{"id":579,"date":"2021-04-01T11:52:00","date_gmt":"2021-04-01T09:52:00","guid":{"rendered":"https:\/\/brentasoft.com\/blog\/dpia-dpo-obbligo-guida-2021\/"},"modified":"2021-04-01T11:52:00","modified_gmt":"2021-04-01T09:52:00","slug":"dpia-dpo-obbligo-guida-2021","status":"publish","type":"post","link":"https:\/\/brentasoft.com\/blog\/dpia-dpo-obbligo-guida-2021\/","title":{"rendered":"DPIA e DPO: chi \u00e8 obbligato e come gestirli nel 2021"},"content":{"rendered":"<p>La compliance al GDPR non \u00e8 un adempimento burocratico da spuntare e dimenticare: \u00e8 un processo continuo che ruota attorno a due figure tecniche e a un esercizio di analisi del rischio. Le figure sono il <strong>DPO<\/strong> (Data Protection Officer) e il documento \u00e8 la <strong>DPIA<\/strong> (Data Protection Impact Assessment). Da quando il Regolamento UE 2016\/679 \u00e8 entrato in piena applicazione, il 25 maggio 2018, queste due lettere hanno alimentato dubbi infiniti nelle PMI italiane. La <strong>dpia dpo obbligatorio<\/strong> \u00e8 davvero per tutti? Quando scatta l&#8217;obbligo? Cosa rischia chi la ignora?<\/p>\n<p>In questa guida del 2021 facciamo chiarezza, alla luce delle linee guida WP248 dell&#8217;EDPB, dei provvedimenti del Garante Privacy italiano e dei casi concreti emersi nei primi tre anni di applicazione del Regolamento. L&#8217;obiettivo \u00e8 darti un quadro operativo: capire se la tua azienda deve nominare un DPO, se deve fare una valutazione d&#8217;impatto e con quali strumenti gestire registro trattamenti, consensi e log accessi senza impazzire.<\/p>\n<h2>DPIA e DPO: i pilastri della compliance GDPR<\/h2>\n<p>Il GDPR ha sostituito la logica formale della vecchia normativa privacy (D.Lgs. 196\/2003) con un approccio basato sul rischio: il titolare del trattamento non deve pi\u00f9 chiedere autorizzazioni preventive al Garante, ma deve <em>dimostrare<\/em> di aver valutato i rischi e adottato misure adeguate. \u00c8 il principio di <strong>accountability<\/strong> sancito dall&#8217;art. 5, paragrafo 2 del Regolamento.<\/p>\n<p>In questo nuovo paradigma, DPIA e DPO sono i due strumenti chiave:<\/p>\n<ul>\n<li><strong>La DPIA<\/strong> \u00e8 il documento con cui il titolare analizza un trattamento specifico ad alto rischio e dimostra di aver bilanciato finalit\u00e0, mezzi, rischi per gli interessati e contromisure tecniche e organizzative.<\/li>\n<li><strong>Il DPO<\/strong> \u00e8 la figura \u2014 interna o esterna \u2014 che vigila sull&#8217;applicazione del Regolamento, supporta il titolare nelle decisioni e fa da punto di contatto con l&#8217;autorit\u00e0 di controllo.<\/li>\n<\/ul>\n<p>Un&#8217;azienda che gestisce dati personali in modo strutturato dovrebbe prevedere entrambi: una serie di DPIA aggiornate per i trattamenti pi\u00f9 sensibili e un DPO (anche solo consultivo) che presidi i processi. Se gestisci anche un gestionale ERP, hai bisogno di un sistema con <a href=\"https:\/\/brentasoft.com\/erp-brenta\/anagrafiche.php\">anagrafiche centralizzate<\/a> e log accessi nativi: questo semplifica enormemente sia la DPIA sia l&#8217;audit del DPO.<\/p>\n<p>La <strong>valutazione impatto privacy<\/strong> e la nomina del DPO non sono semplici scartoffie: sono leve operative che \u2014 se gestite bene \u2014 riducono il rischio sanzioni, migliorano la qualit\u00e0 del dato e creano fiducia con clienti, dipendenti e partner.