Conformità 19 febbraio 2026 · Milan Cák

Checklist di conformità GDPR per PMI — aggiornamento 2026

Checklist GDPR pratica in 20 punti per le PMI italiane. Hosting UE, audit log, DPA, politiche di retention. Eviti multe fino a 20 milioni di EUR.

Dall’entrata in vigore del GDPR (Regolamento UE 2016/679) nel maggio 2018 sono arrivate due generazioni di aggiornamenti — e per il 2026 entrano in vigore nuove linee guida EDPB su sistemi AI, archivi cloud fuori UE e conservazione della telemetria. Le multe per le PMI italiane per violazioni GDPR sono cresciute negli anni 2023-2025 del 320%. Ecco una checklist pratica in 20 punti che nel 2026 ogni azienda può gestire senza un DPO esterno.

Argomenti del tipo “il GDPR non ci riguarda, siamo una piccola azienda” nel 2026 non valgono più. Il Garante della Privacy italiano ha confermato nel suo rapporto annuale per il 2024 che il 62% delle multe è andato ad aziende con meno di 50 dipendenti. Multa media: 8.200 EUR. La più alta in IT: 94.000 EUR (e-commerce, gestione errata delle richieste degli interessati).

Oltre alle multe esiste un altro rischio: i contratti B2B. Le grandi aziende oggi richiedono DPA (Data Processing Agreement) e audit di sicurezza da tutti i fornitori. Se non ha conformità, perde gare.

Suggerimento: Il GDPR non è un progetto una tantum. È un processo continuo. La checklist va eseguita una volta all’anno, idealmente nel Q1 dopo la chiusura fiscale, quando rivede comunque i processi.

Basi e documentazione (1 – 5)

1. Ha un registro aggiornato delle attività di trattamento (art. 30 GDPR)? Tabella Excel con elenco: tipo di dati, finalità, base giuridica, periodo di conservazione, destinatari. Obbligatorio per ogni azienda oltre 250 persone — e in pratica anche per le più piccole che trattano dati sensibili.

2. Ha in ogni contratto un consenso correttamente informato o un’altra base giuridica secondo l’art. 6 GDPR? Newsletter di marketing → consenso opt-in. Fatture → legittimo interesse + obbligo di legge.

3. Ha le Informazioni sul trattamento dei dati personali (privacy notice) aggiornate sul sito e nelle reception? Almeno 13 punti secondo l’art. 13 GDPR. Concrete, non “secondo la legge trattiamo i suoi dati”.

4. Ha firmato DPA con tutti i responsabili del trattamento (provider cloud, commercialista, agenzia HR, fornitore IT)? GDPR art. 28 — il contratto scritto è obbligatorio. Per il 2026 verifichi se il DPA copre anche i sub-processor AI (ChatGPT, Claude, ecc.).

5. Ha designato una persona responsabile (DPO o contatto interno)? Il DPO è obbligatorio per trattamento su larga scala di dati sensibili (sanità, biometria, giustizia). Per le PMI di solito basta un contatto interno — ma deve essere definito e pubblicamente accessibile.

Misure tecniche (6 – 12)

6. I suoi dati sono ospitati in UE? Server fuori UE = problema Schrems II. Dopo il fallimento dell’US-EU Data Privacy Framework nel 2023, per le PMI la scommessa sicura è hosting esclusivamente in UE (idealmente DE, FR, IT). Verifichi dove gira il suo ERP, CRM e email. Più sul nostro approccio nella pagina sicurezza.

7. Ha la 2FA attiva per tutti gli account amministrativi? La password “admin123” nel 2026 non basta. Obbligatoria de facto se ha accesso a dati personali di oltre 1.000 persone.

8. Ha backup regolari e un recovery plan testato? Test di ripristino almeno 2 volte all’anno. Gli attacchi ransomware alle PMI italiane sono cresciuti nel 2024 del 180%.

9. Cifra i dati personali a riposo (at rest) e in transito (in transit)? HTTPS ovunque. AES-256 o equivalente per i database. Per categorie sensibili (sanitarie, finanziarie) bonus all’audit.

10. Ha un audit log che registra l’accesso ai dati personali? “Chi, quando, quale record ha visto / modificato.” Senza di esso non passerà un audit B2B serio né la risposta a un breach. Modulario fornisce questo audit log nativamente — più info sulla pagina sicurezza.

11. Ha politiche di retention e cancellazione automatica allo scadere del periodo? Norme italiane: fatture 10 anni, dati personali 50 anni (pensione), consensi marketing fino a revoca o 24 mesi.

12. Ha pseudonimizzazione o anonimizzazione dove possibile? Es. analytics web senza indirizzi IP, dashboard interna con hash ID dei dipendenti.

