{"id":417,"date":"2021-02-09T15:42:00","date_gmt":"2021-02-09T14:42:00","guid":{"rendered":"https:\/\/brentasoft.com\/blog\/gdpr-aziendale-guida-pmi-2021\/"},"modified":"2021-02-09T15:42:00","modified_gmt":"2021-02-09T14:42:00","slug":"gdpr-aziendale-guida-pmi-2021","status":"publish","type":"post","link":"https:\/\/brentasoft.com\/blog\/gdpr-aziendale-guida-pmi-2021\/","title":{"rendered":"GDPR aziendale: la guida pratica 2021 per PMI"},"content":{"rendered":"<p>Il <strong>GDPR aziendale<\/strong> non \u00e8 pi\u00f9 una novit\u00e0: il Regolamento UE 2016\/679 \u00e8 in vigore dal 25 maggio 2018 e nel 2021 entra nel suo terzo anno di applicazione concreta. Eppure, secondo le rilevazioni del Garante per la protezione dei dati personali, una quota significativa di PMI italiane non ha ancora completato l&#8217;adeguamento. Tra registro dei trattamenti, DPIA, nomina del DPO e gestione dei data breach, gli adempimenti sono molti e le sanzioni &#8211; come dimostrano i casi TIM e Iliad del 2020 &#8211; sono tutt&#8217;altro che simboliche.<\/p>\n<p>Questa guida, aggiornata a febbraio 2021, raccoglie in un unico documento tutto quello che un&#8217;azienda &#8211; e in particolare una piccola o media impresa &#8211; deve sapere per essere conforme al GDPR: principi, obblighi, strumenti operativi e accorgimenti pratici, con un focus specifico sulle implicazioni per il software gestionale e gli strumenti di lavoro digitali, sempre pi\u00f9 centrali dopo l&#8217;esplosione dello smart working causata dalla pandemia.<\/p>\n<figure class=\"wp-block-image size-large\"><img fetchpriority=\"high\" decoding=\"async\" width=\"1600\" height=\"1068\" src=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/02\/sicurezza-dati-aziendale.jpg\" alt=\"Scudo di sicurezza informatica su dati aziendali\" class=\"wp-image-420\" srcset=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/02\/sicurezza-dati-aziendale.jpg 1600w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/02\/sicurezza-dati-aziendale-300x200.jpg 300w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/02\/sicurezza-dati-aziendale-1024x684.jpg 1024w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/02\/sicurezza-dati-aziendale-768x513.jpg 768w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/02\/sicurezza-dati-aziendale-1536x1025.jpg 1536w\" sizes=\"(max-width: 1600px) 100vw, 1600px\" \/><figcaption>Le misure di sicurezza tecniche e organizzative sono uno dei pilastri del GDPR.<\/figcaption><\/figure>\n<h2>1. GDPR aziendale: lo stato dell&#8217;arte nel 2021<\/h2>\n<p>A quasi tre anni dall&#8217;entrata in vigore, il GDPR \u00e8 ormai una realt\u00e0 strutturale per qualsiasi organizzazione che tratti dati personali in Europa. Il 2020 e l&#8217;inizio 2021 sono stati segnati da tre fattori che hanno cambiato lo scenario:<\/p>\n<ul>\n<li><strong>L&#8217;aumento delle sanzioni<\/strong>: il Garante italiano ha emesso provvedimenti record (TIM 27,8 milioni di euro, Iliad 800.000 euro), confermando che il regolatore italiano \u00e8 tra i pi\u00f9 attivi in Europa.<\/li>\n<li><strong>La sentenza Schrems II<\/strong> della Corte di Giustizia UE (luglio 2020), che ha invalidato il <em>Privacy Shield<\/em> e reso molto pi\u00f9 complesso il trasferimento di dati personali verso gli Stati Uniti.<\/li>\n<li><strong>La pandemia da Covid-19<\/strong>, che ha imposto a milioni di aziende l&#8217;adozione rapida di smart working, videoconferenze, tracking sanitario in azienda &#8211; tutte attivit\u00e0 con forti implicazioni privacy.