Il GDPR (Regolamento UE 2016/679) è il regolamento europeo che disciplina la protezione dei dati personali e si applica a tutte le imprese, comprese le PMI. Anche le realtà più piccole devono rispettare regole precise nella gestione dei dati di clienti, dipendenti e fornitori, spesso più semplici e pratiche di quanto si pensi. Comprenderle è essenziale per operare in sicurezza e nel rispetto della normativa.
- Il GDPR si applica a tutte le imprese, senza soglie minime di dipendenti
- Registro dei trattamenti: deroga sotto i 250 dipendenti, con eccezioni frequenti
- Informativa e base giuridica obbligatorie per clienti, dipendenti e fornitori
- Data breach: notifica al Garante entro 72 ore dalla scoperta
- Sanzioni fino a 20 milioni di euro o al 4% del fatturato annuo
- DPO obbligatorio solo in casi specifici, rari in una piccola impresa
Molti titolari di piccole imprese considerano il GDPR un obbligo pensato per i grandi gruppi. Non lo è: il Regolamento europeo si applica a ogni azienda che tratta dati personali, dalla ditta individuale allo studio professionale fino alla PMI con 250 dipendenti. Clienti in anagrafica, buste paga, preventivi via email, telecamere in magazzino: ognuna di queste attività comporta un trattamento di dati e quindi un obbligo di conformità. La buona notizia è che per una piccola impresa gli adempimenti GDPR sono pochi, ben definiti e in gran parte documentali. Questa guida li elenca uno per uno, con deroghe, scadenze e sanzioni.
Cosa prevede il GDPR per le piccole imprese
Il GDPR impone a ogni piccola impresa di trattare i dati personali in modo lecito, trasparente e sicuro. Non esistono soglie di fatturato o di dipendenti sotto le quali il Regolamento non si applica.
GDPR (General Data Protection Regulation, Regolamento UE 2016/679): il regolamento europeo sulla protezione dei dati personali, in vigore dal 25 maggio 2018, che disciplina come ogni organizzazione raccoglie, conserva e utilizza le informazioni riferite a persone fisiche.
Il principio cardine del Regolamento si chiama responsabilizzazione, o accountability: ogni titolare sceglie le misure adeguate al proprio contesto e deve poterle dimostrare. Gli obblighi si calibrano così sulla dimensione e sul rischio reale dei trattamenti. Un bar che gestisce solo gli scontrini ha oneri minimi; uno studio medico che tratta dati sanitari ha oneri pieni, anche con tre addetti. I dati personali coinvolti in una PMI tipica sono quasi sempre gli stessi:
- Clienti e potenziali clienti: anagrafiche, contatti, ordini, preventivi, dati di fatturazione
- Dipendenti e collaboratori: buste paga, presenze, dati sanitari per visite e infortuni
- Fornitori: referenti commerciali, contatti, coordinate di pagamento
- Visitatori e sicurezza: immagini di videosorveglianza, registri degli accessi in sede
- Utenti del sito web: moduli di contatto, newsletter, cookie e strumenti di analisi
Il GDPR si applica anche a una microimpresa o a una ditta individuale?
Il GDPR si applica anche a microimprese, ditte individuali e liberi professionisti, perché il criterio non è la dimensione ma il trattamento di dati personali. Chi ha anche un solo cliente persona fisica, un dipendente o un modulo di contatto sul sito rientra nel perimetro del Regolamento. Sotto i 250 dipendenti cambia solo l’onere documentale del registro.
L’articolo 30, paragrafo 5 del Regolamento UE 2016/679 prevede una deroga all’obbligo di tenere il registro dei trattamenti per le imprese con meno di 250 dipendenti. Tuttavia, l’esenzione si applica solo se i trattamenti sono occasionali e non comportano rischi per i diritti delle persone né riguardano dati sensibili o categorie particolari.
Quali sono gli adempimenti GDPR obbligatori per una piccola impresa
Una piccola impresa conforme al GDPR si basa su sei elementi essenziali: informative privacy adeguate, basi giuridiche definite, registro dei trattamenti, nomine dei responsabili esterni, misure di sicurezza idonee e una procedura per i data breach.