Processi (13 – 17)

13. Ha un processo definito per rispondere alle richieste degli interessati (accesso, rettifica, cancellazione)? Termine: 1 mese, prorogabile a 3 in casi complessi. Chi in azienda riceve l’email, chi verifica l’identità, chi esegue la cancellazione?

14. Ha un piano di risposta agli incidenti di sicurezza (data breach)? 72 ore per la notifica al Garante. In pratica ha <24h prima che l’incidente si propaghi. Template + persona responsabile + piano di comunicazione.

15. Ha un team formato? Almeno una formazione annuale per tutti coloro che trattano dati personali. Un e-learning di 2 ore basta per le basi.

16. Verifica i nuovi fornitori (vendor due diligence)? Domande per SaaS: Dove ospitano? Hanno ISO 27001 / SOC 2? Quale struttura sub-processor hanno? Hanno DPA pronti?

17. Ha la DPIA (Data Protection Impact Assessment) per trattamenti a rischio? Obbligatoria per monitoraggio sistematico, trattamento di categorie sensibili su larga scala, decisioni automatizzate. Nel 2026 anche per alcuni casi d’uso AI (vedi AI Act).

Specificità 2026 (18 – 20)

18. Mappa i sistemi AI e i modelli che trattano dati personali? Nuove linee guida EDPB 2025: se un modello AI tratta dati personali (chatbot, HR assist, AI scoring), deve avere DPIA + trasparenza.

19. Ha regole chiare per l’uso di AI generativa (ChatGPT, Claude, Copilot)? I dipendenti comunemente copiano dati dei clienti in strumenti AI pubblici. Policy + whitelist + account enterprise risolvono il problema.

20. Ha un processo pronto per audit GDPR (interno o esterno)? Annualmente esegua la checklist, ogni 2 anni audit esterno. Il protocollo torna utile nelle gare.

Multe più frequenti in IT per il 2023 – 2025

Violazione	Multa media	Frequenza
Consenso marketing mancante/errato	3.200 EUR	Massima
Nessuna risposta a richiesta dell’interessato	5.800 EUR	Alta
DPA mancante con responsabile	4.500 EUR	Alta
Data breach senza notifica	12.000 EUR	Media
Misure tecniche inadeguate	8.400 EUR	Media

Suggerimento: L’investimento più economico ed efficace nel GDPR nel 2026 è avere un sistema ERP/CRM con audit log nativo, hosting UE e DPA firmato. Copre automaticamente 10 dei 20 punti di questa checklist.

Conclusione

La conformità GDPR non è uno spauracchio — è disciplina. La checklist di 20 punti sopra una PMI italiana media la completa in 2-4 giorni di lavoro. Le multe partono da migliaia di EUR e il regolatore nel 2026 è più attivo che mai. Aggiunga la pressione dei clienti B2B per DPA e certificati di sicurezza e ha un business case completo.

Le serve un sistema ERP/CRM che gestisca il GDPR nativamente — hosting UE, audit log, politiche di retention automatiche? Veda il dettaglio delle nostre misure di sicurezza o ci contatti tramite consulenza gratuita. Le prepareremo un ambiente GDPR-ready in 2 settimane.

Risorse correlate

Milan Cák

Modulario

Často kladené otázky

Quali sono le sanzioni per violazione del GDPR nel 2026?

Due livelli: (1) Violazioni minori (art. 83 par. 4) - fino a 10 milioni EUR o 2% del fatturato globale (il più alto). (2) Violazioni gravi come trattamento illecito, violazione dei diritti degli interessati, trasferimento fuori UE - fino a 20 milioni EUR o 4% del fatturato. Per una PMI italiana con fatturato di 5 milioni EUR le sanzioni realistiche vanno da 50.000 a 200.000 EUR per violazioni minori, da 200.000 a 500.000 EUR per quelle gravi. Il Garante della Privacy italiano ha irrogato nel 2024 sanzioni per 2,8 milioni EUR. Le aree più sanzionate: moduli web senza consenso, newsletter marketing, trasferimenti non autorizzati fuori UE.

Quanto costa la conformità GDPR per una PMI italiana?

Per un'azienda di 25 persone, budget realistico: (1) Setup una tantum 3.000-10.000 EUR (registri, template contratti, audit log nell'ERP, consulenza legale 5-15 ore). (2) Costo ricorrente 1.500-5.000 EUR/anno (audit interno, eventuale consulente DPO 2-4 ore/mese). (3) Audit esterno ogni 2 anni 1.500-3.000 EUR. Totale primo anno 5.000-15.000 EUR, anni successivi 2.000-5.000 EUR. Senza conformità: sanzione da 5.000 EUR per prima violazione, clienti B2B rifiutano collaborazione, cattiva reputazione nei media.

Una PMI italiana deve avere un DPO (Data Protection Officer)?