<\/li>\n<\/ul>\n<p>Nel frattempo \u00e8 cambiato anche il vertice del Garante: Antonello Soro ha terminato il mandato a luglio 2020 e dal 14 luglio 2020 \u00e8 entrato in carica Pasquale Stanzione. Il nuovo collegio sta lavorando su diversi fronti: cookie, marketing, smart working, intelligenza artificiale.<\/p>\n<p>Il messaggio \u00e8 chiaro: l&#8217;epoca della tolleranza \u00e8 finita. Anche le PMI, che spesso si erano sentite &#8220;fuori dal radar&#8221; del Garante, sono oggi destinatarie di ispezioni e sanzioni proporzionate al fatturato ma comunque significative.<\/p>\n<h2>2. I 7 principi fondamentali del GDPR<\/h2>\n<p>L&#8217;articolo 5 del Regolamento UE 2016\/679 fissa i sette principi che ogni trattamento deve rispettare. Sono il cuore del GDPR: chi li interiorizza riesce a impostare correttamente tutti gli adempimenti operativi.<\/p>\n<ol>\n<li><strong>Liceit\u00e0, correttezza e trasparenza<\/strong>: ogni trattamento deve avere una base giuridica (consenso, contratto, obbligo di legge, interesse legittimo, ecc.) e deve essere comunicato all&#8217;interessato in modo chiaro.<\/li>\n<li><strong>Limitazione della finalit\u00e0<\/strong>: i dati vanno raccolti per finalit\u00e0 determinate, esplicite e legittime, e non possono essere riutilizzati per scopi incompatibili.<\/li>\n<li><strong>Minimizzazione<\/strong>: si raccolgono solo i dati strettamente necessari. Niente raccolta &#8220;preventiva&#8221; di informazioni che non servono.<\/li>\n<li><strong>Esattezza<\/strong>: i dati devono essere accurati e aggiornati. Se sbagliati, vanno rettificati o cancellati.<\/li>\n<li><strong>Limitazione della conservazione<\/strong>: i dati vanno conservati solo per il tempo necessario. Servono policy di retention chiare.<\/li>\n<li><strong>Integrit\u00e0 e riservatezza<\/strong>: misure di sicurezza tecniche e organizzative adeguate (cifratura, controllo accessi, backup).<\/li>\n<li><strong>Responsabilizzazione (accountability)<\/strong>: il titolare deve essere in grado di <em>dimostrare<\/em> di aver rispettato i principi precedenti.<\/li>\n<\/ol>\n<p>L&#8217;ultimo principio, l&#8217;<em>accountability<\/em>, \u00e8 il vero spartiacque rispetto al vecchio Codice Privacy: non basta essere conformi, bisogna poterlo provare con documentazione, registri e procedure.<\/p>\n<h2>3. Quali aziende sono obbligate (tutte) e gli adempimenti per dimensione<\/h2>\n<p>Una domanda ricorrente: &#8220;Sono una piccola impresa con 5 dipendenti, devo davvero applicare il GDPR?&#8221;. La risposta \u00e8 <strong>s\u00ec<\/strong>. Il GDPR si applica a chiunque tratti dati personali nel contesto di un&#8217;attivit\u00e0 professionale o commerciale, indipendentemente dalle dimensioni.<\/p>\n<p>Ci\u00f2 che cambia in funzione della dimensione e del tipo di trattamento \u00e8 il <em>livello<\/em> degli adempimenti:<\/p>\n<h3>Microimprese (1-9 dipendenti)<\/h3>\n<ul>\n<li>Informative privacy aggiornate (clienti, fornitori, dipendenti, sito web)<\/li>\n<li>Registro dei trattamenti semplificato<\/li>\n<li>Misure di sicurezza di base (password, antivirus, backup)<\/li>\n<li>Procedura per gestire le richieste degli interessati<\/li>\n<li>DPO non obbligatorio (salvo casi specifici)<\/li>\n<\/ul>\n<h3>Piccole imprese (10-49 dipendenti)<\/h3>\n<ul>\n<li>Tutti i punti precedenti, pi\u00f9:<\/li>\n<li>Registro completo dei trattamenti<\/li>\n<li>Valutazione dei rischi e misure proporzionate<\/li>\n<li>Formazione del personale<\/li>\n<li>Contratti con i responsabili