L’adeguamento non richiede strumenti complessi: richiede metodo. Il punto di partenza è una mappatura dei trattamenti, cioè un elenco di quali dati l’azienda raccoglie, dove li conserva, chi vi accede e per quanto tempo. Da questa mappa discendono tutti gli altri adempimenti GDPR, gestibili in poche settimane, spesso con il supporto di un consulente privacy. I sei presidi da attivare sono questi:
- Informativa: documento che spiega a clienti, dipendenti e fornitori quali dati tratti, perché e per quanto tempo
- Base giuridica: per ogni trattamento serve un fondamento, come contratto, obbligo di legge, consenso o legittimo interesse
- Registro dei trattamenti: la fotografia documentale di tutti i trattamenti aziendali
- Nomine: designazione scritta dei responsabili esterni, come consulente del lavoro, commercialista e fornitori cloud
- Misure di sicurezza: protezioni tecniche e organizzative proporzionate al rischio
- Procedura data breach: chi fa cosa, e in quali tempi, quando i dati vengono violati o persi
Quando una piccola impresa deve nominare il DPO?
Una piccola impresa deve nominare il DPO solo se effettua monitoraggi regolari e sistematici su larga scala o tratta su larga scala categorie particolari di dati. Sono condizioni rare in una PMI tradizionale: officine, studi tecnici, imprese commerciali e manifatturiere di norma non rientrano.
DPO (Data Protection Officer, responsabile della protezione dei dati): figura indipendente, interna o esterna, che vigila sull’applicazione del GDPR in azienda e fa da punto di contatto con il Garante per la protezione dei dati personali.
Parti dalla mappatura dei trattamenti: è il documento da cui discendono informative, registro e nomine, ed è la prima cosa che il Garante chiede in caso di controllo.
Registro dei trattamenti: quando è obbligatorio e come si compila
Il registro dei trattamenti è obbligatorio sotto i 250 dipendenti quando il trattamento è non occasionale, rischioso o riguarda dati particolari: in pratica per quasi tutte le aziende con personale. Il Garante lo raccomanda comunque a tutti.
Il registro è una tabella, anche in formato foglio di calcolo, che elenca per ogni trattamento la finalità, le categorie di dati e di interessati, i destinatari, i tempi di conservazione e le misure di sicurezza applicate. La gestione delle buste paga, ad esempio, è un trattamento non occasionale e include dati particolari come quelli sanitari: per questo la deroga dei 250 dipendenti quasi mai si applica davvero. Se la mappatura è fatta bene, compilarlo richiede poche ore. Le voci minime da registrare sono:
- Finalità del trattamento: gestione clienti, paghe, videosorveglianza, marketing
- Categorie di dati e interessati: anagrafici, contabili, sanitari; clienti, dipendenti, fornitori
- Destinatari: consulente del lavoro, commercialista, software house, fornitori cloud
- Tempi di conservazione: quanto a lungo i dati restano negli archivi aziendali
- Misure di sicurezza: cifratura, backup, controllo degli accessi, formazione
Il registro va inviato al Garante o tenuto in azienda?
Il registro dei trattamenti resta in azienda e va esibito solo su richiesta del Garante durante un controllo. Non esiste alcun obbligo di invio, deposito o vidimazione: conta che sia aggiornato, datato e coerente con la realtà operativa dell’impresa.
Misure di sicurezza e data breach: cosa chiede il GDPR sul piano tecnico
L’articolo 32 del GDPR chiede misure tecniche e organizzative adeguate al rischio: backup regolari, cifratura, controllo degli accessi, aggiornamenti e una rete aziendale affidabile. In caso di violazione, la notifica al Garante scatta entro 72 ore.
