. WhatsApp Business ha funzioni dedicate, ma il trattamento avviene sui server di Meta (USA) – quindi vanno valutate le implicazioni post-Schrems II.

Sono obbligato a tenere il registro dei trattamenti se ho meno di 250 dipendenti?

Quasi sempre sì. La deroga dei 250 dipendenti dell’art. 30 GDPR si applica solo se non si trattano dati sensibili e i trattamenti sono occasionali – condizioni che difficilmente ricorrono in una vera azienda operativa.

Cosa succede se subisco un attacco ransomware?

Va notificato al Garante entro 72 ore se i dati personali sono stati compromessi. Va inoltre annotato nel registro dei data breach interno. La velocità di risposta è un fattore mitigante delle sanzioni.

Le linee guida cookie del Garante sono già in vigore?

A febbraio 2021 sono ancora attese: la nuova consultazione pubblica del Garante non si è ancora conclusa. Nel frattempo restano valide le linee guida del 2014, integrate con il GDPR e le indicazioni del Comitato Europeo per la Protezione dei Dati (EDPB).

Il backup è considerato un trattamento separato?

Sì. Va incluso nel registro dei trattamenti, con indicazione di tempi di conservazione, misure di sicurezza e modalità di accesso. È una delle aree più trascurate dalle PMI: spesso i backup vengono conservati per anni senza una policy chiara, contraddicendo il principio di limitazione della conservazione.

Come gestire la privacy nello smart working?

Lo smart working impone obblighi specifici: device aziendali con cifratura disco, VPN per le connessioni, formazione del dipendente sui rischi (phishing, accessi da reti pubbliche), policy chiare su quali dati possono essere trattati da remoto. Va aggiornato il DVR con i rischi privacy del lavoro a distanza e, se si usa videosorveglianza domestica o monitoraggio dell’attività, serve l’accordo sindacale ex art. 4 dello Statuto dei lavoratori e l’informativa specifica.

Come si gestiscono i dati dei dipendenti positivi al Covid-19?

Il Garante ha pubblicato linee guida specifiche nel 2020. In sintesi: il datore di lavoro non può chiedere autonomamente test o conoscere la diagnosi specifica, ma ha il dovere di garantire la sicurezza sul lavoro. I dati raccolti (es. temperatura all’ingresso) vanno trattati con criteri di minimizzazione, conservati il minimo indispensabile e protetti adeguatamente. È sempre consigliabile coinvolgere il medico competente come gestore della parte sanitaria.

Quanto è davvero efficace un consenso “raccolto” tramite cookie banner?

Sempre meno. Il Garante e l’EDPB hanno chiarito che i banner con scrolling implicito o pulsanti sbilanciati (“accetta tutto” evidenziato e “rifiuta” nascosto) non producono un consenso valido. Le nuove linee guida cookie – in arrivo nel corso del 2021 – imposteranno requisiti più stringenti: rifiuto altrettanto facile dell’accettazione, scelte granulari, divieto di cookie wall.

Le aziende devono assicurarsi contro i rischi cyber e privacy?

Non esiste un obbligo di legge, ma la copertura cyber è ormai uno standard: protegge da costi di gestione data breach, sanzioni (in alcuni casi e nei limiti di legge), perdita di reputazione, downtime operativo. Per una PMI con fatturato tra 1 e 5 milioni di euro, una polizza cyber con massimali di 500.000-1.000.000 euro è ragionevolmente accessibile e consigliata.

Vuoi un sistema gestionale già a norma GDPR?

Brentasoft sviluppa software gestionali e CRM con privacy by design integrata: registro trattamenti, gestione consensi, log accessi e workflow per data breach in linea con il GDPR.

Scopri ERP Brenta →