esterni (art. 28)<\/li>\n<\/ul>\n<h3>Medie imprese (50-249 dipendenti)<\/h3>\n<ul>\n<li>Tutto quanto sopra, pi\u00f9:<\/li>\n<li>DPIA per i trattamenti ad alto rischio<\/li>\n<li>Probabile nomina del DPO (in funzione dei trattamenti)<\/li>\n<li>Procedure formalizzate per data breach<\/li>\n<li>Audit periodici di conformit\u00e0<\/li>\n<\/ul>\n<p>Per gestire correttamente questi adempimenti \u00e8 fondamentale partire da una <a href=\"https:\/\/brentasoft.com\/erp-brenta\/anagrafiche.php\" target=\"_blank\" rel=\"noopener\">gestione anagrafiche<\/a> ordinata: clienti, fornitori, dipendenti devono essere censiti in modo univoco, con riferimenti alle informative consegnate e alle basi giuridiche dei trattamenti.<\/p>\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1600\" height=\"900\" src=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/02\/compliance-audit-pmi.jpg\" alt=\"Team in ufficio durante audit di compliance GDPR\" class=\"wp-image-421\" srcset=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/02\/compliance-audit-pmi.jpg 1600w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/02\/compliance-audit-pmi-300x169.jpg 300w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/02\/compliance-audit-pmi-1024x576.jpg 1024w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/02\/compliance-audit-pmi-768x432.jpg 768w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/02\/compliance-audit-pmi-1536x864.jpg 1536w\" sizes=\"(max-width: 1600px) 100vw, 1600px\" \/><figcaption>Il registro dei trattamenti \u00e8 il documento chiave dell&#8217;accountability GDPR.<\/figcaption><\/figure>\n<h2>4. Il Registro dei trattamenti: come compilarlo<\/h2>\n<p>Il <strong>Registro dei trattamenti<\/strong> (art. 30 GDPR) \u00e8 il documento pi\u00f9 importante per dimostrare l&#8217;<em>accountability<\/em>. \u00c8 obbligatorio per tutte le aziende con pi\u00f9 di 250 dipendenti e per quelle che effettuano trattamenti non occasionali, su categorie particolari di dati o con rischi per i diritti degli interessati &#8211; cio\u00e8, di fatto, per la quasi totalit\u00e0 delle PMI.<\/p>\n<p>Il Registro deve contenere, per ogni trattamento:<\/p>\n<ul>\n<li>Nome e dati di contatto del titolare (e dell&#8217;eventuale DPO)<\/li>\n<li>Finalit\u00e0 del trattamento<\/li>\n<li>Categorie di interessati (es. dipendenti, clienti, fornitori)<\/li>\n<li>Categorie di dati personali (anagrafici, contatto, contabili, sanitari, ecc.)<\/li>\n<li>Categorie di destinatari (interni, esterni, paesi terzi)<\/li>\n<li>Eventuali trasferimenti extra-UE<\/li>\n<li>Tempi di conservazione (retention)<\/li>\n<li>Misure di sicurezza tecniche e organizzative<\/li>\n<\/ul>\n<p>Per una PMI tipica, i trattamenti da registrare sono di solito tra 10 e 30: gestione clienti, fornitori, dipendenti, contabilit\u00e0, marketing, videosorveglianza, sito web, newsletter, candidature di lavoro, ecc.<\/p>\n<p>Il registro va tenuto in forma scritta (anche elettronica) ed esibito al Garante in caso di richiesta. Esistono modelli ufficiali sul sito del <a href=\"https:\/\/www.garanteprivacy.it\/\" target=\"_blank\" rel=\"noopener\">Garante Privacy<\/a>, ma la cosa pi\u00f9 importante \u00e8 che il documento rifletta la realt\u00e0 operativa dell&#8217;azienda, non un copia-incolla.<\/p>\n<h2>5. DPIA: quando \u00e8 obbligatoria e come si fa<\/h2>\n<p>La <strong>Valutazione d&#8217;impatto sulla protezione dei dati<\/strong> (Data Protection Impact Assessment) \u00e8 un&#8217;analisi preventiva dei rischi che un trattamento pu\u00f2 comportare per i diritti e le libert\u00e0 degli interessati. \u00c8 obbligatoria, secondo l&#8217;art. 35 GDPR, quando il trattamento &#8220;presenta un rischio elevato&#8221;.