<\/p>\n<h2>Cos&#8217;\u00e8 una DPIA (Data Protection Impact Assessment)<\/h2>\n<p><img decoding=\"async\" src=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/04\/valutazione-impatto-privacy.jpg\" alt=\"Professionista analizza documenti DPIA su scrivania\" \/><\/p>\n<p>L&#8217;art. 35 del GDPR definisce la DPIA come &#8220;una valutazione dell&#8217;impatto dei trattamenti previsti sulla protezione dei dati personali&#8221;. In pratica \u00e8 un&#8217;analisi documentale che il titolare conduce <em>prima<\/em> di avviare un trattamento ritenuto ad alto rischio. Non \u00e8 una semplice check-list: \u00e8 un esercizio strutturato di mappatura, valutazione e mitigazione.<\/p>\n<p>Una DPIA ben fatta contiene almeno questi elementi (art. 35, paragrafo 7):<\/p>\n<ul>\n<li><strong>Descrizione sistematica<\/strong> dei trattamenti previsti, delle finalit\u00e0 e dell&#8217;eventuale interesse legittimo perseguito.<\/li>\n<li><strong>Valutazione della necessit\u00e0 e proporzionalit\u00e0<\/strong> rispetto alle finalit\u00e0: stai raccogliendo solo i dati indispensabili?<\/li>\n<li><strong>Valutazione dei rischi<\/strong> per i diritti e le libert\u00e0 degli interessati: probabilit\u00e0 e gravit\u00e0 dei possibili danni.<\/li>\n<li><strong>Misure previste per affrontare i rischi<\/strong>: cifratura, pseudonimizzazione, minimizzazione, controlli di accesso, formazione del personale, audit periodici.<\/li>\n<\/ul>\n<p>La DPIA non \u00e8 un documento &#8220;una tantum&#8221;: va aggiornata ogni volta che cambia il contesto del trattamento (nuova tecnologia, nuova finalit\u00e0, nuovo fornitore). Le linee guida WP248 dell&#8217;ex Gruppo Articolo 29 (oggi EDPB) sottolineano che la DPIA \u00e8 un processo iterativo, non un report da archiviare.<\/p>\n<p>Un errore frequente \u00e8 confondere la DPIA con il <strong>registro trattamenti gdpr<\/strong> (art. 30). Il registro \u00e8 obbligatorio per quasi tutte le aziende sopra i 250 dipendenti (e per molte sotto, se gestiscono categorie particolari) e mappa <em>tutti<\/em> i trattamenti. La DPIA invece si concentra solo sui trattamenti ad alto rischio. Sono complementari ma distinti.<\/p>\n<h2>Quando una DPIA \u00e8 obbligatoria<\/h2>\n<p>L&#8217;art. 35, paragrafo 3 del GDPR elenca tre casi in cui la DPIA \u00e8 espressamente obbligatoria:<\/p>\n<ol>\n<li><strong>Valutazione sistematica e globale di aspetti personali<\/strong> basata su trattamento automatizzato (compresa la profilazione) che produce effetti giuridici o significativi sull&#8217;interessato. Esempio: scoring creditizio automatico, valutazione automatica di candidati in selezione del personale.<\/li>\n<li><strong>Trattamento su larga scala di categorie particolari di dati<\/strong> (art. 9: salute, biometrici, genetici, opinioni politiche, religiose, orientamento sessuale) o di dati relativi a condanne penali (art. 10).<\/li>\n<li><strong>Sorveglianza sistematica di una zona accessibile al pubblico su larga scala<\/strong>: ad esempio videosorveglianza estesa di un centro commerciale o di una stazione.<\/li>\n<\/ol>\n<p>Il Garante italiano ha integrato questi tre criteri con il provvedimento n. 467 dell&#8217;11 ottobre 2018, pubblicando una <strong>lista di trattamenti per i quali la DPIA \u00e8 obbligatoria<\/strong>. Tra i casi pi\u00f9 rilevanti per le PMI:<\/p>\n<ul>\n<li>Trattamenti effettuati da datori di lavoro con sistemi tecnologici che monitorano dipendenti (geolocalizzazione, badge biometrico, controllo email).