La sicurezza dei dati passa dall’infrastruttura IT dell’azienda. Server locali senza backup, posta elettronica condivisa e connettività instabile aumentano sia il rischio di violazione sia la difficoltà di dimostrare la conformità. Per una PMI le misure più efficaci sono note: backup automatici, anche su servizi cloud per piccole imprese con data center nell’Unione europea, autenticazione a due fattori, antivirus gestito e una formazione minima del personale contro il phishing. Su questo fronte GDPR e sicurezza informatica per le PMI coincidono: ogni euro investito in protezione riduce sia il rischio operativo sia quello sanzionatorio. Le ricerche dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano (2026) documentano del resto una crescita costante della spesa in sicurezza delle imprese italiane, spinta proprio dagli obblighi normativi. Una connettività stabile, verificabile in pochi secondi su Fibermap, rende affidabili backup remoti e gestionali in cloud.
Cosa deve fare una piccola impresa in caso di data breach?
In caso di data breach l’impresa deve documentare l’accaduto, valutare il rischio per gli interessati e, se il rischio non è improbabile, notificare la violazione al Garante entro 72 ore dalla scoperta. Se il rischio è elevato va informato anche ogni interessato coinvolto. Tutte le violazioni, anche quelle non notificate, vanno annotate in un registro interno con le valutazioni fatte.
La Guida all’applicazione del Regolamento UE 2016/679 del Garante conferma il termine di 72 ore per la notifica di un data breach e raccomanda procedure interne scritte: per una PMI significa sapere prima chi chiamare, cosa isolare e cosa documentare.
Anche la perdita di un portatile aziendale o un attacco ransomware che cifra i gestionali costituisce un data breach: il termine di 72 ore decorre dalla scoperta, non dalla conferma tecnica dell’incidente.
Sanzioni e costi: cosa rischia una piccola impresa non conforme
Le sanzioni GDPR arrivano fino a 20 milioni di euro o al 4% del fatturato mondiale annuo. Per le piccole imprese il Garante applica importi proporzionati, ma i controlli e i reclami dei singoli interessati sono in aumento.
Il rischio concreto per una PMI è il provvedimento da decine di migliaia di euro nato da un reclamo: un ex dipendente, un cliente che non riceve riscontro a una richiesta di cancellazione, una videosorveglianza senza cartelli. L’adeguamento, al contrario, ha costi contenuti e in parte finanziabili: il voucher cloud e cybersecurity 2026 per le PMI copre anche strumenti utili alla conformità, come backup gestiti e soluzioni di protezione degli endpoint. Chi ha già avviato l’adeguamento alla direttiva NIS2 (Network and Information Security 2) troverà molte misure in comune: la guida agli obblighi NIS2 per le PMI spiega scadenze e sovrapposizioni.
L’articolo 83 del Regolamento UE 2016/679 fissa il tetto delle sanzioni amministrative a 20 milioni di euro o al 4% del fatturato mondiale annuo, se superiore. L’importo effettivo dipende da gravità, durata e grado di collaborazione del titolare.
Tratta l’adeguamento come un progetto unico: mappatura, registro e misure di sicurezza coprono in un solo intervento gli adempimenti GDPR e buona parte dei requisiti NIS2.
Domande frequenti sugli adempimenti GDPR per le piccole imprese
Sotto i 250 dipendenti il registro è dovuto quando il trattamento è non occasionale, presenta rischi o riguarda dati particolari come quelli sanitari. La gestione del personale rientra quasi sempre in questi casi, quindi nella pratica il registro conviene tenerlo: è anche la prova di conformità più immediata.
Nella maggior parte dei casi no. Il DPO è obbligatorio solo per monitoraggi regolari e sistematici su larga scala o per trattamenti su larga scala di dati particolari o giudiziari. Una PMI commerciale, artigiana o manifatturiera di norma non raggiunge queste soglie, ma può nominarlo su base volontaria.
Il costo dipende da numero di trattamenti, settore e maturità informatica dell’azienda. Per una PMI semplice l’adeguamento documentale richiede poche giornate di consulenza; la parte tecnica, come backup e controllo degli accessi, coincide con investimenti IT spesso già pianificati e in parte coperti da incentivi pubblici.
Il GDPR protegge i dati personali e vale per tutte le imprese; la direttiva NIS2 protegge la sicurezza delle reti e dei sistemi e si applica solo a settori e dimensioni specifiche. Le misure tecniche però si sovrappongono: backup, gestione degli incidenti e formazione servono a entrambe le normative.
