Cos’è il GDPR: regole e implicazioni per utenti e aziende

Il GDPR è ad oggi il quadro normativo di riferimento per la protezione dei dati personali nell’Unione Europea.

Per le imprese italiane che trattano dati di clienti, fornitori o dipendenti, conoscerne i principi fondamentali non è un’opzione: è un requisito di conformità con implicazioni operative, legali e reputazionali concrete.

In questa guida trovi una panoramica completa sul Regolamento Generale sulla Protezione dei Dati. Scoprirai cosa prevede il GDPR, a chi si applica, quali obblighi impone alle imprese e quali diritti riconosce alle persone. In particolare, analizzeremo in modo specifico le implicazioni pratiche per le PMI italiane.

Cos’è il GDPR?

GDPR è l’acronimo di General Data Protection Regulation, ovvero Regolamento Generale sulla Protezione dei Dati. Si tratta di un regolamento dell’Unione Europea entrato in vigore il 24 maggio 2016 e in applicazione il 25 maggio 2018, data a partire dalla quale le imprese e le organizzazioni sono tenute a rispettarne gli obblighi.

Il GDPR disciplina le modalità con cui le organizzazioni stabilite nell’UE raccolgono, trattano, conservano e trasferiscono dati personali, indipendentemente dal luogo in cui si trovano gli interessati.

Il GDPR non è però una semplice linea guida. È un atto normativo direttamente applicabile in tutti gli Stati membri, senza necessità di recepimento nazionale. 

In Italia, in particolare, il regolamento della protezione dei dati si affianca a:

• Codice in materia di protezione dei dati personali (D.Lgs. 196/2003, aggiornato con il D.Lgs. 101/2018);
• Disposizioni del Garante per la Protezione dei Dati Personali, che rappresenta l’autorità di controllo nazionale competente per la vigilanza e l’applicazione delle norme.

Il regolamento si applica a qualsiasi organizzazione stabilita nell’UE o che tratti dati personali di persone che si trovano nell’UE quando offre loro beni o servizi o ne monitora il comportamento, indipendentemente dal settore o dalle dimensioni. 

Per le PMI italiane, in concreto, la conformità al GDPR riguarda la gestione quotidiana di dati di clienti, fornitori, dipendenti e di qualsiasi altra persona fisica con cui l’impresa entra in contatto.

Perché è stato introdotto il GDPR?

Prima dell’entrata in vigore del GDPR, la protezione dei dati personali in Europa era disciplinata dalla Direttiva 95/46/CE. Risalente al 1995, questo atto normativo non rifletteva più le realtà del trattamento dati nell’era digitale. Ogni Stato membro, inoltre, aveva recepito la direttiva in modo diverso, generando un quadro normativo frammentato e difficilmente applicabile su scala europea.

Per risolvere la questione della protezione dei dati personali, è stato quindi introdotto il GDPR, con 3 obiettivi principali:

• Rafforzare i diritti delle persone in materia di privacy dei dati, riconoscendo agli individui un controllo più ampio e diretto sulle proprie informazioni personali.
• Armonizzare le regole sul trattamento dati personali tra tutti gli Stati membri, creando un quadro normativo uniforme per le organizzazioni che operano su più mercati europei.
• Aumentare la responsabilità delle imprese, introducendo obblighi documentali, misure tecniche organizzative e un sistema sanzionatorio proporzionato alla gravità delle violazioni.

Il risultato è un regolamento che ha ridefinito gli standard di conformità al GDPR a livello globale. Inoltre, ha influenzato anche la legislazione sulla protezione dei dati in paesi extra-europei.

A chi si applica il GDPR?

Il GDPR si applica a un’ampia gamma di soggetti, seguendo un criterio territoriale ed un criterio materiale.

Dal punto di vista territoriale, il regolamento si applica a:

• Tutte le organizzazioni stabilite nell’Unione Europea, indipendentemente dal luogo in cui avviene il trattamento dei dati.
• Le organizzazioni stabilite fuori dall’UE che offrono beni o servizi a persone presenti nell’UE/SEE o che ne monitorano il comportamento.

Dal punto di vista materiale, il GDPR si applica a qualsiasi trattamento di dati personali effettuato totalmente o parzialmente con mezzi automatizzati. Nonché a trattamenti non automatizzati che facciano parte di un sistema di archiviazione o siano destinati a farne parte. 