<\/p>\n<p>Il Garante italiano ha pubblicato una lista di trattamenti per i quali la DPIA \u00e8 sempre obbligatoria. Tra i pi\u00f9 rilevanti per le PMI:<\/p>\n<ul>\n<li>Videosorveglianza sistematica di aree pubbliche o accessibili al pubblico<\/li>\n<li>Trattamenti di dati biometrici per l&#8217;identificazione<\/li>\n<li>Profilazione su larga scala con effetti significativi<\/li>\n<li>Trattamenti di dati sanitari su larga scala<\/li>\n<li>Geolocalizzazione di dipendenti<\/li>\n<li>Trattamenti che combinano dati di pi\u00f9 fonti per profilazione<\/li>\n<\/ul>\n<p>Una DPIA ben fatta contiene:<\/p>\n<ol>\n<li>Descrizione sistematica del trattamento<\/li>\n<li>Valutazione di necessit\u00e0 e proporzionalit\u00e0<\/li>\n<li>Identificazione dei rischi per gli interessati<\/li>\n<li>Misure previste per mitigare i rischi<\/li>\n<li>Eventuale consultazione del DPO<\/li>\n<\/ol>\n<p>Se la DPIA evidenzia rischi elevati che non possono essere mitigati, scatta l&#8217;obbligo di consultazione preventiva del Garante (art. 36).<\/p>\n<h2>6. Il DPO: chi \u00e8 obbligato a nominarlo<\/h2>\n<p>Il <strong>Data Protection Officer<\/strong> (Responsabile della Protezione dei Dati) \u00e8 la figura chiave del sistema GDPR. La sua nomina \u00e8 obbligatoria nei casi previsti dall&#8217;art. 37:<\/p>\n<ul>\n<li>Autorit\u00e0 o organismi pubblici<\/li>\n<li>Aziende le cui attivit\u00e0 principali consistono in trattamenti che richiedono <strong>monitoraggio regolare e sistematico su larga scala<\/strong> (es. compagnie assicurative, banche, telco)<\/li>\n<li>Aziende che trattano <strong>su larga scala categorie particolari di dati<\/strong> (sanitari, biometrici, ecc.) &#8211; tipicamente cliniche, laboratori di analisi, RSA<\/li>\n<\/ul>\n<p>Per la maggior parte delle PMI manifatturiere o commerciali il DPO non \u00e8 obbligatorio, ma pu\u00f2 essere nominato volontariamente. Il DPO pu\u00f2 essere interno (un dipendente con competenze adeguate) o esterno (consulente, studio professionale, societ\u00e0 specializzata).<\/p>\n<p>Il DPO deve avere indipendenza, riportare al vertice e non trovarsi in conflitto di interesse con altre funzioni aziendali. Questo significa che il responsabile IT, il direttore HR o l&#8217;amministratore non possono essere DPO della stessa azienda.<\/p>\n<h2>7. Privacy by design e by default nel software aziendale<\/h2>\n<p>L&#8217;art. 25 GDPR introduce due concetti fondamentali per chiunque sviluppi o utilizzi software che trattano dati personali: la <strong>privacy by design<\/strong> (la protezione dei dati va progettata fin dall&#8217;inizio del software) e la <strong>privacy by default<\/strong> (le impostazioni di default devono essere quelle pi\u00f9 protettive).<\/p>\n<p>In pratica, un gestionale conforme deve avere caratteristiche come:<\/p>\n<ul>\n<li>Profilazione granulare degli utenti, con principio del minimo privilegio<\/li>\n<li>Log degli accessi e delle operazioni sui dati sensibili<\/li>\n<li>Cifratura dei dati a riposo e in transito<\/li>\n<li>Pseudonimizzazione dove possibile<\/li>\n<li>Funzioni native per esercitare i diritti degli interessati (accesso, rettifica, cancellazione, portabilit\u00e0)<\/li>\n<li>Policy di retention configurabili<\/li>\n<li>Procedure automatizzate per la gestione dei consensi<\/li>\n<\/ul>\n<p>\u00c8 qui che la scelta del software fa la differenza. Adottare <a href=\"https:\/\/brentasoft.com\/soluzioni\/gestionali-personalizzati.php\" target=\"_blank\" rel=\"noopener\">gestionali personalizzati<\/a> sviluppati con la privacy by design &#8211; invece di patchare a posteriori soluzioni concepite prima del 2018 &#8211; riduce drasticamente il rischio di non conformit\u00e0 e i costi di adeguamento.