Indice

Introduzione

Tra chi minimizza ("tanto non ci controllano mai") e chi vende pacchetti compliance da migliaia di euro, c'è una via di mezzo concreta. Ecco cosa deve fare davvero una PMI nel 2026.

Il GDPR è entrato in vigore nel maggio 2018. In otto anni, ha attraversato una fase di apparente adattamento iniziale, poi un periodo in cui molte PMI italiane hanno creduto che bastasse un banner sui cookie e una privacy policy sul sito. I numeri del 2025 raccontano una storia diversa: oltre 17,5 milioni di euro di sanzioni comminate dal Garante Privacy italiano nei primi otto mesi dell'anno, con un piano ispettivo 2026 che prevede almeno 40 accertamenti nel solo primo semestre, supportati dalla Guardia di Finanza. Le aree sotto osservazione non sono solo le multinazionali: telemarketing, email marketing, data breach non notificati, videosorveglianza sono ambiti che toccano direttamente le PMI.

Questa guida non è un documento legale. È un orientamento operativo per titolari, amministratori e responsabili di piccole e medie imprese che vogliono capire cosa devono fare, cosa non devono fare, e dove stanno i rischi reali. Con l'obiettivo di evitare sia la sottovalutazione sia la spesa inutile.

Otto anni di GDPR: due errori che si ripetono

Nelle PMI italiane, la gestione della privacy oscilla ancora tra due posizioni opposte e ugualmente problematiche.

La prima è la minimizzazione: "siamo piccoli, il Garante non guarda le aziende come noi", "abbiamo già messo la privacy policy sul sito", "non trattiamo dati sensibili". Questa posizione era già fragile nel 2018, ma nel 2026 è semplicemente sbagliata. Le sanzioni del Garante colpiscono realtà di qualsiasi dimensione quando le violazioni sono chiare: Verisure Italia ha ricevuto una sanzione da 400.000 euro a dicembre 2025 per marketing indesiderato e misure di sicurezza inadeguate. Le PMI del settore sanitario hanno accumulato oltre 22 milioni di euro di sanzioni nel 2024, con una media di 200.000 euro a struttura.

La seconda è l'acquisto acritico: "ho comprato il pacchetto compliance dal consulente, ho firmato i documenti, sono a posto". Il problema è che la conformità GDPR non è un prodotto: è uno stato dinamico che cambia ogni volta che cambia un processo, si adotta un nuovo strumento software, si assume un dipendente, si avvia una campagna email. Un pacchetto di documenti firmati tre anni fa non garantisce niente se nel frattempo hai cambiato gestionale, integrato un CRM cloud, aggiunto una telecamera in magazzino.

Tra questi due estremi, c'è il percorso che funziona: capire gli adempimenti minimi reali, distinguerli da quelli opzionali o sovradimensionati, e costruire una gestione ordinaria della privacy che si aggiorna quando cambia l'azienda.

Come punto di riferimento concreto: una PMI con 20 dipendenti che gestisce un CRM, un e-commerce, videosorveglianza in sede e una newsletter tocca già quattro o cinque aree GDPR distinte, ognuna con le sue basi giuridiche, informative e nomine specifiche. Spesso senza saperlo.

Cosa è davvero obbligatorio

Gli adempimenti GDPR si distinguono tra quelli che non sono mai opzionali e quelli che dipendono dal tipo di trattamento. Partire dai primi è il modo più efficiente per orientarsi.

Registro dei trattamenti (art. 30). L'articolo 30 del GDPR prevede un'esenzione per le organizzazioni sotto i 250 dipendenti, ma questa esenzione è molto più limitata di quanto si creda. Basta una delle seguenti condizioni per far scattare comunque l'obbligo: trattamento di dati di dipendenti (condizione quasi universale), trattamento che comporta un rischio per i diritti degli interessati, trattamento non occasionale. In pratica, la grande maggioranza delle PMI italiane ha l'obbligo di tenere il registro, anche se non lo sa. Il registro va mantenuto aggiornato: non basta compilarlo una volta.