Sono escluse alcune attività specifiche, come i trattamenti effettuati da autorità competenti per finalità di prevenzione, indagine, accertamento o perseguimento di reati penali o esecuzione di pene (regolati dalla Direttiva 2016/680).

Il regolamento distingue due figure principali per la gestione dei dati (Articolo 4):

• Il titolare del trattamento: soggetto che determina le finalità e i mezzi del trattamento dei dati personali.
• Il responsabile del trattamento: soggetto che tratta i dati per conto del titolare, ad esempio un fornitore di servizi cloud o una piattaforma di pagamento. 

Entrambe le figure hanno obblighi specifici ai sensi del regolamento. La distinzione è rilevante anche per la documentazione GDPR che ciascuna figura deve mantenere.

Per le PMI italiane, in particolare, la figura del titolare del trattamento coincide generalmente con l’imprenditore o la società stessa. Quest’ultima è responsabile di garantire che tutte le operazioni di trattamento dati personali siano conformi al regolamento.

Cosa si intende per dati personali ai sensi del GDPR?

In generale, nel GDPR quando si parla di dati personali ci si riferisce a qualsiasi informazione che consenta di identificare direttamente o indirettamente una persona fisica. La definizione comprende quindi sia dati identificativi tradizionali sia informazioni digitali. Queste, singolarmente o combinate, permettono infatti di risalire a un individuo specifico.

Rientrano nella categoria dei dati personali informazione come:

• Nome e cognome;
• Indirizzo email;
• Numero di telefono;
• Indirizzo di residenza;
• Indirizzo IP;
• Dati di localizzazione;
• Identificativi online;
• Dati finanziari, come coordinate bancarie o informazioni sulle transazioni.

Alcuni dati sono considerati più delicati e richiedono un livello di protezione maggiore.

Il regolamento prevede inoltre alcune categorie particolari di dati personali, soggetti a protezione rafforzata, tra cui:

• Dati sulla salute;
• Origine etnica o razziale;
• Opinioni politiche;
• Credenze religiose o filosofiche;
• Dati genetici;
• Dati biometrici;
• Dati relativi alla vita sessuale o all’orientamento sessuale. 

Il trattamento di queste categorie è consentito solo in presenza di specifiche condizioni previste dall’articolo 9 del GDPR.

I principi fondamentali del GDPR per le imprese

Il GDPR stabilisce principi che devono orientare qualsiasi operazione di trattamento dati personali. Questi principi costituiscono la base della conformità al GDPR e si applicano a tutte le organizzazioni, indipendentemente dalle dimensioni.

Ecco i 7 principi fondamentali del GDPR per le attività:

• Liceità, correttezza e trasparenza: Il trattamento deve avere una base giuridica valida, essere condotto in modo corretto nei confronti degli interessati e garantire la trasparenza del trattamento dati e sulle modalità e finalità del trattamento. L’informativa sulla privacy è lo strumento principale attraverso cui le imprese adempiono a questo obbligo.
• Limitazione delle finalità: I dati devono essere raccolti per finalità determinate, esplicite e legittime. Non possono inoltre essere successivamente trattati in modo incompatibile con quelle finalità.
• Minimizzazione dei dati: Il tracciamento dati personali deve limitarsi a quanto strettamente necessario rispetto alle finalità perseguite. Questo principio, sancito dall’articolo 5 del GDPR, è alla base del concetto di privacy by design. La protezione dei dati deve infatti essere integrata nei sistemi e nei processi fin dalla loro progettazione.
• Esattezza: I dati personali devono essere accurati e, se necessario, aggiornati. Le imprese devono poi adottare misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti.
• Limitazione della conservazione: I dati non devono essere conservati in una forma che consenta l’identificazione degli interessati per un periodo superiore a quello necessario rispetto alle finalità del trattamento.
• Integrità e riservatezza: Il trattamento deve garantire un livello adeguato di sicurezza dei dati personali. Devono quindi essere previste misure di sicurezza tecniche e organizzative appropriate contro trattamenti non autorizzati, perdita accidentale o distruzione.
• Responsabilizzazione: Il titolare del trattamento è responsabile del rispetto di tutti i principi elencati e deve essere in grado di dimostrarlo. Questo principio, noto anche come accountability, è uno degli elementi più rilevanti in termini di documentazione GDPR richiesta alle imprese.