<\/p>\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1600\" height=\"1067\" src=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/02\/privacy-digitale-sicurezza.jpg\" alt=\"Lucchetto digitale su tastiera per privacy dati\" class=\"wp-image-422\" srcset=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/02\/privacy-digitale-sicurezza.jpg 1600w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/02\/privacy-digitale-sicurezza-300x200.jpg 300w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/02\/privacy-digitale-sicurezza-1024x683.jpg 1024w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/02\/privacy-digitale-sicurezza-768x512.jpg 768w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/02\/privacy-digitale-sicurezza-1536x1024.jpg 1536w\" sizes=\"(max-width: 1600px) 100vw, 1600px\" \/><figcaption>Privacy by design: la protezione dei dati va progettata fin dall&#8217;inizio del software.<\/figcaption><\/figure>\n<h2>8. Trasferimenti extra-UE post-Schrems II<\/h2>\n<p>La sentenza C-311\/18 della Corte di Giustizia UE (16 luglio 2020), nota come <em>Schrems II<\/em>, ha invalidato il <em>Privacy Shield<\/em>, il meccanismo che consentiva il trasferimento di dati personali dall&#8217;UE agli USA. Da allora le aziende europee si trovano in una situazione complessa.<\/p>\n<p>I trasferimenti verso paesi terzi (extra-UE) sono ancora possibili, ma richiedono:<\/p>\n<ul>\n<li><strong>Decisione di adeguatezza<\/strong> della Commissione Europea (es. Svizzera, Canada, Giappone, Regno Unito post-Brexit)<\/li>\n<li><strong>Clausole Contrattuali Tipo<\/strong> (Standard Contractual Clauses &#8211; SCC), che sono in fase di aggiornamento proprio nel 2021<\/li>\n<li><strong>Norme Vincolanti d&#8217;Impresa<\/strong> (BCR) per i gruppi multinazionali<\/li>\n<li><strong>Misure supplementari<\/strong> tecniche e organizzative (cifratura forte con chiavi controllate dall&#8217;esportatore, pseudonimizzazione, ecc.)<\/li>\n<\/ul>\n<p>Per le PMI italiane il problema \u00e8 soprattutto pratico: se usate Microsoft 365, Google Workspace, Mailchimp, AWS o simili, dovete verificare con i fornitori quali misure aggiuntive hanno adottato post-Schrems II. Sempre pi\u00f9 aziende stanno valutando <a href=\"https:\/\/brentasoft.com\/soluzioni\/software-cloud.php\" target=\"_blank\" rel=\"noopener\">soluzioni cloud aziendali<\/a> con datacenter europei per evitare la complessit\u00e0 dei trasferimenti.<\/p>\n<h2>9. Data breach: gestione e notifica<\/h2>\n<p>Una <strong>violazione dei dati personali<\/strong> (data breach) \u00e8 qualsiasi evento che comporti, accidentalmente o illecitamente, la distruzione, la perdita, la modifica, la divulgazione o l&#8217;accesso non autorizzato ai dati. Esempi: un laptop rubato, un attacco ransomware, un&#8217;email inviata al destinatario sbagliato, un fornitore che subisce un&#8217;intrusione.