Per te

Sì, sempre. Anche un sito "vetrina" senza e-commerce né area riservata tratta dati personali non appena c'è un form di contatto, uno script di analisi (Google Analytics, Meta Pixel) o anche solo cookie tecnici di sessione.

Il GDPR non fa distinzioni basate sulla dimensione del sito: l'obbligo informativo scatta nel momento in cui raccogli dati di persone fisiche. La policy deve essere specifica per il tuo sito, descrivere i trattamenti reali e le basi giuridiche. Una policy copiata altrove o generata automaticamente senza revisione può risultare lacunosa, fuorviante e inutilizzabile in caso di controllo o reclamo.

Alla privacy policy si aggiunge spesso l'obbligo di un banner cookie conforme alle linee guida del Garante: non basta il solo banner informativo, serve un sistema che registri il consenso in modo granulare e lo renda revocabile in ogni momento. Un sito senza queste componenti è esposto a segnalazioni dirette — e il Garante italiano è tra i più attivi in Europa su questo fronte.

Le conseguenze dipendono dalla gravità e dalla sistematicità della violazione. Puoi ricevere richieste di chiarimento o di adeguamento da parte del Garante — spesso è il punto di partenza. Nei casi più seri si arriva a sanzioni amministrative fino al 4% del fatturato mondiale (o €20 milioni se superiore).

Ma il rischio più immediato e concreto è reputazionale: clienti o fornitori che ti segnalano, partner che decidono di non collaborare, o utenti che esercitano i propri diritti generando procedimenti formali. La conformità riduce anche l'esposizione a azioni civili per danni da parte degli interessati.

Vale anche la prospettiva inversa: essere conformi è sempre più spesso un requisito d'accesso in gare d'appalto, partnership e processi di due diligence. Le organizzazioni che gestiscono dati in modo documentato e trasparente riducono i costi degli incidenti e aumentano la fiducia dei clienti — che vale quanto, e spesso più, di una sanzione evitata.

Puoi usarlo come punto di partenza, ma mai senza una revisione approfondita. Le informative, i contratti DPA e la modulistica devono riflettere i tuoi specifici trattamenti, le finalità reali, i fornitori effettivamente usati e la base giuridica corretta per ogni attività.

Un modello generico che non descrive ciò che fai davvero è formalmente non conforme. In caso di controllo o reclamo è inutilizzabile — anzi, può costituire un aggravante, perché dimostra un approccio superficiale e consapevolmente approssimativo alla protezione dei dati.

Lo stesso vale per i contratti con fornitori: un DPA standard che non descrive la natura reale del trattamento, i dati coinvolti o le misure di sicurezza adottate è privo di valore pratico. Ogni documento deve essere costruito a partire da un'analisi reale del contesto — non copiato, adattato in superficie e firmato senza comprenderlo.

Formalmente l'obbligo scatta per organizzazioni con più di 250 dipendenti o che trattano dati sensibili in modo non occasionale. Ma nella pratica, per chiunque gestisca dati di clienti, dipendenti o fornitori in modo strutturato è fortemente consigliato.

Il registro documenta cosa tratti, come, con quali strumenti e per quanto tempo — ed è uno dei primi documenti richiesti in caso di ispezione del Garante. Averlo aggiornato dimostra un approccio responsabile e riduce significativamente l'esposizione in caso di contestazioni o richieste di accesso da parte degli interessati.

Il registro è anche uno strumento di lavoro interno: aiuta a identificare trattamenti obsoleti, individuare fornitori non ancora contrattualizzati e pianificare gli aggiornamenti documentali. Un freelance con cinque clienti che gestisce newsletter, fatturazione e CRM ha già tre o quattro attività di trattamento distinte che meritano di essere mappate.

Sì, ma con attenzione. L'utilizzo di strumenti AI che elaborano dati personali — assistenti virtuali, trascrizione di call, analisi comportamentale — deve rispettare i principi del GDPR: minimizzazione, base giuridica valida, trasparenza verso gli interessati e misure di sicurezza adeguate.

Se l'AI produce output che incidono su diritti o libertà delle persone — come profilazione, valutazione delle prestazioni o decisioni automatizzate — servono garanzie aggiuntive e la possibilità di intervento umano. Con l'AI Act ora in vigore, le obbligazioni crescono ulteriormente per i sistemi classificati ad alto rischio.

Un errore comune è affidarsi alla privacy policy del fornitore dello strumento AI come se coprisse anche le responsabilità del proprio utilizzo. Non è così: il Titolare del trattamento sei tu, e sei tu a dover valutare quale base giuridica usi, se gli interessati sono informati e se i dati vengono trasferiti fuori dall'UE con le garanzie necessarie.

Sì. Ogni volta che affidi trattamenti di dati personali a un soggetto esterno — software gestionale, hosting, piattaforma cloud, servizio di email marketing, commercialista — sei tenuto a formalizzare il rapporto con un contratto o atto di nomina come Responsabile del trattamento (art. 28 GDPR).

Questo documento deve specificare le istruzioni di trattamento, i limiti, le misure di sicurezza e le responsabilità. L'assenza di questi contratti è una delle irregolarità più frequenti riscontrate in fase di verifica ispettiva ed è spesso il punto da cui partono le contestazioni formali.

Non è sufficiente che il fornitore abbia una propria privacy policy pubblica: serve un accordo specifico tra le parti, firmato o accettato formalmente. Molti servizi SaaS mettono a disposizione un DPA precompilato nelle proprie condizioni generali — ma va letto, compreso e verificato che copra davvero i trattamenti che stai affidando.

Dipende dal contenuto, non dalla forma. Il GDPR protegge i dati delle persone fisiche, non delle aziende come entità. Ma la maggior parte dei dati "aziendali" contiene in realtà informazioni riconducibili a persone: nomi di referenti, indirizzi email, numeri di telefono, profili LinkedIn.

Tutti questi sono dati personali a pieno titolo e rientrano nella normativa. Trattare solo dati B2B non significa essere automaticamente fuori dal GDPR — se quei dati contengono informazioni di persone fisiche identificabili, si applicano tutte le regole ordinarie.

Questo vale in modo particolare per CRM, mailing list B2B e sistemi di gestione commerciale: anche se contengono solo contatti professionali, la loro raccolta e utilizzo per finalità di marketing diretto richiede una base giuridica valida e un'informativa adeguata. Il fatto che una persona usi un'email aziendale non la priva dei diritti riconosciuti dal GDPR come individuo.