Applicare correttamente questi principi significa costruire processi solidi e conformi, riducendo i rischi legali e operativi. Allo stesso tempo, rafforza la fiducia di clienti e partner nella gestione dei dati personali.

Diritti fondamentali degli interessati ai sensi del GDPR

Il GDPR riconosce alle persone fisiche un insieme di diritti che le imprese hanno l’obbligo di rispettare e rendere esercitabili. 

I principali diritti riconosciuti agli interessati includono:

• Diritto all’informazione: consente all’interessato di ricevere informazioni al momento della raccolta dei dati o entro un periodo ragionevole, riguardo a quali dati vengono trattati, le finalità, le basi giuridiche e i destinatari o le categorie di destinatari. 
• Il diritto all’accesso: le persone possono ottenere conferma che sia in corso un trattamento dei propri dati e accedere alle informazioni raccolte.
• Il diritto alla rettifica: è possibile richiedere la correzione di dati inesatti o l’integrazione di dati incompleti.
• Il diritto all’oblio (diritto di essere dimenticati): in determinate condizioni, gli interessati possono chiedere la cancellazione dei propri dati personali.
• Il diritto alla portabilità dei dati: consente di ricevere i dati in formato strutturato e trasferirli a un altro titolare del trattamento.
• Il diritto di opporsi: le persone possono opporsi al trattamento dei dati, ad esempio per finalità di marketing diretto.

Questi diritti impongono alle imprese di adottare processi chiari e strumenti adeguati per gestire le richieste degli utenti. Garantire il loro rispetto non è solo un obbligo normativo, ma anche un elemento chiave per costruire fiducia e trasparenza nel rapporto con clienti e utenti.    

Gli obblighi GDPR per le PMI italiane

Per le PMI (piccole e medie imprese) italiane, la conformità al GDPR si traduce in una serie di obblighi concreti. Questi riguardano sia la struttura organizzativa sia le procedure operative quotidiane.

I principali obblighi GDPR delle imprese italiane sono i seguenti:

• Predisporre un’informativa sulla privacy chiara e aggiornata, che descriva finalità del trattamento, basi giuridiche, tempi di conservazione e diritti degli interessati, in linguaggio comprensibile e facilmente accessibile.
• Quando il trattamento dei dati si basa sul consenso, questo deve essere libero, specifico, informato e inequivocabile. Non sono ammessi consensi impliciti o caselle preselezionate.
• Tenere un registro delle attività di trattamento, obbligatorio per le imprese con 250 o più dipendenti. Le organizzazioni più piccole devono tenerlo se il trattamento non è occasionale, comporta rischi per i diritti delle persone o riguarda dati sensibili o relativi a condanne penali. In ogni caso, mantenerlo è consigliato come strumento di accountability.
• Adottare misure tecniche organizzative per la sicurezza dei dati, proporzionate ai rischi del trattamento, inclusi sistemi di accesso controllato, cifratura, procedure di backup e piani di risposta agli incidenti.
• Nominare un DPO. Questo è obbligatorio quando si tratta di autorità o enti pubblici, quando le attività principali consistono in monitoraggio regolare e sistematico delle persone su larga scala (ad esempio, profilazione o tracciamento continuo) e quando le attività principali prevedono il trattamento su larga scala di dati sensibili (art. 9 GDPR) o dati giudiziari (art. 10 GDPR). Negli altri casi, è facoltativo ma consigliato.

Rispettare questi obblighi in modo strutturato e documentato è la condizione di base per dimostrare la conformità al GDPR in caso di ispezione da parte dell’autorità di controllo.

Sanzioni e multe GDPR

Per quanto riguarda le sanzioni, il sistema sanzionatorio del GDPR è strutturato su due livelli, in funzione della gravità della violazione. 

Vediamo i due livelli di violazioni del GDPR:

• Violazioni meno gravi: obblighi di documentazione, tenuta del registro dei trattamenti o nomina del DPO. Le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore (Articolo 83, 4).
• Violazioni più gravi: mancato rispetto dei principi fondamentali del trattamento, condizioni per il consenso, violazione dei diritti degli interessati o trasferimenti di dati verso paesi terzi senza garanzie adeguate. Le sanzioni possono arrivare fino a 20 milioni di euro o al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore (Articolo 83, 5).

L’autorità di controllo italiana competente è il Garante per la Protezione dei Dati Personali. 

Concretamente, questo organo ha il potere di:

• Condurre audit dei dati.
• Emettere ammonimenti.
• Imporre limitazioni temporanee o definitive al trattamento.
• Applicare le sanzioni amministrative previste dal regolamento.