<\/p>\n<p>Il GDPR (art. 33-34) impone tempi stretti:<\/p>\n<ul>\n<li><strong>Entro 72 ore<\/strong> dalla scoperta, il titolare deve notificare la violazione al Garante (salvo che la violazione sia improbabile presenti rischi)<\/li>\n<li><strong>Senza ingiustificato ritardo<\/strong>, deve comunicare la violazione agli interessati se il rischio \u00e8 elevato<\/li>\n<li>Tutti gli incidenti vanno annotati nel <em>Registro dei data breach<\/em>, anche quelli non notificati<\/li>\n<\/ul>\n<p>Per rispettare le 72 ore serve una procedura interna chiara: chi rileva l&#8217;incidente, chi valuta la gravit\u00e0, chi notifica, chi comunica agli interessati. Senza procedura, il rischio \u00e8 arrivare alla notifica fuori tempo &#8211; aggravante che il Garante considera in sede sanzionatoria.<\/p>\n<p>Negli ultimi 12 mesi gli attacchi ransomware contro PMI italiane sono cresciuti in modo esponenziale: nel 2020 il CERT-AGID ha registrato un aumento di oltre il 200% delle segnalazioni rispetto al 2019. Avere backup offline, log centralizzati e una procedura di response \u00e8 oggi una necessit\u00e0, non un&#8217;opzione.<\/p>\n<h2>10. Sanzioni 2020-2021 e casi italiani<\/h2>\n<p>Le sanzioni del GDPR arrivano fino a 20 milioni di euro o al 4% del fatturato mondiale annuo, ma raramente raggiungono questi limiti. Il Garante italiano nel 2020 ha per\u00f2 fatto sul serio:<\/p>\n<ul>\n<li><strong>TIM<\/strong>: 27,8 milioni di euro (gennaio 2020) per telemarketing aggressivo, mancato rispetto del consenso, problemi nel diritto di opposizione &#8211; \u00e8 la sanzione GDPR pi\u00f9 alta mai irrogata in Italia<\/li>\n<li><strong>Iliad<\/strong>: 800.000 euro (gennaio 2020) per problemi di trasparenza nelle informative<\/li>\n<li><strong>UniCredit<\/strong>: 600.000 euro (aprile 2020) per inadeguate misure di sicurezza che hanno portato a un data breach<\/li>\n<li><strong>Eni Gas e Luce<\/strong>: complessivamente 11,5 milioni di euro per attivazioni non richieste e telemarketing<\/li>\n<li><strong>Comune di Bolzano<\/strong>: 84.000 euro per uso eccessivo della videosorveglianza scolastica<\/li>\n<\/ul>\n<p>Il pattern \u00e8 chiaro: il Garante colpisce duro su <em>marketing non consensuale<\/em>, <em>data breach causati da misure inadeguate<\/em> e <em>trattamenti senza base giuridica<\/em>. Sono esattamente i tre rischi tipici delle PMI: mailing list senza consenso, password deboli, contratti senza informativa.<\/p>\n<h2>11. Software e GDPR: cosa controllare in CRM, ERP, e-commerce<\/h2>\n<p>Il software gestionale \u00e8 dove si concentra la maggior parte dei dati personali aziendali. Una verifica di conformit\u00e0 GDPR del proprio CRM, ERP o e-commerce dovrebbe coprire almeno questi punti:<\/p>\n<h3>CRM<\/h3>\n<ul>\n<li>Gestione granulare dei consensi marketing (newsletter, telemarketing, profilazione)<\/li>\n<li>Tracciamento delle fonti di acquisizione dei lead<\/li>\n<li>Funzione di esportazione e cancellazione dei dati di un contatto<\/li>\n<li>Log delle modifiche e degli accessi<\/li>\n<\/ul>\n<h3>ERP<\/h3>\n<ul>\n<li>Profilazione utenti per area (vendite, contabilit\u00e0, magazzino, HR)<\/li>\n<li>Cifratura del database e dei backup<\/li>\n<li>Retention configurabile su clienti inattivi e dipendenti cessati<\/li>\n<li>Modulo dedicato GDPR con registro trattamenti integrato (vedi <a href=\"https:\/\/brentasoft.com\/erp-brenta\/gdpr.php\" target=\"_blank\" rel=\"noopener\">modulo GDPR ERP Brenta<\/a>)<\/li>\n<\/ul>\n<h3>E-commerce<\/h3>\n<ul>\n<li>Cookie banner conforme con consenso preventivo (in attesa delle nuove linee guida del Garante 2021)<\/li>\n<li>Informativa privacy chiara, accessibile in checkout<\/li>\n<li>Doppio opt-in per la newsletter<\/li>\n<li>Procedura di cancellazione account utente<\/li>\n<\/ul>\n<p>Per il dettaglio normativo del Regolamento \u00e8 sempre utile consultare il testo ufficiale su <a href=\"https:\/\/eur-lex.europa.eu\/eli\/reg\/2016\/679\/oj\" target=\"_blank\" rel=\"noopener\">EUR-Lex<\/a>.