Informative privacy. Ogni categoria di interessati deve ricevere un'informativa prima che i suoi dati vengano trattati: clienti, potenziali clienti che compilano un form, dipendenti, fornitori, visitatori del sito web. L'informativa sul sito deve coprire sia i cookie sia i form di contatto. Quella per i dipendenti deve essere consegnata all'assunzione. Ogni informativa deve indicare la base giuridica del trattamento, le finalità, i tempi di conservazione e i diritti dell'interessato.

Base giuridica documentata per ogni trattamento. Non basta avere il consenso: per molti trattamenti aziendali (rapporti contrattuali, obblighi legali, interessi legittimi) il consenso non è la base giuridica corretta e usarlo al posto di quelle giuste crea problemi invece di risolverli. Ogni trattamento nel registro deve indicare la base giuridica applicabile.

Misure di sicurezza tecniche e organizzative (art. 32). Il GDPR non prescrive misure specifiche, ma richiede misure "adeguate" al rischio. Per una PMI, questo include almeno: password policy, accessi differenziati per ruolo, backup regolari e verificati, cifratura dove appropriata, formazione minima del personale che tratta dati.

Procedura di data breach. In caso di violazione dei dati personali che può comportare un rischio per i diritti degli interessati, la notifica al Garante deve avvenire entro 72 ore dalla scoperta. Non entro 72 ore dal momento in cui si capisce esattamente cosa è successo: entro 72 ore da quando si ha ragionevole certezza che un breach è avvenuto, anche se i dettagli non sono ancora chiari. Senza una procedura interna scritta con ruoli e azioni definiti, questo tempo passa prima di aver fatto qualcosa.

Nomine ai responsabili del trattamento (art. 28). Ogni fornitore che tratta dati personali per conto della tua azienda deve essere nominato responsabile del trattamento con un atto scritto che specifica oggetto, durata, natura e finalità del trattamento. Questo include: gestionale in cloud, software di payroll, piattaforma di email marketing, provider di hosting, sistema CRM, software HR. Molti fornitori mettono a disposizione il modulo di nomina nelle loro condizioni generali o su richiesta. Non firmare quella nomina significa che il fornitore tratta dati per conto tuo senza autorizzazione formale.

Cosa NON è obbligatorio per tutti

Altrettanto importante di sapere cosa serve è sapere cosa non serve, perché in questo ambito la vendita di servizi sovradimensionati è comune.

Il DPO non è obbligatorio per la PMI media. Il Data Protection Officer (Responsabile della Protezione dei Dati) è obbligatorio per legge solo in tre casi: autorità e organismi pubblici, organizzazioni che effettuano trattamenti sistematici e su larga scala di persone come attività principale (es. profilazione comportamentale di massa), e organizzazioni che trattano su larga scala categorie particolari di dati (dati sanitari, biometrici, giudiziari) come core business. Una PMI che gestisce un CRM con dati di clienti aziendali, tiene le buste paga dei dipendenti e ha un sito con form di contatto non ha l'obbligo di nominare un DPO. Un DPO esterno per una PMI costa tra 1.500 e 4.000 euro all'anno: utile se il trattamento lo richiede, inutile se non lo richiede.

Le certificazioni ISO 27001 non sono richieste dal GDPR. Sono uno strumento utile per dimostrare l'adozione di misure di sicurezza adeguate, ma non sono un obbligo normativo. Il GDPR richiede misure adeguate al rischio, non uno standard certificato specifico.

Il Modello 231 e il GDPR sono due cose diverse. Il Modello di Organizzazione, Gestione e Controllo ex D.Lgs. 231/2001 riguarda la responsabilità penale degli enti per alcuni reati. Non è un adempimento GDPR e la sua adozione non sostituisce né integra la conformità al regolamento sulla privacy. Confonderli, o venderli insieme come se fossero lo stesso progetto, è una prassi scorretta.

Implicazioni operative quotidiane

Il GDPR non è un adempimento annuale: è una dimensione permanente di come si gestisce l'azienda. Alcune situazioni pratiche che lo rendono concreto nel quotidiano.

