Testo dell'articoloVigente

Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.

In sintesi: una piccola impresa che gestisce dati di clienti, dipendenti e fornitori è quasi sempre titolare del trattamento e deve, come minimo, (1) consegnare informative chiare (art. 13-14 GDPR), (2) avere una base giuridica per ogni trattamento (art. 6), (3) tenere il registro dei trattamenti se ricade nelle eccezioni dell’art. 30.5 (praticamente sempre, perché tratta dati dei dipendenti in modo non occasionale), (4) nominare per iscritto i responsabili esterni come gestionali, cloud e consulenti (art. 28), (5) adottare misure di sicurezza adeguate (art. 32), (6) notificare al Garante eventuali violazioni dei dati entro 72 ore (art. 33). Il DPO e la valutazione d’impatto (DPIA) NON sono obbligatori per la PMI tipica. Le sanzioni arrivano a 10 milioni o 2% del fatturato per le violazioni “minori” e a 20 milioni o 4% per quelle gravi, ma per le PMI il Garante applica criteri di proporzionalità.

Chi è il titolare del trattamento (e perché quasi sempre sei tu)

Il GDPR (Regolamento UE 2016/679) distingue due ruoli che la PMI confonde spesso. Il titolare del trattamento è chi decide “perché” e “come” trattare i dati: è la persona fisica o giuridica che determina finalità e mezzi (art. 4, n. 7). Il responsabile del trattamento è invece il soggetto esterno che tratta i dati per conto del titolare seguendo le sue istruzioni (art. 4, n. 8).

Tradotto in pratica: la tua impresa è titolare dei dati dei suoi clienti, dipendenti, fornitori e contatti commerciali. Sono invece responsabili i fornitori a cui affidi il trattamento: il consulente del lavoro che elabora le buste paga, la software house del gestionale, il provider del cloud o dell’email, l’agenzia che gestisce la newsletter, il commercialista per la parte contabile.

Risorsa gratuita
Scadenzario fiscale 2026 (PDF)
  • Acconti, Concordato, IVA e dichiarazioni: le date che contano nel 2026
Niente spam, solo fisco utile. Inviando accetti la privacy policy. P.IVA 04180610133.

La distinzione conta perché gli obblighi sono diversi. L’art. 24 grava sul titolare l’onere di mettere in atto misure adeguate e di dimostrare la conformità (principio di accountability, cioè responsabilizzazione): non basta essere a norma, devi poterlo provare con documenti. L’art. 28 impone che il rapporto con ogni responsabile sia regolato da un contratto scritto con contenuti minimi obbligatori.

In Italia il GDPR si applica insieme al Codice Privacy (d.lgs. 196/2003), profondamente riscritto dal d.lgs. 101/2018 per allinearlo al Regolamento europeo. Il Codice integra il GDPR su alcuni punti nazionali (poteri del Garante, sanzioni penali, trattamenti specifici), ma il riferimento principale per gli obblighi sostanziali resta il Regolamento.

Gli adempimenti minimi reali di una PMI

Non esiste una “certificazione GDPR” obbligatoria né un bollino da appendere in negozio. Esistono però adempimenti concreti che, per una piccola impresa standard, sono questi.

1. Le informative (art. 13-14)

Devi informare chi ti dà i dati su cosa fai con quei dati. L’art. 13 riguarda i dati raccolti direttamente dall’interessato (il modulo di contatto sul sito, il contratto col cliente, l’assunzione di un dipendente); l’art. 14 i dati raccolti da terzi (ad esempio liste fornite da un partner). L’informativa deve indicare chi è il titolare, le finalità, le basi giuridiche, i destinatari, i tempi di conservazione e i diritti dell’interessato. Una PMI ha tipicamente bisogno di almeno tre informative: clienti, dipendenti/collaboratori e sito web (modulo contatti più cookie).

2. Le basi giuridiche (art. 6)

Ogni trattamento deve poggiare su una delle sei basi dell’art. 6. L’errore più comune è chiedere il consenso per tutto: spesso il consenso non serve. Per gestire un ordine o un contratto la base è l’esecuzione del contratto (art. 6.1.b). Per la fatturazione e gli obblighi fiscali è l’obbligo legale (art. 6.1.c). Il consenso (art. 6.1.a) serve davvero solo per attività non necessarie all’esecuzione del contratto, come la newsletter promozionale verso chi non è già cliente. Il legittimo interesse (art. 6.1.f) può coprire ad esempio la videosorveglianza o alcune comunicazioni a clienti esistenti, ma richiede una valutazione di bilanciamento documentata.

