14 aprile 2026 · Dott. Pietro Cravero

Adeguamento GDPR per PMI: Guida Passo-Passo (2026)

Se hai una PMI e il GDPR ti sembra una montagna impossibile da scalare, questa guida ti aiuta a suddividerla in passi gestibili. Non è teoria accademica: è il percorso operativo che uso concretamente con i miei clienti per portarli alla conformità in 15-30 giorni.

L'adeguamento GDPR non è un evento ma un processo. Ti spiego come si costruisce, cosa serve in ogni fase, quanto tempo ci vuole e cosa ricevi alla fine.

Passo 1 — Check iniziale della situazione attuale

Prima di fare qualsiasi cosa, serve capire dove sei. Un check iniziale risponde a quattro domande: quali dati personali tratti, con quali finalità, chi li tratta, quali documenti hai già prodotto.

In pratica, in una videocall di 30-45 minuti analizziamo: settore e tipologia di clienti, numero di dipendenti e collaboratori, flussi di dati principali, gestionali e software utilizzati, fornitori che accedono ai dati, documentazione GDPR esistente (spesso parziale o obsoleta), situazione del sito web.

Tempo: 30-45 minuti. Output: una prima valutazione e la lista delle priorità. Questo passo è gratuito.

Passo 2 — Mappatura dei trattamenti

Il cuore dell'adeguamento è la mappatura completa dei trattamenti. Non si tratta solo di "raccogliere dati dei clienti": bisogna capire esattamente cosa succede ai dati dal momento in cui entrano nell'organizzazione al momento in cui vengono cancellati.

Per una PMI tipica, i trattamenti includono: gestione clienti (contatti, fatturazione, CRM), gestione fornitori, gestione dipendenti e collaboratori, sito web e form di contatto, newsletter e marketing (se presente), videosorveglianza (se presente), dati dei candidati in selezione.

Per ogni trattamento vanno identificati: finalità, base giuridica, categorie di dati, interessati, destinatari, tempi di conservazione, misure di sicurezza.

Tempo: 2-5 giorni lavorativi. Output: registro dei trattamenti completo e aggiornato.

Passo 3 — Predisposizione delle informative

Una volta mappati i trattamenti, si possono scrivere le informative coerenti con la realtà. Per una PMI servono almeno: informativa dipendenti, informativa clienti, informativa fornitori, informativa per il sito web (privacy policy), informativa videosorveglianza (se applicabile), informativa newsletter (se applicabile).

Le informative NON devono essere copiate da template generici. Ogni informativa riflette i trattamenti reali mappati nel registro: stesse finalità, stesse basi giuridiche, stessi destinatari, stessi tempi. La coerenza interna è fondamentale per resistere a un'ispezione.

Tempo: 3-5 giorni lavorativi. Output: set completo di informative personalizzate.

Passo 4 — Nomine e designazioni

I fornitori che trattano dati per conto dell'azienda vanno nominati responsabili del trattamento (art. 28) con un contratto specifico. Esempi tipici: commercialista, consulente del lavoro, hosting provider, gestionale cloud, software CRM, tool newsletter, cloud storage, agenzia di marketing.

I dipendenti che accedono ai dati vanno designati come autorizzati al trattamento (art. 29) con lettere che indicano le istruzioni operative, gli obblighi di riservatezza e le conseguenze delle violazioni.

Tempo: 2-3 giorni lavorativi. Output: contratti art. 28 per ogni fornitore + designazioni art. 29 per ogni dipendente/collaboratore.

Passo 5 — Procedure operative

Servono procedure scritte per gestire gli eventi che possono accadere: data breach (chi fa cosa entro 72 ore), richieste degli interessati (come rispondere entro 30 giorni), conservazione e cancellazione (calendario delle cancellazioni periodiche), gestione dei fornitori (come valutare nuovi fornitori dal punto di vista privacy).

Le procedure non devono essere manuali complessi. Per una PMI, 5-10 pagine di procedure pratiche sono sufficienti. L'importante è che siano chiare e che le persone coinvolte le conoscano.

Tempo: 1-2 giorni lavorativi. Output: procedure operative interne.

Passo 6 — Valutazione DPIA e DPO

A questo punto bisogna valutare due cose: la tua organizzazione ha bisogno di una DPIA? Deve nominare un DPO?

La DPIA è obbligatoria per trattamenti ad alto rischio: videosorveglianza estesa, profilazione, dati particolari su larga scala, monitoraggio dipendenti. Per la maggior parte delle PMI con trattamenti standard non serve. Ma se presente, va redatta prima di avviare il trattamento.

Il DPO è obbligatorio per chi tratta dati particolari su larga scala o effettua monitoraggio regolare e sistematico. La maggior parte delle PMI non rientra nell'obbligo, ma può valutare la nomina volontaria.

Tempo: 1 giorno (se non serve) o 3-5 giorni (se serve DPIA). Output: documentazione DPIA se applicabile.

Passo 7 — Messa a norma del sito web

Il sito web richiede un trattamento separato: privacy policy specifica, cookie policy, cookie banner con consenso preventivo, blocco tag fino al consenso, nomine art. 28 per i fornitori tech (hosting, analytics, CRM, newsletter).

Per un sito vetrina il lavoro è rapido. Per un e-commerce o un sito con molti fornitori terzi, serve un intervento più strutturato. In ogni caso, un sito non conforme è tra le violazioni più facili da individuare per il Garante.

Tempo: 2-3 giorni lavorativi. Output: sito a norma con cookie banner conforme.

Passo 8 — Formazione del personale

Chiunque tratti dati personali in azienda deve essere formato e istruito. La formazione non è un adempimento formale: è il modo per trasformare i dipendenti da rischio a prima linea di difesa.

Per una PMI, un corso di 1-2 ore con test di apprendimento e rilascio di attestati è sufficiente per il corso base. Per ruoli specifici (HR, marketing, IT, reception) sono utili sessioni dedicate.

Tempo: 1-2 giorni (progettazione + erogazione). Output: registro presenze, test, attestati nominativi.

Tempi e costi totali per una PMI

Riepilogo generale per una PMI fino a 30 dipendenti con trattamenti standard:

• Tempi totali: 15-25 giorni lavorativi per l'adeguamento completo, di cui circa 10 giorni di lavoro attivo del consulente e il resto di attesa/revisione/completamento dati
• Costi indicativi: da 1.500 a 3.500 euro per l'adeguamento documentale completo (ricevi registro, informative, nomine, procedure, formazione, verifica sito)
• Mantenimento: 500-1.500 euro/anno per audit periodico, aggiornamento documenti e assistenza continuativa

Per approfondire i costi, leggi l'articolo Sanzioni GDPR 2026: il costo dell'adeguamento è sempre inferiore al costo di una sanzione.

Checklist finale: sei davvero a norma?

Dopo l'adeguamento, verifica di avere tutto questo:

• Registro dei trattamenti completo e aggiornato
• Informative per ogni flusso di dati
• Nomine art. 28 per tutti i fornitori che accedono ai dati
• Designazioni art. 29 per tutti i dipendenti
• Procedure data breach scritte e testate
• Procedura per gestire le richieste degli interessati
• Policy di conservazione e cancellazione
• Sito web con privacy policy, cookie policy e cookie banner conforme
• DPIA (se applicabile)
• DPO nominato e comunicato al Garante (se obbligatorio)
• Formazione del personale documentata con attestati

Se manca qualcuno di questi punti, non sei ancora conforme. Scarica la checklist GDPR completa per una verifica più dettagliata.