Ogni nuovo fornitore software richiede una verifica. Prima di adottare un nuovo strumento cloud (CRM, gestionale, piattaforma di marketing, software HR), la domanda GDPR è: questo fornitore tratterà dati personali dei miei clienti o dipendenti? Se sì, dove conserva i dati (UE o extra-UE)? Ha una privacy policy adeguata? Ha un modulo di nomina a responsabile del trattamento? Se la risposta a quest'ultima domanda è no, o se il fornitore non ha dati chiari sulla sede dei server, il rischio di non conformità è concreto. Un esempio pratico: passare da Mailchimp (server negli USA) a Brevo (server in Europa) cambia le implicazioni sul trasferimento di dati extra-UE e richiede di aggiornare sia la nomina sia l'informativa agli iscritti.

I processi quotidiani sono trattamenti. Il form di contatto sul sito è un trattamento. La newsletter è un trattamento (che richiede consenso esplicito e double opt-in come misura minima di protezione, secondo il Garante). Le telecamere in sede sono un trattamento. Il badge di ingresso è un trattamento. Il CRM con le schede clienti è un trattamento. Ognuno di questi richiede informativa adeguata, base giuridica documentata, tempi di conservazione definiti.

Serve un referente privacy interno. Non necessariamente il DPO, ma qualcuno che sappia rispondere a queste domande: dove sono i nostri dati? Chi li tratta? Cosa facciamo in caso di breach? Chi gestisce le richieste degli interessati (accesso, cancellazione, portabilità)? In una PMI da cinque dipendenti questa persona può essere il titolare. In una PMI da 40 dipendenti serve qualcuno con tempo dedicato e formazione minima.

La documentazione minima in caso di ispezione. Il Garante o la Guardia di Finanza possono richiedere in qualsiasi momento: il registro dei trattamenti, le informative consegnate agli interessati, le nomine ai responsabili del trattamento, la procedura di data breach, le evidenze di formazione del personale, i log degli accessi ai sistemi dove risiedono i dati. Avere questi documenti aggiornati e accessibili non è un extra: è la prova della conformità.

Cookie, trasferimenti extra-UE e quando serve il consulente

Tre aree dove il quadro normativo si è evoluto in modo significativo e dove molte PMI hanno lacune concrete.

Il banner cookie "accetta tutto" non è più sufficiente. Il Garante ha chiarito in più provvedimenti che il consenso ai cookie deve essere granulare (l'utente deve poter accettare o rifiutare categorie specifiche), libero (il rifiuto deve essere accessibile quanto l'accettazione, senza dark pattern) e preventivo (i cookie non tecnici non devono essere attivati prima del consenso). Il Consent Mode v2 di Google richiede una gestione del consenso conforme per continuare a ricevere dati di conversione. Un banner che presenta solo "accetta tutto" o che nasconde il pulsante di rifiuto è sanzionabile.

I trasferimenti di dati extra-UE richiedono attenzione. Usare uno strumento con server negli USA significa trasferire dati personali al di fuori dello Spazio Economico Europeo. Dopo Schrems II e l'adozione del Data Privacy Framework nel 2023, i trasferimenti verso aziende statunitensi certificate DPF sono legittimi, ma richiedono verifica della certificazione del fornitore e documentazione nel registro dei trattamenti. Per i fornitori di Paesi senza adeguatezza riconosciuta, servono garanzie contrattuali appropriate (clausole contrattuali standard).

Quando è utile un consulente esterno. Ci sono situazioni in cui l'autoformazione non basta: trattamenti su larga scala di dati sensibili (dati sanitari, biometrici, relativi a condanne penali), profilazione automatizzata con effetti significativi sugli interessati, Valutazioni d'Impatto (DPIA) richieste per trattamenti ad alto rischio, gestione di un data breach con possibile notifica agli interessati. In questi casi, un consulente specializzato non è un extra: è la differenza tra una risposta adeguata e una che peggiora la situazione.

Quando basta l'autoformazione. Una PMI B2B che gestisce un CRM con dati di contatti aziendali, tiene le buste paga dei dipendenti con un software certificato, ha un sito con form di contatto e una newsletter con gestione del consenso corretta ha adempimenti gestibili internamente con le risorse disponibili sul sito del Garante e con qualche ora di formazione.