<\/li>\n<li>Trattamenti di dati biometrici per autenticazione di utenti (riconoscimento facciale, impronte digitali).<\/li>\n<li>Trattamenti basati su profilazione che incidono su accesso a servizi (assicurazioni dinamiche, marketing comportamentale avanzato).<\/li>\n<li>Trattamenti di dati genetici, ad esempio in ambito sanitario specialistico.<\/li>\n<li>Trattamenti che combinano dati di diverse fonti senza che l&#8217;interessato se lo aspetti.<\/li>\n<\/ul>\n<p>Quando hai un dubbio, le WP248 suggeriscono nove criteri-spia: se il tuo trattamento ne soddisfa <strong>due o pi\u00f9<\/strong>, \u00e8 prudente fare la DPIA. I criteri includono profilazione, decisioni automatizzate, monitoraggio sistematico, dati sensibili, larga scala, incrocio di dataset, soggetti vulnerabili (bambini, dipendenti, pazienti), uso innovativo di tecnologie e ostacolo all&#8217;esercizio di un diritto.<\/p>\n<h2>Come si fa una DPIA: i 5 step operativi<\/h2>\n<p>Costruire una DPIA non richiede stregoneria, ma metodo. Ecco i cinque step che usiamo nei progetti di compliance per PMI:<\/p>\n<p><strong>Step 1 \u2014 Descrivi il trattamento.<\/strong> Chi sono gli interessati? Quali dati raccogli? Da quali fonti? Per quali finalit\u00e0? Quali tecnologie usi? Chi sono i destinatari (interni ed esterni)? Quanto dura il trattamento? Questo step alimenta anche il <strong>registro trattamenti gdpr<\/strong>.<\/p>\n<p><strong>Step 2 \u2014 Valuta necessit\u00e0 e proporzionalit\u00e0.<\/strong> Per ogni dato raccolto, chiediti: \u00e8 davvero indispensabile? Esiste una base giuridica solida (consenso, contratto, obbligo legale, interesse legittimo)? Hai applicato la minimizzazione? L&#8217;interessato \u00e8 informato in modo chiaro?<\/p>\n<p><strong>Step 3 \u2014 Identifica e valuta i rischi.<\/strong> Per ogni minaccia (data breach, accesso non autorizzato, alterazione, perdita), stima probabilit\u00e0 e gravit\u00e0 su una scala (es. bassa\/media\/alta). Pensa agli scenari peggiori: cosa succede all&#8217;interessato se i dati finiscono nelle mani sbagliate?<\/p>\n<p><strong>Step 4 \u2014 Pianifica le misure di mitigazione.<\/strong> Per ogni rischio sopra soglia, identifica contromisure tecniche (cifratura at rest e in transit, pseudonimizzazione, backup, MFA) e organizzative (policy, formazione, audit, gestione fornitori). Le misure vanno calibrate sul rischio: non serve una server room blindata per gestire la rubrica clienti.<\/p>\n<p><strong>Step 5 \u2014 Documenta, valida, monitora.<\/strong> Il DPO valida la DPIA. Se permane un rischio elevato non mitigabile, devi consultare il Garante prima di procedere (art. 36 GDPR). Rivedi la DPIA almeno annualmente o quando cambia il contesto.<\/p>\n<p>In molte PMI questi cinque step si traducono in 15-30 pagine di documento. Software come OneTrust, TrustArc, Privacy Tools o moduli integrati in <a href=\"https:\/\/brentasoft.com\/soluzioni\/gestionali-personalizzati.php\">gestionali personalizzati<\/a> aiutano a strutturare il lavoro e a mantenere traccia delle revisioni.<\/p>\n<h2>Cos&#8217;\u00e8 un DPO (Data Protection Officer)<\/h2>\n<p>Il <strong>data protection officer obbligo<\/strong> \u00e8 disciplinato dagli articoli 37-39 del GDPR. Il DPO \u00e8 una figura tecnica e indipendente che svolge tre funzioni principali:<\/p>\n<ul>\n<li><strong>Informa e consiglia<\/strong> il titolare e i dipendenti sugli obblighi del Regolamento.