Il GDPR è in vigore dal 2018, eppure nel 2025 il Garante della Privacy italiano ha emesso sanzioni per oltre 45 milioni di euro, molte delle quali rivolte a piccole e medie imprese. Il motivo? Errori banali, spesso frutto di sottovalutazione piuttosto che di cattiva fede.
Se sei un CEO o un responsabile IT di una PMI, questo articolo ti aiuterà a identificare i 7 errori più comuni che espongono la tua azienda a sanzioni che possono arrivare fino al 4% del fatturato annuo globale.
1 Informativa privacy incompleta o assente
L'errore più basilare e insieme più diffuso. Molte PMI hanno un sito web con un modulo di contatto, una newsletter, magari un e-commerce — ma l'informativa privacy è una copia generica trovata online, non aggiornata o addirittura assente.
L'informativa deve indicare chi tratta i dati, perché, su quale base giuridica, per quanto tempo e quali sono i diritti dell'interessato. Ogni punto di raccolta dati (form, cookie, telecamere, badge) deve avere la propria informativa specifica.
Cosa fare: verificare che ogni punto di raccolta dati abbia un'informativa completa, specifica e aggiornata. Non basta un documento generico.
2 Registro dei trattamenti inesistente
Il registro dei trattamenti (art. 30 GDPR) è obbligatorio per tutte le aziende con più di 250 dipendenti, ma anche per le imprese più piccole se il trattamento non è occasionale — e trattare dati di clienti, dipendenti e fornitori è tutt'altro che occasionale.
In pratica, il registro è obbligatorio per quasi tutte le PMI. Deve documentare ogni trattamento: finalità, categorie di dati, destinatari, tempi di conservazione e misure di sicurezza adottate.
Cosa fare: creare e mantenere aggiornato il registro dei trattamenti. Non deve essere un documento complesso, ma deve esistere e riflettere la realtà aziendale.
3 Mancata nomina dei responsabili del trattamento
Ogni fornitore che tratta dati personali per conto della tua azienda è un responsabile del trattamento e deve essere nominato formalmente con un contratto che rispetti l'art. 28 del GDPR. Questo include:
- Il fornitore del gestionale in cloud
- Il commercialista e il consulente del lavoro
- Il provider di posta elettronica
- L'agenzia di marketing che gestisce le campagne
- Il fornitore di servizi IT (incluso il backup in cloud)
Senza queste nomine, ogni trasferimento di dati a questi soggetti è potenzialmente illegittimo.
Cosa fare: mappare tutti i fornitori che accedono a dati personali e stipulare con ciascuno un accordo conforme all'art. 28 GDPR.
4 Cookie banner non conforme
Il cookie banner è diventato il simbolo del GDPR per gli utenti web, ma la maggior parte dei siti di PMI italiane lo implementa in modo scorretto:
- Cookie di profilazione attivi prima del consenso
- Nessun pulsante per rifiutare (solo “Accetta tutto”)
- Consenso pre-selezionato (checkbox già spuntate)
- Impossibilità di revocare il consenso facilmente
Le linee guida del Garante italiano del 2021 sono molto chiare: il rifiuto deve essere altrettanto facile dell'accettazione, e nessun cookie non necessario può essere installato prima del consenso esplicito.
Cosa fare: implementare un cookie banner conforme con opzioni granulari, rifiuto facile e blocco preventivo dei cookie non necessari.
5 Assenza di misure di sicurezza adeguate
L'art. 32 del GDPR richiede misure di sicurezza “adeguate al rischio”. Non specifica quali, ma il Garante ha chiarito più volte cosa si aspetta come minimo:
- Cifratura dei dati sensibili (a riposo e in transito)
- Backup regolari con test di ripristino
- Controllo degli accessi basato sui ruoli
- Aggiornamenti di sicurezza tempestivi
- Formazione del personale che tratta dati
La mancanza di queste misure è stata alla base di numerose sanzioni, anche in assenza di un effettivo data breach. Il GDPR punisce la negligenza, non solo il danno.
Cosa fare: condurre un'analisi dei rischi e implementare misure tecniche e organizzative proporzionate. Un MSSP può coprire la maggior parte delle misure tecniche richieste.
6 Nessuna procedura per i data breach
In caso di violazione dei dati personali, il GDPR richiede la notifica al Garante entro 72 ore dalla scoperta. Molte PMI non hanno idea di come comportarsi: non esiste una procedura interna, non c'è un responsabile designato, non si sa nemmeno come riconoscere un data breach.
Un data breach non è solo un attacco hacker. Può essere un'email inviata al destinatario sbagliato, un laptop perso, un accesso non autorizzato a un archivio. Senza una procedura chiara, il rischio è di non notificare nei tempi previsti — il che costituisce a sua volta una violazione sanzionabile.
Le sanzioni in numeri: il GDPR prevede sanzioni fino a 20 milioni di euro o il 4% del fatturato annuo globale (vale il maggiore). Per le PMI, le sanzioni reali si attestano tipicamente tra 10.000€ e 200.000€, ma l'impatto su una piccola azienda può essere devastante.
Cosa fare: definire una procedura di data breach response che includa: rilevamento, valutazione, contenimento, notifica e documentazione. Testarla almeno una volta all'anno.
7 Trasferimenti di dati extra-UE non conformi
Utilizzi Google Workspace? Microsoft 365? Mailchimp? Salesforce? Tutti questi servizi trasferiscono dati personali negli Stati Uniti. Dopo la sentenza Schrems II e il successivo EU-US Data Privacy Framework, la situazione si è stabilizzata, ma molte PMI continuano a utilizzare servizi extra-UE senza le garanzie necessarie.
In particolare, molte aziende utilizzano strumenti gratuiti o a basso costo (analytics, CRM, email marketing) di fornitori non coperti dal Data Privacy Framework, senza Standard Contractual Clauses né altre garanzie adeguate.
Cosa fare: mappare tutti i servizi che trattano dati personali, verificare dove sono localizzati i server e assicurarsi che esistano garanzie adeguate per ogni trasferimento extra-UE.
Conclusione: la compliance non è un optional
Il GDPR non è una formalità burocratica: è uno strumento che protegge la tua azienda tanto quanto i tuoi clienti. Un'azienda conforme è un'azienda che ha mappato i propri processi, protetto i propri dati e dimostrato di agire con responsabilità.
La buona notizia è che raggiungere un livello di conformità adeguato non richiede un esercito di avvocati. Servono consapevolezza, un partner IT che comprenda le implicazioni tecniche del GDPR, e un approccio strutturato alla sicurezza dei dati.
In Onyx Systems integriamo la compliance GDPR nella gestione IT quotidiana: dalle misure di sicurezza tecniche alla gestione dei data breach, dal controllo accessi alla cifratura. Perché la protezione dei dati e la protezione dell'infrastruttura sono due facce della stessa medaglia.