Conclusione

La conformità GDPR per una PMI non è un traguardo da raggiungere una volta sola: è una condizione operativa che si costruisce, si mantiene e si aggiorna. I rischi reali non sono i grandi procedimenti da decine di milioni: sono le sanzioni medie che il Garante irroga per violazioni sistematiche e ricorrenti in aree come il marketing diretto, la videosorveglianza e la gestione dei data breach.

Il punto di partenza più utile non è comprare un pacchetto di documenti: è mappare i propri trattamenti, verificare che ognuno abbia la base giuridica corretta, le informative aggiornate e le nomine firmate, e costruire una procedura interna per i due casi che richiedono risposta rapida (data breach e richieste degli interessati). Il resto si costruisce sopra questa base.

Se vuoi confrontarti sulla situazione specifica della tua azienda o su come impostare questo percorso senza sovradimensionarlo, scrivimi direttamente.

Le domande più comuni

Una PMI con meno di 250 dipendenti è esente dal registro dei trattamenti?
Non nella maggior parte dei casi. L'esenzione si applica solo se i trattamenti sono occasionali, non comportano rischi per i diritti degli interessati e non includono categorie particolari di dati. Quasi tutte le PMI trattano dati di dipendenti (condizione sufficiente a escludere l'esenzione) o gestiscono trattamenti non occasionali come CRM e newsletter. In pratica, la grande maggioranza delle PMI ha l'obbligo di tenere il registro.

Quando una PMI è obbligata a nominare un DPO?
Il DPO è obbligatorio per legge solo in tre casi: enti pubblici, organizzazioni che effettuano trattamento sistematico e su larga scala come attività principale, e organizzazioni che trattano su larga scala categorie particolari di dati (sanitari, biometrici, giudiziari) come core business. Una PMI che gestisce CRM, dipendenti e newsletter non ha questo obbligo. Un DPO volontario può essere utile in certi contesti, ma venderlo come obbligatorio a chi non lo è è pratica scorretta.

Cosa rischia una PMI che non è conforme al GDPR?
Le sanzioni arrivano fino a 20 milioni di euro o il 4% del fatturato mondiale annuo. Per le PMI, le sanzioni concrete variano in base alla gravità: il Garante ha irrogato sanzioni da poche migliaia a centinaia di migliaia di euro anche a realtà piccole. I casi più frequenti riguardano marketing senza consenso valido, data breach non notificati e misure di sicurezza inadeguate. In Italia il 2025 ha visto oltre 17,5 milioni di sanzioni nei primi otto mesi.

Quanto costa adeguarsi al GDPR per una piccola impresa?
Dipende dalla complessità dei trattamenti e dal punto di partenza. Una PMI semplice (CRM, dipendenti, sito web, newsletter) può costruire la conformità di base con 2.000-5.000 euro di consulenza iniziale per impostare documenti e procedure, più alcune ore annue di manutenzione. I costi aumentano significativamente in presenza di DPO obbligatorio (1.500-4.000 euro/anno), trattamenti su larga scala o sistemi complessi. Il costo più alto è non farlo: le sanzioni partono da cifre molto superiori.

Il GDPR vale anche per i dati dei dipendenti?
Sì, in modo esplicito. I dipendenti sono interessati al trattamento al pari dei clienti. Ogni azienda che ha dipendenti deve avere informative privacy dedicate (consegnate all'assunzione), definire le basi giuridiche per ogni trattamento che li riguarda (buste paga, badge, videosorveglianza, email aziendali), e nominare come responsabili del trattamento i fornitori che elaborano dati dei dipendenti per conto dell'azienda (software payroll, piattaforme HR).

Come gestire un data breach in una PMI: la procedura concreta
Primo: contenere la violazione e preservare le evidenze. Secondo: valutare entro poche ore se il breach può comportare un rischio per i diritti degli interessati (criteri: tipo di dati, numero di persone, probabilità di accesso non autorizzato). Terzo: se il rischio esiste, notificare al Garante tramite il portale online entro 72 ore dalla scoperta, anche se l'analisi non è completa (si può integrare successivamente). Quarto: se il rischio per gli interessati è elevato, comunicare anche agli interessati stessi. Avere questa procedura scritta e testata è indispensabile: le 72 ore passano molto più velocemente di quanto sembri.