<\/li>\n<li><strong>Sorveglia<\/strong> l&#8217;osservanza del GDPR e delle policy interne in materia di protezione dei dati.<\/li>\n<li><strong>Coopera<\/strong> con l&#8217;autorit\u00e0 di controllo (in Italia il Garante Privacy) e funge da punto di contatto.<\/li>\n<\/ul>\n<p>L&#8217;art. 38 del GDPR \u00e8 chiarissimo sul fatto che il DPO deve essere coinvolto <em>tempestivamente<\/em> in ogni questione che riguardi la protezione dei dati personali. Non pu\u00f2 essere consultato a cose fatte: deve partecipare alla progettazione di nuovi processi, software, campagne di marketing.<\/p>\n<p>Il DPO non \u00e8 un decisore: \u00e8 un consulente qualificato. La responsabilit\u00e0 ultima resta del titolare. Per questo l&#8217;art. 38, paragrafo 6 vieta al DPO di svolgere compiti che possano dar luogo a un conflitto di interessi: non pu\u00f2 essere allo stesso tempo Direttore IT, Direttore HR o CEO della stessa azienda di cui \u00e8 DPO. Il Garante italiano ha sanzionato pi\u00f9 volte aziende che avevano nominato come DPO il responsabile IT, ravvisando un conflitto strutturale.<\/p>\n<h2>Chi \u00e8 obbligato a nominare un DPO<\/h2>\n<p><img decoding=\"async\" src=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/04\/dpo-azienda-team.jpg\" alt=\"Team aziendale in riunione discute audit GDPR e nomina DPO\" \/><\/p>\n<p>L&#8217;art. 37 del GDPR individua tre casi in cui la nomina del DPO \u00e8 obbligatoria:<\/p>\n<ol>\n<li><strong>Tutti gli enti pubblici<\/strong> e gli organismi pubblici (con eccezione delle autorit\u00e0 giurisdizionali nell&#8217;esercizio delle funzioni). Comuni, ASL, scuole, universit\u00e0, ministeri: nessuna eccezione per dimensioni.<\/li>\n<li><strong>Soggetti privati la cui attivit\u00e0 principale<\/strong> consiste in trattamenti che richiedono <em>monitoraggio regolare e sistematico degli interessati su larga scala<\/em>. Esempi: piattaforme di e-commerce con profilazione avanzata, social network, fornitori di servizi di telecomunicazione, societ\u00e0 di credit scoring, aziende di marketing programmatico.<\/li>\n<li><strong>Soggetti privati la cui attivit\u00e0 principale<\/strong> consiste nel trattamento <em>su larga scala di categorie particolari<\/em> (art. 9) o di dati relativi a condanne penali (art. 10). Esempi: ospedali, cliniche, laboratori di analisi, RSA, agenzie di recupero crediti che gestiscono dati di insolventi.<\/li>\n<\/ol>\n<p>Il punto debole sono le espressioni &#8220;attivit\u00e0 principale&#8221; e &#8220;larga scala&#8221;. Le linee guida WP243 dell&#8217;EDPB chiariscono che &#8220;attivit\u00e0 principale&#8221; sono i trattamenti <em>core<\/em> dell&#8217;azienda (quelli senza i quali non potrebbe operare), non quelli di supporto come la gestione delle buste paga. &#8220;Larga scala&#8221; si valuta su numero di interessati, volume di dati, durata, estensione geografica.<\/p>\n<p>Per le <strong>PMI italiane<\/strong> tipiche (manifatturiero, retail, servizi B2B sotto i 250 dipendenti) la nomina del DPO \u00e8 raramente obbligatoria, ma <strong>fortemente consigliata<\/strong>. Anche quando non obbligato, il titolare pu\u00f2 nominare un DPO volontariamente: in questo caso si applicano comunque tutti gli obblighi degli articoli 37-39, quindi attenzione a non designare DPO &#8220;di facciata&#8221;.<\/p>\n<p>Il Garante italiano, con il provvedimento del 30 novembre 2018, ha anche pubblicato FAQ specifiche sui criteri di designazione, chiarendo dubbi su settori grigi come studi medici associati, farmacie, scuole paritarie.