Il GDPR è in vigore dal 2018, ma una grande percentuale di piccole imprese italiane è ancora in una posizione ambigua: documentazione formale ma processi reali non allineati. Le ispezioni del Garante stanno aumentando, e nel 2025 le sanzioni medie sono cresciute. Ecco cosa serve davvero, in modo pragmatico.
I sei pilastri operativi
Senza questi sei elementi non sei a norma, qualunque cosa dica il documento che hai pagato:
- Registro dei trattamenti aggiornato e veritiero (non un copia-incolla).
- Informative privacy chiare su sito web, contratti, moduli.
- Nomine dei responsabili esterni (cloud, software gestionali, consulenti).
- Misure di sicurezza tecniche proporzionate (backup, antivirus, accessi).
- Procedura data breach documentata: cosa fare nelle prime 72 ore.
- Formazione del personale che tratta dati, almeno annuale.
Quando serve davvero il DPO
Il Data Protection Officer è obbligatorio solo in casi specifici: trattamenti su larga scala di categorie particolari (sanitari, biometrici), monitoraggio sistematico di persone, pubbliche amministrazioni. Una piccola azienda commerciale o un'officina, normalmente, non ha bisogno di un DPO. Diffidate di chi ve lo vende a tutti i costi.
Cookie e sito web: il punto dolente
Le sanzioni più frequenti per le PMI riguardano il sito web. Il Garante italiano è chiaro: i cookie di profilazione e analitica non anonimizzata richiedono consenso preventivo, esplicito e revocabile. Significa banner cookie con pulsanti equivalenti per "accetta" e "rifiuta", non solo "accetta tutto".
Videosorveglianza: regole spesso ignorate
Molti impianti sono fuori norma per dettagli che sembrano banali ma costano caro:
- Cartelli informativi visibili prima dell'area inquadrata.
- Tempi di conservazione massimi (24-48h come default, fino a 7 giorni con motivazione).
- Inquadrature che non riprendono spazi pubblici o aree di lavoro non autorizzate.
- Accordo sindacale o autorizzazione ITL per il controllo dei lavoratori.
Data breach: le 72 ore
Se subisci un attacco con esposizione di dati personali, hai 72 ore per notificare al Garante. Non avere una procedura preparata significa improvvisare nel momento peggiore. La notifica tardiva è essa stessa una violazione sanzionabile.
Quanto costa adeguarsi davvero
Per una PMI con 5-15 dipendenti, un adeguamento serio richiede normalmente 1.500-3.500 euro una tantum più 500-1.000 euro l'anno di manutenzione. Cifre molto inferiori sono spesso documentazione di facciata; cifre molto superiori sono normalmente sovradimensionate.
Conclusione
Essere a norma GDPR non è un esercizio burocratico: è un asset che protegge l'azienda da sanzioni e perdita di reputazione. Se vuoi un check rapido del tuo stato di conformità, possiamo organizzare una verifica preliminare gratuita.