DPO obbligatorio: (1) Enti pubblici. (2) Aziende con monitoraggio sistematico su larga scala (CCTV, online tracking oltre 10.000 record/mese). (3) Aziende che trattano categorie particolari di dati su larga scala (sanitari, biometrici). Per la maggior parte delle PMI non obbligatorio, ma si raccomanda un referente GDPR interno. DPO esterno: 500-2.000 EUR/mese in base all'ambito. Coordinatore GDPR interno: parte del tempo di admin/HR o legale, 100-300 EUR/mese di allocazione. Indirizzo email privacy@azienda.it obbligatorio per il contatto degli interessati.

Quali sono i requisiti GDPR per gli strumenti AI?

Dal 2.8.2026 (AI Act in vigore) + GDPR (art. 22 - decisioni automatizzate): (1) DPIA per sistemi AI che trattano dati personali. (2) Informativa di trasparenza - l'interessato sa che comunica con AI. (3) Supervisione umana per decisioni con impatto legale (AI HR). (4) Regole per ChatGPT/Claude - nessun dato personale dei clienti nel tier gratuito pubblico, solo account enterprise con DPA. (5) Inventario degli strumenti AI in azienda. Sanzioni: GDPR fino a 20 milioni EUR + AI Act fino a 35 milioni EUR. Violazione più frequente: dipendenti copiano dati clienti in LLM pubblici.

Quali sono i periodi di conservazione per i diversi tipi di dati?

Italia 2026: (1) Fatture, documenti contabili - 10 anni (D.P.R. 600/1973). (2) Fascicoli del personale - 10 anni dal termine del rapporto di lavoro. (3) Documenti retributivi - 5 anni (termine di prescrizione). (4) Documenti fiscali - 10 anni. (5) Consensi marketing - fino a revoca, max 24 mesi senza consenso attivo. (6) Registrazioni CCTV - max 24-48 ore (Provvedimento Garante), fino a 7 giorni con documentate esigenze. (7) Contatti newsletter - fino a revoca del consenso. Cancellazione automatica tramite cron job, non manuale.

Cosa fare in caso di data breach (violazione dei dati personali)?

GDPR art. 33-34 richiede: (1) Entro 72 ore notificare al Garante della Privacy tramite il portale ufficiale (notifica anche se il rischio è basso). (2) Se rischio elevato per gli interessati - notificarli individualmente (email, lettera). (3) Documentare l'incidente: cosa è successo, quale portata, quali misure. (4) Obbligo di notifica anche per breach parziale (es. laptop smarrito con dati). NIS2 (2026) per infrastrutture critiche: notifica entro 24 ore al CSIRT. Sanzione per mancata notifica: fino a 10 milioni EUR + danno reputazionale. Preparare un piano di incident response.

Quali sono i 5 principali errori GDPR nelle PMI nel 2026?

(1) Nessun DPA con responsabili del trattamento (cloud provider, commercialista, fornitore IT) - 60% delle PMI. (2) Newsletter senza consenso opt-in esplicito - 45%. (3) Moduli web senza informativa privacy e possibilità di scelta - 50%. (4) Hosting fuori UE senza certificazione DPF (post Schrems II) - 30%. (5) Nessun audit log degli accessi ai dati personali nei sistemi interni - 70%. Soluzione: checklist GDPR in 20 punti + audit annuale + scelta di ERP/CRM con hosting EU e audit log nativo (Modulario, NetSuite EU). Costi di adeguamento 2.000-8.000 EUR, sanzione per violazione 10-100 volte di più.

Checklist di conformità GDPR per PMI — aggiornamento 2026

Basi e documentazione (1 – 5)

Misure tecniche (6 – 12)

Processi (13 – 17)

Specificità 2026 (18 – 20)

Multe più frequenti in IT per il 2023 – 2025

Conclusione

Risorse correlate

Často kladené otázky

Articoli correlati

Sicurezza e compliance in cloud ERP 2026: Guida completa per le PMI

Sicurezza su internet per le aziende: guida pratica per il 2026

ISO 27001 per le PMI: cosa significa in pratica

Checklist di conformità GDPR per PMI — aggiornamento 2026

Perché la conformità GDPR conviene anche a un’azienda di 15 persone

Checklist GDPR in 20 punti per la PMI italiana (2026)

Basi e documentazione (1 – 5)

Misure tecniche (6 – 12)

Processi (13 – 17)

Specificità 2026 (18 – 20)

Multe più frequenti in IT per il 2023 – 2025

Conclusione

Risorse correlate

Často kladené otázky

Articoli correlati

Sicurezza e compliance in cloud ERP 2026: Guida completa per le PMI

Sicurezza su internet per le aziende: guida pratica per il 2026

ISO 27001 per le PMI: cosa significa in pratica