<\/p>\n<p>Per chi opera nel B2B, l&#8217;integrazione tra GDPR e altri obblighi normativi &#8211; come la <a href=\"\/blog\/fatturazione-elettronica-b2b-guida-pmi-2021\/\">fatturazione elettronica B2B<\/a> &#8211; \u00e8 oggi un tema centrale: stesso database clienti, stesse policy di conservazione, stesse misure di sicurezza.<\/p>\n<h2>12. Domande frequenti<\/h2>\n<h3>Una PMI con 5 dipendenti deve nominare il DPO?<\/h3>\n<p>No, salvo che tratti su larga scala dati sanitari\/biometrici o effettui monitoraggio sistematico. Tuttavia, il titolare resta sempre responsabile e pu\u00f2 scegliere un consulente esterno per il supporto privacy.<\/p>\n<h3>Quanto costa adeguarsi al GDPR per una PMI?<\/h3>\n<p>Dipende dalla complessit\u00e0: per una PMI tipica con un solo gestionale e attivit\u00e0 B2B il costo dell&#8217;adeguamento iniziale pu\u00f2 variare tra 2.000 e 10.000 euro, pi\u00f9 i costi annuali di mantenimento (consulenza, formazione, audit).<\/p>\n<h3>Posso usare WhatsApp per comunicare con i clienti?<\/h3>\n<p>S\u00ec, ma serve il consenso esplicito e un&#8217;informativa specifica. WhatsApp Business ha funzioni dedicate, ma il trattamento avviene sui server di Meta (USA) &#8211; quindi vanno valutate le implicazioni post-Schrems II.<\/p>\n<h3>Sono obbligato a tenere il registro dei trattamenti se ho meno di 250 dipendenti?<\/h3>\n<p>Quasi sempre s\u00ec. La deroga dei 250 dipendenti dell&#8217;art. 30 GDPR si applica solo se non si trattano dati sensibili e i trattamenti sono occasionali &#8211; condizioni che difficilmente ricorrono in una vera azienda operativa.<\/p>\n<h3>Cosa succede se subisco un attacco ransomware?<\/h3>\n<p>Va notificato al Garante entro 72 ore se i dati personali sono stati compromessi. Va inoltre annotato nel registro dei data breach interno. La velocit\u00e0 di risposta \u00e8 un fattore mitigante delle sanzioni.<\/p>\n<h3>Le linee guida cookie del Garante sono gi\u00e0 in vigore?<\/h3>\n<p>A febbraio 2021 sono ancora attese: la nuova consultazione pubblica del Garante non si \u00e8 ancora conclusa. Nel frattempo restano valide le linee guida del 2014, integrate con il GDPR e le indicazioni del Comitato Europeo per la Protezione dei Dati (EDPB).<\/p>\n<h3>Il backup \u00e8 considerato un trattamento separato?<\/h3>\n<p>S\u00ec. Va incluso nel registro dei trattamenti, con indicazione di tempi di conservazione, misure di sicurezza e modalit\u00e0 di accesso. \u00c8 una delle aree pi\u00f9 trascurate dalle PMI: spesso i backup vengono conservati per anni senza una policy chiara, contraddicendo il principio di limitazione della conservazione.<\/p>\n<h3>Come gestire la privacy nello smart working?<\/h3>\n<p>Lo smart working impone obblighi specifici: device aziendali con cifratura disco, VPN per le connessioni, formazione del dipendente sui rischi (phishing, accessi da reti pubbliche), policy chiare su quali dati possono essere trattati da remoto. Va aggiornato il DVR con i rischi privacy del lavoro a distanza e, se si usa videosorveglianza domestica o monitoraggio dell&#8217;attivit\u00e0, serve l&#8217;accordo sindacale ex art. 4 dello Statuto dei lavoratori e l&#8217;informativa specifica.<\/p>\n<h3>Come si gestiscono i dati dei dipendenti positivi al Covid-19?