<\/p>\n<h2>DPO interno vs esterno: pro e contro<\/h2>\n<p>Il GDPR consente di scegliere tra DPO interno (un dipendente dedicato) o DPO esterno (consulente o societ\u00e0 di consulenza con contratto di servizio). La scelta dipende da dimensione, complessit\u00e0 e budget.<\/p>\n<p><strong>DPO interno \u2014 vantaggi:<\/strong> conoscenza approfondita dei processi aziendali, presenza quotidiana, integrazione naturale con i team operativi. <strong>Svantaggi:<\/strong> costo del personale a tempo pieno (raramente giustificato sotto i 200-300 dipendenti), rischio di conflitto di interessi se cumula altri ruoli, formazione continua a carico dell&#8217;azienda.<\/p>\n<p><strong>DPO esterno \u2014 vantaggi:<\/strong> costo variabile (canone mensile o gettone presenza), competenza specialistica gi\u00e0 strutturata, indipendenza naturale dall&#8217;organigramma, esperienza maturata su clienti diversi. <strong>Svantaggi:<\/strong> minore conoscenza della singola realt\u00e0, rischio di &#8220;DPO multi-cliente&#8221; che gestisce 50+ aziende e diventa di fatto inattivo, necessit\u00e0 di rapporti contrattuali ben scritti (oggetto, tempi di risposta, SLA, riservatezza).<\/p>\n<p>Per la maggior parte delle PMI italiane il DPO esterno \u00e8 la scelta ragionevole, a patto di selezionare un professionista (avvocato, consulente certificato UNI 11697:2017 o ISO\/IEC 17024) con un portfolio gestibile e un contratto chiaro che preveda incontri periodici, audit, formazione del personale e partecipazione a riunioni strategiche.<\/p>\n<h2>Profilo, formazione e indipendenza del DPO<\/h2>\n<p>L&#8217;art. 37, paragrafo 5 del GDPR richiede che il DPO sia designato &#8220;in funzione delle qualit\u00e0 professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacit\u00e0 di assolvere i compiti di cui all&#8217;articolo 39&#8221;.<\/p>\n<p>Il GDPR non impone certificazioni specifiche, ma in Italia la <strong>norma UNI 11697:2017<\/strong> definisce i requisiti di conoscenza, abilit\u00e0 e competenza per quattro figure professionali della privacy: Privacy Manager, Privacy Specialist, Privacy Auditor e Data Protection Officer. La certificazione UNI 11697 (rilasciata da enti accreditati ACCREDIA come schema accreditato secondo ISO\/IEC 17024) \u00e8 la pi\u00f9 riconosciuta in Italia, anche se non obbligatoria.<\/p>\n<p>Un DPO competente combina:<\/p>\n<ul>\n<li><strong>Competenze giuridiche<\/strong>: GDPR, D.Lgs. 196\/2003 aggiornato, Direttiva ePrivacy, provvedimenti del Garante, giurisprudenza UE.<\/li>\n<li><strong>Competenze tecniche<\/strong>: sicurezza informatica di base, cifratura, controlli di accesso, gestione data breach, basi di rete.<\/li>\n<li><strong>Competenze organizzative<\/strong>: gestione progetti, formazione del personale, redazione policy, audit interni, capacit\u00e0 di dialogo con management e operativo.<\/li>\n<\/ul>\n<p>L&#8217;<strong>indipendenza<\/strong> \u00e8 altrettanto importante delle competenze. Il DPO deve poter dire &#8220;no&#8221; al titolare senza temere ritorsioni: l&#8217;art. 38, paragrafo 3 vieta espressamente di rimuoverlo o penalizzarlo per l&#8217;adempimento dei suoi compiti, e gli garantisce un canale di reporting diretto al vertice aziendale.