3. Il registro dei trattamenti (art. 30): l’esenzione che quasi non esiste

Molti consulenti dicono alle micro-imprese “sotto i 250 dipendenti non serve il registro”. È una semplificazione pericolosa. L’art. 30, paragrafo 5, esenta dall’obbligo le organizzazioni con meno di 250 dipendenti, MA l’esenzione cade se ricorre anche una sola di queste condizioni:

Qui sta il punto che quasi tutte le PMI ignorano: gestire la busta paga dei propri dipendenti è un trattamento non occasionale e include dati relativi alla salute (malattie, infortuni) e all’appartenenza sindacale. Già solo questo fa scattare l’eccezione. In pratica, qualsiasi impresa con anche un solo dipendente o con un gestionale clienti usato di continuo rientra nelle eccezioni e deve tenere il registro. La buona notizia è che il Garante ammette per le PMI versioni semplificate, limitate alle specifiche attività di trattamento effettivamente svolte.

4. Le nomine dei responsabili esterni (art. 28)

Ogni fornitore che tratta dati per tuo conto deve essere nominato responsabile con un atto scritto (un “DPA”, data processing agreement) che fissi oggetto, durata, finalità, tipo di dati, obblighi di sicurezza e gestione del fine-rapporto. Riguarda consulente del lavoro, commercialista (per la parte in cui agisce su tue istruzioni), software house, provider cloud, piattaforma di email marketing, eventuale agenzia di recupero crediti. La maggior parte dei fornitori SaaS mette a disposizione un DPA standard da accettare: vanno raccolti e conservati.

5. Le misure di sicurezza (art. 32)

L’art. 32 non impone misure standard valide per tutti: chiede misure adeguate al rischio. Per una PMI il livello atteso è concreto e ragionevole: password robuste e diverse per ogni servizio, autenticazione a due fattori dove disponibile, backup periodici e testati, antivirus e aggiornamenti, cifratura dei dispositivi portatili, gestione di chi può accedere a cosa, formazione minima del personale, e un armadio chiuso a chiave per i fascicoli cartacei. Non serve un reparto IT: serve dimostrare di aver ragionato sui rischi e adottato contromisure proporzionate.

Quando serve il DPO (e quando NO per una PMI)

Il DPO o RPD (responsabile della protezione dei dati) è obbligatorio solo in tre casi (art. 37): (a) se sei un’autorità o un organismo pubblico; (b) se la tua attività principale consiste nel monitoraggio regolare e sistematico su larga scala degli interessati; (c) se la tua attività principale consiste nel trattamento su larga scala di categorie particolari di dati (art. 9) o di dati giudiziari (art. 10).

Per la PMI tipica – un negozio, uno studio professionale piccolo, un’impresa artigiana, un e-commerce di prodotti generici – il DPO non è obbligatorio, perché il trattamento di dati non è né l’attività “principale” né avviene “su larga scala”. Le espressioni “larga scala” e “monitoraggio sistematico” non sono definite dal Regolamento e sono state precisate dalle linee guida dell’EDPB (il Comitato europeo per la protezione dei dati): contano il numero di interessati, il volume di dati, la durata e l’estensione geografica. Una clinica, una società che fa profilazione pubblicitaria massiva o una piattaforma che traccia il comportamento di molti utenti rientrano nell’obbligo; il panificio sotto casa no. Attenzione: anche quando non è obbligatorio, nominare un DPO è possibile su base volontaria – ma se lo nomini ufficialmente ne assumi tutti gli obblighi formali, quindi non va fatto per “sicurezza” senza valutazione.

Quando serve la DPIA (valutazione d’impatto)

La valutazione d’impatto sulla protezione dei dati (DPIA, art. 35) è richiesta quando un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone – tipicamente per profilazione su larga scala, sorveglianza sistematica di aree pubbliche o trattamento su larga scala di categorie particolari. Il Garante italiano ha pubblicato un elenco di trattamenti che richiedono la DPIA. Per la PMI ordinaria la DPIA non è dovuta. Un caso che però capita anche alle piccole imprese è la videosorveglianza estesa o combinata con altri sistemi di controllo: in queste situazioni va verificato se scatta l’obbligo. Nel dubbio, la valutazione preliminare del rischio è essa stessa un atto di accountability utile.

Data breach: cosa fare nelle prime 72 ore

Per violazione dei dati personali si intende qualsiasi evento che comporti distruzione, perdita, modifica, divulgazione o accesso non autorizzato ai dati: un ransomware, un laptop rubato, un’email inviata per errore a destinatari sbagliati, un database esposto.

Gli obblighi sono due e distinti. Il primo (art. 33): il titolare deve notificare la violazione al Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione comporti un rischio per i diritti delle persone. Se non rispetti le 72 ore, devi motivare il ritardo. Il secondo (art. 34): se la violazione comporta un rischio elevato, devi anche comunicarla agli interessati (i soggetti i cui dati sono stati coinvolti) con linguaggio chiaro.

Anche quando una violazione non va notificata, va comunque documentata internamente in un registro delle violazioni: serve a dimostrare di aver valutato il rischio. Avere una procedura scritta da attivare in caso di incidente – chi fa cosa, chi decide, dove si trova il modulo di notifica del Garante – è uno degli adempimenti a più alto valore pratico per una PMI.