<\/h3>\n<p>Il Garante ha pubblicato linee guida specifiche nel 2020. In sintesi: il datore di lavoro non pu\u00f2 chiedere autonomamente test o conoscere la diagnosi specifica, ma ha il dovere di garantire la sicurezza sul lavoro. I dati raccolti (es. temperatura all&#8217;ingresso) vanno trattati con criteri di minimizzazione, conservati il minimo indispensabile e protetti adeguatamente. \u00c8 sempre consigliabile coinvolgere il medico competente come gestore della parte sanitaria.<\/p>\n<h3>Quanto \u00e8 davvero efficace un consenso &#8220;raccolto&#8221; tramite cookie banner?<\/h3>\n<p>Sempre meno. Il Garante e l&#8217;EDPB hanno chiarito che i banner con scrolling implicito o pulsanti sbilanciati (&#8220;accetta tutto&#8221; evidenziato e &#8220;rifiuta&#8221; nascosto) non producono un consenso valido. Le nuove linee guida cookie &#8211; in arrivo nel corso del 2021 &#8211; imposteranno requisiti pi\u00f9 stringenti: rifiuto altrettanto facile dell&#8217;accettazione, scelte granulari, divieto di cookie wall.<\/p>\n<h3>Le aziende devono assicurarsi contro i rischi cyber e privacy?<\/h3>\n<p>Non esiste un obbligo di legge, ma la copertura cyber \u00e8 ormai uno standard: protegge da costi di gestione data breach, sanzioni (in alcuni casi e nei limiti di legge), perdita di reputazione, downtime operativo. Per una PMI con fatturato tra 1 e 5 milioni di euro, una polizza cyber con massimali di 500.000-1.000.000 euro \u00e8 ragionevolmente accessibile e consigliata.<\/p>\n<div style=\"background:#f5f7fa;border-left:4px solid #0066cc;padding:20px;margin:30px 0;border-radius:4px;\">\n<h3 style=\"margin-top:0;\">Vuoi un sistema gestionale gi\u00e0 a norma GDPR?<\/h3>\n<p>Brentasoft sviluppa software gestionali e CRM con privacy by design integrata: registro trattamenti, gestione consensi, log accessi e workflow per data breach in linea con il GDPR.<\/p>\n<p style=\"margin-bottom:0;\"><a href=\"https:\/\/brentasoft.com\/erp-brenta.php\" style=\"display:inline-block;background:#0066cc;color:#fff;padding:12px 24px;border-radius:4px;text-decoration:none;font-weight:600;\">Scopri ERP Brenta &rarr;<\/a><\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>GDPR aziendale 2021: guida pratica per PMI italiane su principi, registro trattamenti, DPIA, DPO, data breach, Schrems II e sanzioni.<\/p>\n","protected":false},"author":2,"featured_media":419,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"GDPR aziendale: la guida pratica 2021 per PMI","_seopress_titles_desc":"GDPR aziendale 2021: guida pratica per PMI italiane su principi, registro trattamenti, DPIA, DPO, data breach, Schrems II e sanzioni.","_seopress_robots_index":"","footnotes":""},"categories":[25],"tags":[71,151,150,148,146,147,149],"class_list":["post-417","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-compliance-normative","tag-compliance","tag-data-breach","tag-dpia","tag-dpo","tag-gdpr","tag-privacy-aziendale","tag-registro-trattamenti"],"_links":{"self":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/posts\/417","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/comments?post=417"}],"version-history":[{"count":0,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/posts\/417\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/media\/419"}],"wp:attachment":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/media?parent=417"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/categories?post=417"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/tags?post=417"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}