Guida GDPR per PMI italiane

15 step pratici per essere a posto con il regolamento — checklist interattiva.

FLUXION — Risorse GDPR gratuite

Questa checklist copre i punti che il Garante per la protezione dei dati personali verifica con maggior frequenza nelle ispezioni a saloni, palestre, studi medici, centri estetici, officine, attività con clienti ricorrenti.

Spunta ogni step quando hai chiuso il punto. Stampa il documento (Cmd/Ctrl + P) per la riunione interna. I riferimenti normativi sono linkabili al testo ufficiale GDPR su EUR-Lex.

1 Sei titolare del trattamento? Se decidi finalità e modalità del trattamento (es. gestisci un'agenda clienti), sei titolare. Anche se sei una ditta individuale. Art. 4(7) GDPR
2 Devi tenere il registro dei trattamenti? Sì, quasi sempre. Anche sotto 250 dipendenti l'obbligo scatta se il trattamento è non occasionale (l'agenda clienti ricorrenti = non occasionale) oppure se gestisci dati salute. Tutti i settori FLUXION rientrano. Art. 30 GDPR + Garante FAQ 9047529
3 Hai un'informativa pronta da consegnare ai clienti? Obbligatoria al momento della prima raccolta dati. Deve essere concisa, chiara, in italiano semplice. Modello incluso nel pacchetto FLUXION. Art. 13 GDPR + Garante 9091942
4 Devi nominare un DPO (Data Protection Officer)? Per PMI 1-15 dipendenti con operatività locale di norma NO. Diventa obbligatorio se l'attività principale è monitoraggio sistematico su larga scala o trattamento su larga scala di dati art. 9 (raro per la singola PMI). Art. 37 GDPR
5 Tratti dati relativi alla salute? Hai il consenso esplicito? Allergie del cliente, controindicazioni, anamnesi = dati salute. Servono consenso esplicito scritto (art. 9(2)(a)) per estetisti, palestre, nail artist. Per medici/dentisti/fisio in operazioni di cura vale art. 9(2)(h) senza consenso separato, ma serve per finalità ulteriori. Art. 9 GDPR
6 Hai un sito web? È presente cookie banner conforme? Banner senza pulsanti pre-spuntati, accetta/rifiuta sullo stesso livello, possibilità di configurare i cookie tecnici/profilazione. Le linee guida Garante 2021 sono ancora valide. Linee guida cookie Garante 2021 + D.Lgs 196/2003 art. 122
7 Mandi messaggi WhatsApp di marketing senza consenso? Il fatto che il cliente ti abbia dato il numero per prenotare NON autorizza l'invio di promozioni. Serve consenso specifico per il marketing, registrato e revocabile. Art. 6(1)(a) GDPR + Garante prov. 6/3/2024
8 Usi un assistente vocale AI al telefono? Avvisi il chiamante? Sì, sempre. Disclosure obbligatoria all'inizio della chiamata: "Le ricordo che la chiamata è gestita da un assistente automatico, le sue richieste saranno elaborate per finalità di prenotazione". L'AI di FLUXION (Sara) non rientra in art. 22 perché la prenotazione è sempre confermata dall'operatore. Art. 13 + Art. 22 GDPR
9 Sai cosa fare in caso di data breach (PC rubato, ransomware)? Hai 72 ore per notificare al Garante via portale online. Se il rischio per gli interessati è alto, devi anche avvisare i clienti coinvolti. Tieni traccia di tutti gli eventi di breach in un registro dedicato. Art. 33 + Art. 34 GDPR
10 Hai backup quotidiano dei dati attivo e funzionante? Misura di sicurezza richiesta dall'art. 32 GDPR. Backup criptato, almeno giornaliero, su supporto separato. Verifica periodicamente che il restore funzioni. Art. 32 GDPR — misure adeguate
11 Dipendenti formati e nominati come autorizzati al trattamento? Chi accede ai dati clienti deve essere autorizzato per iscritto e formato sulle regole. Una formazione l'anno è il minimo. Tieni registro delle nomine. Art. 29 + Art. 32(4) GDPR
12 Hai una procedura per gestire le richieste degli interessati? Cliente chiede i suoi dati, vuole cancellarli, vuole portarli a un altro fornitore — devi rispondere entro 30 giorni (1 mese). Procedura scritta + canale dedicato (email a [EMAIL]). Artt. 15-22 GDPR
13 Usi provider USA (Google, Meta, Stripe, cloud)? Hai verificato le SCCs? Trasferimento dati extra-UE leggi Standard Contractual Clauses pubblicate dalla Commissione. Verifica che il provider abbia DPA aggiornato post-Schrems II. Artt. 44-49 GDPR + sentenza Schrems II
14 Cancelli o anonimizzi dati dopo il termine di conservazione? Conservare "per sicurezza" oltre il necessario è violazione del principio di minimizzazione. Per dati clienti non più attivi: 7 anni di norma; per fatturazione: 10 anni. Art. 5(1)(e) GDPR
15 Hai aggiornato il registro dei trattamenti nell'ultimo anno? Il registro va aggiornato in caso di nuovi trattamenti (es. attivazione voice agent, nuovo canale di marketing) e comunque almeno annualmente. Art. 30(3) GDPR

Avvertenza — Questo documento è un modello informativo fornito a titolo orientativo e non costituisce consulenza legale. Le PMI restano responsabili dei propri adempimenti GDPR. Per studi medici, dentali, fisioterapici si consiglia verifica con DPO o consulente legale specializzato. Riferimenti: Reg. UE 2016/679 (GDPR) | D.Lgs 196/2003 mod. D.Lgs 101/2018 | garanteprivacy.it