Oltre alle conseguenze economiche dirette, una violazione accertata può comportare danni reputazionali significativi. Questi hanno effetti sulla fiducia dei clienti e sulla continuità operativa dell’impresa.

Come il GDPR influisce sugli istituti finanziari e sui fornitori di servizi di pagamento?  

Le istituzioni finanziarie e i provider di servizi di pagamento operano in un contesto normativo particolarmente articolato. Qui il GDPR si affianca ad altri obblighi regolamentari come quelli in materia di antiriciclaggio (AML) e di adeguata verifica della clientela (KYC, Know Your Customer).

In questo settore, la raccolta di dati personali è in parte imposta dalla normativa stessa. Per aprire un conto, attivare un terminale POS o erogare servizi finanziari, infatti, è necessario raccogliere e verificare informazioni sull’identità del cliente, sulla sua attività e sulle sue transazioni. 

Questi obblighi coesistono con il principio di minimizzazione dei dati previsto dal GDPR. Anche in presenza di obblighi normativi specifici, le organizzazioni devono quindi trattare solo i dati strettamente necessari rispetto alle finalità perseguite.

myPOS, in quanto istituto finanziario regolamentato, raccoglie le informazioni necessarie per adempiere agli obblighi di legge applicabili, inclusi quelli in materia di KYC e AML. Inoltre, tratta i dati personali dei propri clienti nel rispetto del GDPR. 

Per garantire la conformità, è stato nominato un responsabile della protezione dei dati (DPO), che informa, consiglia e monitora le attività di trattamento per verificare il rispetto del GDPR. I dati personali sono gestiti secondo il principio di minimizzazione e conservati per le finalità contrattuali, per obblighi normativi o per altri scopi legittimi, come la sicurezza, la prevenzione delle frodi o il miglioramento del servizio.

Come le imprese possono mantenere la conformità al GDPR

La conformità al GDPR non è un adempimento una tantum. È un processo continuativo che richiede revisioni periodiche e aggiornamenti in risposta all’evoluzione normativa e operativa dell’impresa. 

Le azioni principali che le PMI italiane dovrebbero adottare per mantenere la conformità sono le seguenti:

• Condurre un audit dei dati periodico, mappando tutte le tipologie di dati personali trattati, le finalità, le basi giuridiche e i tempi di conservazione.
• Aggiornare l’informativa sulla privacy ogni volta che cambiano le finalità o le modalità del trattamento o in seguito a modifiche normative.
• Rivedere i contratti con i responsabili del trattamento, verificando che i fornitori esterni abbiano sottoscritto un accordo di trattamento conforme al GDPR e dispongano di misure di sicurezza adeguate.
• Formare il personale sulle procedure di gestione dei dati, sui diritti degli interessati e sulle modalità di risposta in caso di violazione dei dati o di richieste di esercizio dei diritti.
• Implementare sistemi sicuri per la raccolta e il trattamento dei dati, adottando misure tecniche organizzative proporzionate ai rischi, inclusi sistemi di cifratura, controllo degli accessi e procedure di incident response.

Affrontare questi passaggi con metodo e continuità consente alle PMI di mantenere un livello di conformità al GDPR adeguato. Inoltre, riduce il rischio di sanzioni e rafforzando la fiducia dei propri clienti e partner.

GDPR: sistemi di pagamento sicuri e protezione dei dati

Per le imprese che gestiscono transazioni finanziarie, la sicurezza dei dati di pagamento è una componente essenziale della conformità al GDPR. 

Le misure di sicurezza da adottare in questo contesto includono:

• La cifratura delle transazioni, per proteggere i dati finanziari durante la trasmissione.
• Il controllo degli accessi ai sistemi di cassa e di gestione dei pagamenti, limitando la visibilità sui dati alle sole figure autorizzate.
• La conservazione limitata dei dati di transazione, nel rispetto del principio di limitazione della conservazione previsto dal regolamento.
• L’utilizzo di sistemi di gestione identità per la verifica degli operatori autorizzati ad accedere ai dati.

I sistemi POS moderni, come quelli offerti da myPOS, integrano misure di sicurezza conformi agli standard del settore, inclusi i requisiti PCI DSS per la protezione dei dati di pagamento. Affidarsi a infrastrutture certificate riduce il rischio di violazioni dei dati e semplifica la gestione della conformità per le PMI. Anche per quelle che non dispongono di risorse interne dedicate alla sicurezza informatica.