<\/p>\n<h2>Software e strumenti per gestire DPIA e registro trattamenti<\/h2>\n<p><img decoding=\"async\" src=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/04\/protezione-dati-personali.jpg\" alt=\"Schermo computer con sistema di sicurezza e protezione dati personali\" \/><\/p>\n<p>Gestire DPIA, registro trattamenti, consensi, data breach e richieste di esercizio dei diritti con fogli Excel funziona per le aziende molto piccole. Gi\u00e0 a 30-50 dipendenti diventa fragile e poco difendibile in caso di ispezione del Garante. Per questo nel 2021 esistono diverse categorie di strumenti.<\/p>\n<p><strong>Piattaforme privacy management dedicate:<\/strong><\/p>\n<ul>\n<li><strong>OneTrust<\/strong>: leader globale, copre privacy, sicurezza, third-party risk, ESG. Adatto a grandi aziende e multinazionali.<\/li>\n<li><strong>TrustArc<\/strong>: piattaforma orientata alla compliance multi-giurisdizionale, particolarmente forte sui temi di privacy notice e cookie management.<\/li>\n<li><strong>Privacy Tools<\/strong>: soluzione italiana di Iubenda, adatta a PMI, integrata con cookie banner e privacy policy generator.<\/li>\n<li><strong>Logica Privacy<\/strong>: software italiano specifico per registro trattamenti e gestione DPIA.<\/li>\n<\/ul>\n<p><strong>Moduli integrati nei gestionali ERP:<\/strong> molti gestionali italiani hanno introdotto un <a href=\"https:\/\/brentasoft.com\/erp-brenta\/gdpr.php\">modulo GDPR<\/a> nativo per la gestione dei consensi clienti e dipendenti, log degli accessi, richieste di cancellazione, tracciamento delle finalit\u00e0. L&#8217;integrazione con anagrafiche gi\u00e0 strutturate \u00e8 il vero valore aggiunto: non devi duplicare i dati in una piattaforma esterna.<\/p>\n<p><strong>Soluzioni cloud sicure:<\/strong> per le PMI che non vogliono gestire infrastruttura, le <a href=\"https:\/\/brentasoft.com\/soluzioni\/software-cloud.php\">soluzioni cloud sicure<\/a> con server in UE e certificazioni ISO 27001 sono spesso la scelta pi\u00f9 ragionevole. La compliance del fornitore cloud diventa parte della tua compliance, ma attenzione: serve un DPA (Data Processing Agreement) firmato e una valutazione del trasferimento extra-UE.<\/p>\n<p>Indipendentemente dallo strumento scelto, il principio \u00e8 lo stesso: ogni trattamento deve essere tracciato, ogni base giuridica documentata, ogni accesso loggato, ogni richiesta dell&#8217;interessato gestita entro i termini (un mese, prorogabili in casi complessi).<\/p>\n<h2>Sanzioni per mancata nomina DPO o DPIA assente<\/h2>\n<p>Le sanzioni del GDPR sono graduate in due fasce. Per le violazioni dell&#8217;art. 35 (DPIA) e dell&#8217;art. 37 (DPO) si applica la fascia pi\u00f9 bassa dell&#8217;art. 83, paragrafo 4: fino a <strong>10 milioni di euro o 2% del fatturato mondiale<\/strong> annuo dell&#8217;esercizio precedente, se superiore.<\/p>\n<p>Sembra molto, ma per le PMI italiane il rischio reale \u00e8 meno teorico di quanto si pensi. Negli ultimi anni il Garante ha emesso provvedimenti significativi:<\/p>\n<ul>\n<li><strong>Provvedimenti su comuni<\/strong> per mancata o tardiva nomina del DPO: sanzioni da 5.000 a 50.000 euro a seconda della dimensione e della reiterazione.<\/li>\n<li><strong>Sanzioni a strutture sanitarie private<\/strong> per DPIA assenti o inadeguate su sistemi di videosorveglianza, gestione cartelle cliniche elettroniche, app di telemedicina.<\/li>\n<li><strong>Sanzioni a societ\u00e0 di marketing<\/strong> per profilazione su larga scala senza DPIA, con cifre nell&#8217;ordine delle centinaia di migliaia di euro.