Dal 2018, il GDPR fa tremare le PMI. Circolano storie di multa da 20 milioni di euro e paralizzano i piccoli imprenditori che si dicono "sono rovinato, non sono in conformità".
La realtà è più semplice. L'autorità garante della privacy non ha mai sanzionato una PMI che compie uno sforzo ragionevole di conformità. Si scaglia contro i giganti del web, le aziende che vendono dati personali, i recidivi. Non contro l'idraulico che ha un file Excel di clienti.
Questo non vi esonera dal fare la vostra parte. Ma il livello di impegno è largamente gestibile.
Le 5 azioni che coprono l'80% dei vostri obblighi
Azione 1: il registro dei trattamenti (la base)
È il documento centrale del GDPR. Elenca i dati personali che raccogliete, perché, e per quanto tempo li conservate.
Per una PMI tipica, sta su una pagina:
| Trattamento | Dati raccolti | Finalità | Durata di conservazione |
|---|---|---|---|
| Archivio clienti | Nome, email, telefono, indirizzo | Gestione commerciale | 3 anni dopo ultimo contatto |
| Contabilità | Nome, indirizzo, n° fattura | Obbligo legale | 10 anni |
| Stipendi (se dipendenti) | Dati anagrafici, n° SS, IBAN | Gestione stipendi | 5 anni dopo partenza |
| Sito web | Cookie, IP, modulo contatti | Marketing, analytics | 13 mesi (cookie), 3 anni (modulo) |
| Newsletter | Comunicazione | Fino alla cancellazione |
L'autorità garante propone un modello gratuito sul suo sito. Compilatelo in 30 minuti e aggiornarlo una volta all'anno.
Azione 2: l'informazione delle persone
Dovete informare le persone i cui dati raccogliete. In pratica:
-
Sul vostro sito web: una pagina "Informativa sulla privacy" (o "Protezione dei dati") accessibile dal footer. Descrivete in linguaggio semplice quali dati raccogliete, perché, per quanto tempo li conservate, e come esercitare i propri diritti.
-
Sui vostri moduli: una frase sotto ogni modulo di contatto: "I dati raccolti sono utilizzati per rispondere alla vostra richiesta. Potete esercitare i vostri diritti contattandoci all'indirizzo [email]. Consulta la nostra informativa sulla privacy."
-
Per i vostri dipendenti: un documento consegnato all'assunzione che elenca i dati raccolti nel contesto della relazione di lavoro.
Azione 3: la gestione dei cookie
Se il vostro sito utilizza cookie di misurazione del pubblico (Google Analytics, Matomo) o pubblicitari, dovete ottenere il consenso esplicito del visitatore PRIMA di depositare questi cookie.
L'azione: installate un banner di cookie conforme. Soluzioni gratuite come Tarteaucitron.js o Cookiebot (gratuito fino a 100 pagine) fanno il lavoro.
Eccezione: i cookie strettamente necessari al funzionamento del sito (autenticazione, carrello) non richiedono consenso.
Alternativa: utilizzate Matomo in configurazione "esentato da consenso" (dichiarazione all'autorità garante). Mantenete le vostre analytics senza banner di cookie.
Azione 4: la sicurezza dei dati
Il GDPR impone di proteggere i dati personali con "misure tecniche e organizzative appropriate". Per una PMI, significa:
- Password robuste e univoche (vedere l'articolo sulla cybersicurezza)
- Aggiornamenti di sicurezza applicati
- Backup regolari
- Accesso limitato ai dati (non tutti accedono a tutto)
- Crittografia dei computer portatili
Non è né più né meno delle buone pratiche di cybersicurezza che dovunque dovreste già applicare.
Azione 5: la gestione dei diritti delle persone
Il GDPR concede alle persone diritti sui loro dati: accesso, rettifica, cancellazione, portabilità. In pratica, le PMI ricevono pochissime richieste di questo tipo.
L'azione: designate un interlocutore (voi stessi o un collaboratore) e un indirizzo email di contatto (tipo dati@vostrasocietà.it). Quando arriva una richiesta, rispondete entro un mese. È tutto.
Quello che può aspettare
Il responsabile della protezione dei dati — obbligatorio solo per le aziende che trattano dati su larga scala o dati sensibili. Una PMI di 5 persone non ha bisogno di un responsabile della protezione dei dati.
L'analisi d'impatto — obbligatoria solo per i trattamenti ad alto rischio (videosorveglianza su larga scala, profilazione sistematica, dati sanitari). L'archivio clienti della vostra falegnameria non è un trattamento ad alto rischio.
La certificazione GDPR — nessuna certificazione è obbligatoria. Le aziende che vi vendono "certificazioni GDPR" sfruttano la paura. La conformità è un processo continuo, non un'etichetta.
In caso di violazione dei dati
Se dati personali fuoriescono (pirateria, perdita di chiavetta USB, email inviata al destinatario sbagliato), avete 72 ore per notificare l'autorità garante se la violazione presenta un rischio per le persone.
Il modulo di notifica è disponibile online sul sito dell'autorità garante. Compilatelo onestamente: cosa è successo, quante persone sono coinvolte, quali misure avete preso.
L'autorità garante è più indulgente con un'azienda che notifica rapidamente che con un'azienda che nasconde l'incidente.
Il GDPR non è un mostro burocratico per le PMI. È un quadro di buon senso: proteggete i dati dei vostri clienti come vorreste che proteggessero i vostri.