Conclusioni

Il GDPR è il quadro normativo di riferimento per la protezione dei dati personali in Europa. Non si tratta solo di un obbligo legale. È un insieme di regole che definiscono come i dati devono essere raccolti, utilizzati e protetti.

Per le PMI, adeguarsi al GDPR significa adottare pratiche chiare, come informare correttamente gli utenti, trattare solo i dati necessari e garantire sicurezza. Questi obblighi richiedono attenzione, ma sono fondamentali per operare in modo conforme e responsabile.

Rispettare il GDPR, infatti, non serve solo a evitare sanzioni. Significa anche costruire fiducia, migliorare la gestione delle informazioni e rafforzare la credibilità dell’impresa.

Informativa sulla privacy e contatti

Per informazioni sulle modalità con cui myPOS tratta i dati personali dei propri clienti, è disponibile la nostra informativa sulla privacy, consultabile sul sito ufficiale. Per qualsiasi domanda relativa al trattamento dei tuoi dati personali, puoi contattare il team dedicato all’indirizzo email [email protected].

Domande frequenti

Il mio piccolo negozio al dettaglio è obbligato a tenere un registro delle attività di trattamento?

Le imprese con meno di 250 dipendenti possono essere esentate dall’obbligo del registro, ma solo se il trattamento è occasionale, non rischioso e non riguarda dati sensibili. In pratica, molte PMI (ad esempio con programmi fedeltà o marketing) devono comunque tenerlo. Il registro resta uno strumento utile per dimostrare la conformità al GDPR in caso di ispezione del Garante.

Devo stipulare un accordo scritto sul trattamento dei dati con il mio provider POS?

Ai sensi dell’articolo 28 del GDPR, se il provider POS tratta dati per conto tuo, è necessario un Data Processing Agreement (DPA). Questo documento definisce finalità, durata e misure di sicurezza. Se invece il provider agisce come titolare autonomo (ad esempio per antifrode o pagamenti), il DPA non è richiesto, , ma restano comunque vigenti gli altri obblighi GDPR.

Posso conservare le immagini del sistema di videosorveglianza per più di 72 ore?

Sì, ma con limiti. In generale, il Garante per la Protezione dei Dati Personali italiano indica 24 ore come termine generale di conservazione delle immagini CCTV per i contesti ordinari. Fino a 7 giorni è possibile se giustificato da esigenze specifiche. Periodi più lunghi richiedono una valutazione dei rischi. Le immagini devono essere protette e cancellate automaticamente allo scadere del termine stabilito.

I dati di accesso al WiFi ospite sono soggetti al GDPR?

Sì, qualsiasi dato raccolto durante l’autenticazione alla rete Wi‑Fi ospite, come indirizzo email, numero di telefono o indirizzo IP, costituisce un dato personale. Chi determina le finalità e i mezzi del trattamento (esercente o fornitore terzo) agisce come titolare o contitolare. In ogni caso, gli utenti devono essere informati tramite un’informativa chiara. Conservare i dati e posssibile solo per il periodo necessario.

Posso usare WhatsApp per inviare fatture ai clienti in modo conforme al GDPR?

L’invio di fatture tramite WhatsApp può comportare il trattamento di dati personali da parte di WhatsApp Ireland, titolare del trattamento per utenti UE. I messaggi sono protetti da cifratura end-to-end, ma WhatsApp tratta alcuni dati (come metadati) e può trasferirli fuori dall’UE. Per le PMI italiane, è generalmente preferibile usare canali certificati (posta elettronica cifrata o sistemi di fatturazione elettronica tramite SDI), che garantiscono maggiore sicurezza.

È obbligatorio cifrare i laptop utilizzati per trattare dati dei clienti?

Il GDPR non impone esplicitamente la cifratura come misura obbligatoria. Tuttavia, la include tra le misure tecniche organizzative appropriate per garantire la sicurezza dei dati. Per i laptop che contengono dati personali di clienti, la cifratura del disco è considerata una misura proporzionata e raccomandata dal Garante italiano. In caso di smarrimento o furto di un dispositivo non cifrato contenente dati personali, l’episodio configura quasi certamente una violazione dei dati. Questa deve essere notificata all’autorità di controllo entro 72 ore, con potenziali conseguenze sanzionatorie.