Compliance
Adeguamento GDPR, senza teatro
Sono il dott. Dimitrios Grammenidis, Revisore legale e Commercialista con pratica di legal tech e compliance. Il GDPR riguarda ogni impresa che tratta dati di clienti, dipendenti e fornitori — cioè tutte. L'adeguamento serio non è un pacco di moduli fotocopiati: è un sistema documentale proporzionato, che regge un controllo del Garante e un contenzioso.
Gli obblighi che riguardano tutti
Il Regolamento UE 2016/679 non distingue tra multinazionali e microimprese: distingue tra trattamenti. Ogni azienda con dipendenti, clienti e fornitori tratta dati personali, e deve poter dimostrare — è il principio di accountability — di farlo correttamente. La differenza sta nella proporzione: una PMI non ha bisogno dell'impianto di una banca, ma ha bisogno che quello che ha sia vero, aggiornato e applicato.
Cosa comprende l'adeguamento
- Assessment iniziale — censimento dei trattamenti effettivi: quali dati, di chi, dove stanno, chi li tocca, con quali strumenti;
- Registro dei trattamenti — il documento cardine, costruito sulla realtà aziendale e non su un modello scaricato;
- Informative e consensi — clienti, dipendenti, candidati, sito web: testi leggibili, basi giuridiche corrette;
- Nomine e responsabilità — autorizzati interni, responsabili esterni ex art. 28 (software house, consulenti, cloud), amministratori di sistema;
- Misure di sicurezza — tecniche e organizzative, commisurate al rischio, documentate;
- Procedure operative — gestione delle violazioni (data breach) e delle richieste degli interessati, con tempi e responsabilità assegnati;
- Formazione — breve, concreta, tracciata: è la misura che i controlli chiedono per prima.
Un cantiere unico con 231 e AI Act
Privacy, responsabilità dell'ente e regole sull'intelligenza artificiale condividono la stessa architettura: mappatura dei processi, valutazione del rischio, presidi documentati, formazione. Affrontarle insieme costa meno e produce un sistema coerente invece di tre faldoni scollegati. Lo Studio integra l'adeguamento GDPR con il Modello 231 e con l'adeguamento all'EU AI Act.
Domande frequenti
La mia è una piccola impresa: il GDPR mi riguarda davvero?
Sì. Il regolamento si applica a ogni titolare che tratta dati personali, senza soglie dimensionali: cambia la proporzionalità delle misure, non l'esistenza degli obblighi. Dipendenti, clienti, fornitori, candidati: sono tutti interessati i cui dati vanno gestiti secondo le regole.
Ho già le informative sul sito: non basta?
No: l'informativa è la parte visibile. Il cuore dell'adeguamento è documentale e organizzativo — registro dei trattamenti, nomine, misure di sicurezza, procedure per violazioni e per le richieste degli interessati. In un controllo, il Garante chiede il registro prima ancora delle informative.
Serve il DPO?
Per la maggior parte delle PMI private no: l'obbligo scatta per trattamenti su larga scala di dati particolari o monitoraggi sistematici. Ma la valutazione va fatta e documentata — e dove il DPO non serve, serve comunque qualcuno che presidi la materia.
Cosa succede se subisco un data breach?
Hai 72 ore per valutare e, se il rischio lo richiede, notificare al Garante. Senza una procedura pronta, quelle 72 ore passano nel panico. Prepararla prima costa una frazione di quello che costa improvvisarla dopo.
Non sai se la tua azienda è in regola?
Un assessment iniziale di un'ora — gratuito — basta a dirti dove sei e cosa manca. Poi decidi tu se e come procedere, con un preventivo a corpo.