<\/li>\n<\/ul>\n<p>Oltre alla sanzione amministrativa, ci sono i danni reputazionali (i provvedimenti del Garante sono pubblici), il rischio di azioni risarcitorie individuali da parte degli interessati ex art. 82 GDPR, e il rischio di blocco temporaneo del trattamento ordinato dall&#8217;autorit\u00e0.<\/p>\n<h2>Errori frequenti nelle PMI italiane<\/h2>\n<p>Dopo tre anni di GDPR, gli errori che vediamo pi\u00f9 spesso nelle PMI sono ricorrenti:<\/p>\n<ol>\n<li><strong>&#8220;Ho fatto la privacy nel 2018, sono a posto.&#8221;<\/strong> Falso: la compliance \u00e8 continua. Ogni nuovo CRM, ogni nuova videocamera, ogni nuova app HR pu\u00f2 cambiare il quadro.<\/li>\n<li><strong>DPO con conflitto di interessi<\/strong>, come il responsabile IT o il direttore HR. Il Garante ha sanzionato esplicitamente queste situazioni.<\/li>\n<li><strong>Registro trattamenti compilato una volta sola<\/strong> e mai aggiornato. Deve essere un documento vivo, modificato ogni volta che cambia un trattamento.<\/li>\n<li><strong>Consenso usato come base giuridica per tutto<\/strong>. Per il rapporto di lavoro la base \u00e8 il contratto, non il consenso. Per gli obblighi fiscali \u00e8 la legge. Il consenso si usa quando non c&#8217;\u00e8 altra base.<\/li>\n<li><strong>Mancanza di DPA con i fornitori<\/strong>. Ogni fornitore che tratta dati per tuo conto (cloud, payroll, hosting, posta elettronica, gestionale) deve avere un Data Processing Agreement firmato.<\/li>\n<li><strong>Data breach non notificati<\/strong> entro 72 ore. La maggior parte delle PMI non ha procedure interne per identificare e classificare un breach.<\/li>\n<li><strong>Cookie banner non conformi<\/strong>. Le linee guida del Garante del 10 giugno 2021 hanno alzato l&#8217;asticella: il pulsante &#8220;rifiuta&#8221; deve essere allo stesso livello di quello &#8220;accetta&#8221;.<\/li>\n<\/ol>\n<p>La buona notizia \u00e8 che la maggior parte di questi errori si risolve con un investimento ragionevole: un DPO esterno qualificato, un software di privacy management proporzionato all&#8217;azienda, formazione di base ai dipendenti. Per approfondire il quadro generale ti consigliamo la nostra <a href=\"https:\/\/brentasoft.com\/blog\/gdpr-aziendale-guida-pmi-2021\/\">guida GDPR per PMI 2021<\/a> e l&#8217;articolo sulla <a href=\"https:\/\/brentasoft.com\/blog\/cookie-law-italia-guida-2021\/\">cookie law in Italia<\/a>.<\/p>\n<h2>Domande frequenti<\/h2>\n<p><strong>1. Una PMI con 50 dipendenti deve nominare il DPO?<\/strong><br \/>\nGeneralmente no, salvo che la sua attivit\u00e0 principale rientri nei casi dell&#8217;art. 37 (monitoraggio sistematico su larga scala o trattamento di categorie particolari). Una clinica privata o un laboratorio di analisi s\u00ec; un&#8217;azienda manifatturiera tipica no. La nomina volontaria \u00e8 comunque consigliata.<\/p>\n<p><strong>2. Posso nominare il mio commercialista come DPO?<\/strong><br \/>\nS\u00ec, ma solo se ha le competenze richieste dall&#8217;art. 37, paragrafo 5 e se non gestisce per te attivit\u00e0 che generano conflitto di interessi (ad esempio, la rendicontazione dei dati personali dei dipendenti).<\/p>\n<p><strong>3. La DPIA \u00e8 retroattiva?<\/strong><br \/>\nPer i trattamenti gi\u00e0 in corso al 25 maggio 2018 non \u00e8 retroattivamente obbligatoria, ma il Garante richiede comunque di valutarne la coerenza con il GDPR. Per i trattamenti modificati o nuovi, s\u00ec.