Le sanzioni: i due massimali e la proporzionalità per le PMI

L’art. 83 prevede due fasce di sanzioni amministrative pecuniarie. La prima, per violazioni “meno gravi” (tra cui obblighi del titolare e del responsabile, mancata o errata notifica di un data breach), arriva fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore. La seconda, per violazioni gravi (violazione dei principi base, delle basi giuridiche, dei diritti degli interessati, delle regole sui trasferimenti, o l’inosservanza di un ordine del Garante), arriva fino a 20 milioni di euro o al 4% del fatturato mondiale annuo, se superiore.

Queste cifre spaventano, ma vanno lette per quello che sono: massimali, non importi automatici. L’art. 83 impone di graduare la sanzione in modo “effettivo, proporzionato e dissuasivo”, tenendo conto della gravità, della durata, del carattere doloso o colposo, delle misure adottate per attenuare il danno e del grado di cooperazione. In concreto, le sanzioni a carico di piccole imprese sono normalmente di ordini di grandezza inferiori ai massimali e tengono conto della capacità economica reale. La Corte di Giustizia UE ha inoltre chiarito che la sanzione richiede di norma una condotta colpevole (dolo o colpa) e che il fatturato rileva nel calcolo. Il messaggio operativo è chiaro: dimostrare buona fede e accountability (registro, informative, procedura data breach) è la migliore difesa.

Trasferimenti extra-UE, cookie e marketing (cenni)

Tre temi che la PMI tocca quasi sempre, qui in sintesi. Trasferimenti extra-UE (capo V GDPR): se usi servizi i cui server o le cui aziende stanno fuori dall’Area economica europea (molti strumenti cloud e di marketing USA), il trasferimento è lecito solo con garanzie adeguate, tipicamente una decisione di adeguatezza o le clausole contrattuali tipo (SCC). In pratica si verifica nel DPA del fornitore. Cookie e tracciamenti: regolati dalle linee guida cookie del Garante (2021) oltre che dal GDPR; richiedono un banner conforme con consenso preventivo per i cookie non tecnici. Marketing: l’invio di comunicazioni promozionali via email richiede di norma il consenso, con l’eccezione del soft spam verso clienti su prodotti analoghi a quelli già acquistati. Ciascuno di questi temi merita una guida dedicata.

Gli errori tipici delle PMI

Casi pratici

Caso 1 – La “Bottega Verdi”, negozio con 3 dipendenti. Tratta dati di clienti (vendite, eventuale carta fedeltà) e dipendenti (buste paga). Deve: informative clienti e dipendenti; basi giuridiche corrette (contratto e obbligo legale per le vendite, consenso solo per la carta fedeltà se profila gli acquisti); registro dei trattamenti, perché la gestione dei dipendenti è non occasionale e include dati sulla salute; nomine art. 28 per consulente del lavoro e gestionale; misure di sicurezza di base. DPO e DPIA: non obbligatori.

Caso 2 – “TecnoStudio”, piccola software house, 8 persone. Oltre ai propri trattamenti come titolare (dipendenti, clienti), agisce come responsabile per i clienti di cui ospita i dati nel proprio software. Deve quindi firmare DPA come responsabile, tenere il proprio registro nella sezione “responsabile”, e curare con attenzione la sicurezza (art. 32). Se i suoi server sono presso un cloud extra-UE, verifica le garanzie sui trasferimenti.

Caso 3 – “DolceCasa”, e-commerce di articoli per la casa. Tratta ordini, pagamenti e, se fa newsletter, anche marketing. Basi giuridiche: contratto per l’ordine, obbligo legale per la fatturazione, consenso per la newsletter (o soft spam verso clienti esistenti su prodotti analoghi). Banner cookie conforme. Usa strumenti di marketing USA: verifica le clausole sui trasferimenti nei rispettivi DPA. DPO non obbligatorio salvo profilazione su larga scala.

In conclusione

Per la stragrande maggioranza delle piccole imprese italiane essere a norma GDPR non significa spendere cifre enormi né nominare un DPO, ma fare con ordine sei cose: informative chiare, basi giuridiche corrette, registro dei trattamenti (sì, anche sotto i 250 dipendenti), nomine scritte dei fornitori, misure di sicurezza ragionevoli e una procedura pronta per i data breach. È un lavoro di documentazione e organizzazione più che di tecnologia, ed è la stessa documentazione che, in caso di controllo, dimostra la buona fede e riduce drasticamente il rischio sanzionatorio.

Hai un caso concreto?
Questa guida spiega la regola.
Per applicarla alla tua situazione, scrivici.

Richiedi una consulenza →

Serve un parere sul tuo caso concreto?

Questa guida spiega la regola generale, ma ogni situazione ha le sue specificità. Per un controllo sul tuo caso puoi trovare un professionista tramite Legge in Chiaro.

A cura di
Andrea Marton — Dottore in Economia e Finanza, praticante commercialista
Fondatore e responsabile editoriale di Legge in Chiaro, portale di divulgazione giuridica e fiscale gratuita su 101 testi e codici italiani. I contenuti sono curati e rivisti da un team di laureati in economia; hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.