<\/p>\n<p><strong>4. Quanto costa un DPO esterno per una PMI?<\/strong><br \/>\nNel 2021 i canoni mensili oscillano tra 200 e 1.500 euro a seconda della complessit\u00e0, dei trattamenti gestiti, del numero di dipendenti e dell&#8217;eventuale presenza on-site. Diffida dei &#8220;DPO a 50 euro al mese&#8221;: non \u00e8 realistico.<\/p>\n<p><strong>5. Il DPO deve essere fisicamente in azienda?<\/strong><br \/>\nNo, il GDPR non lo richiede. Pu\u00f2 operare in remoto, ma deve essere raggiungibile dagli interessati e dall&#8217;autorit\u00e0 di controllo, e i suoi recapiti devono essere pubblici (sito, privacy policy).<\/p>\n<p><strong>6. Cosa succede se il Garante mi chiede la DPIA e non l&#8217;ho?<\/strong><br \/>\nScatta il procedimento sanzionatorio (fino a 10 milioni o 2% del fatturato). In aggiunta, se il trattamento \u00e8 ad alto rischio non mitigato, il Garante pu\u00f2 ordinare la sospensione del trattamento.<\/p>\n<p><strong>7. Esistono modelli di DPIA pronti?<\/strong><br \/>\nIl Garante e l&#8217;EDPB pubblicano linee guida e schemi (vedi <a href=\"https:\/\/www.garanteprivacy.it\/\" target=\"_blank\" rel=\"noopener\">Garante Privacy<\/a> e <a href=\"https:\/\/edpb.europa.eu\/\" target=\"_blank\" rel=\"noopener\">EDPB<\/a>). Sono utili come scheletro ma vanno adattati al contesto specifico.<\/p>\n<div style=\"background:#f5f7fa;border-left:4px solid #0066cc;padding:20px;margin:30px 0;border-radius:4px;\">\n<h3 style=\"margin-top:0;\">Vuoi un sistema gestionale gi\u00e0 a norma GDPR?<\/h3>\n<p>Brentasoft sviluppa software con privacy by design integrata: registro trattamenti, gestione consensi, log accessi, workflow DPIA e supporto DPO per PMI italiane.<\/p>\n<p style=\"margin-bottom:0;\"><a href=\"https:\/\/brentasoft.com\/erp-brenta.php\" style=\"display:inline-block;background:#0066cc;color:#fff;padding:12px 24px;border-radius:4px;text-decoration:none;font-weight:600;\">Scopri ERP Brenta &rarr;<\/a><\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>DPIA e DPO sono obbligatori per la tua PMI? Guida 2021 con art. 35 GDPR, lista Garante, costi DPO esterno e software per registro trattamenti.<\/p>\n","protected":false},"author":2,"featured_media":580,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"DPIA e DPO: chi \u00e8 obbligato e come gestirli nel 2021","_seopress_titles_desc":"DPIA e DPO sono obbligatori per la tua PMI? Guida 2021 con art. 35 GDPR, lista Garante, costi DPO esterno e software per registro trattamenti.","_seopress_robots_index":"","footnotes":""},"categories":[25],"tags":[293,292,150,148,146,149,291],"class_list":["post-579","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-compliance-normative","tag-compliance-privacy","tag-data-protection-officer","tag-dpia","tag-dpo","tag-gdpr","tag-registro-trattamenti","tag-valutazione-impatto"],"_links":{"self":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/posts\/579","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/comments?post=579"}],"version-history":[{"count":0,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/posts\/579\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/media\/580"}],"wp:attachment":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/media?parent=579"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/categories?post=579"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/tags?post=579"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}