Guida Completa al GDPR — Tutto Quello che Devi Sapere (Aggiornata 2026)

Questa guida spiega il GDPR in modo pratico: cos'è, a chi si applica, quali sono gli obblighi concreti per aziende e PA, quali sono le sanzioni, e cosa devi fare per essere conforme. Non teoria accademica: informazioni operative che puoi applicare subito.

Indice della guida

Cos'è il GDPR e perché esiste
A chi si applica
I 7 principi fondamentali
Le basi giuridiche del trattamento
I diritti degli interessati
Gli adempimenti obbligatori per le aziende
Le sanzioni GDPR
Il GDPR e i siti web
Il GDPR e l'intelligenza artificiale
Come adeguarsi: i passi operativi

1. Cos'è il GDPR e perché esiste

Il GDPR (General Data Protection Regulation) è il Regolamento (UE) 2016/679, entrato in applicazione il 25 maggio 2018. È la normativa europea che disciplina il trattamento dei dati personali delle persone fisiche nell'Unione Europea.

Nasce per rispondere a tre esigenze: uniformare la legislazione privacy nei 27 Stati membri (prima ogni Paese aveva regole diverse), rafforzare i diritti delle persone in un'epoca di economia digitale, e creare regole chiare per le organizzazioni che trattano dati, con un sistema di sanzioni efficace per chi non le rispetta.

Il GDPR non riguarda solo le aziende tech o i grandi gruppi. Si applica a qualsiasi organizzazione — pubblica o privata, grande o piccola — che tratti dati personali di persone fisiche nell'UE. Se hai dipendenti, clienti, fornitori, un sito web o una mailing list, il GDPR ti riguarda.

2. A chi si applica il GDPR

Il GDPR si applica a:

Tutte le organizzazioni stabilite nell'UE che trattano dati personali, indipendentemente dal fatto che il trattamento avvenga nel territorio dell'Unione o meno
Organizzazioni non stabilite nell'UE che trattano dati di persone fisiche che si trovano nell'Unione, se il trattamento riguarda l'offerta di beni o servizi (anche gratuiti) o il monitoraggio del comportamento nell'UE

In termini pratici, sono soggetti al GDPR: aziende di qualsiasi dimensione, professionisti, enti pubblici, associazioni, cooperative, liberi professionisti, e-commerce, startup, hotel, studi medici, scuole — chiunque tratti dati personali di persone fisiche.

Cosa sono i dati personali? Qualsiasi informazione che identifica o rende identificabile una persona fisica: nome, email, numero di telefono, indirizzo IP, dati di geolocalizzazione, cookie, codice fiscale, dati sanitari, immagini. La definizione è volutamente ampia.

3. I 7 principi fondamentali del GDPR

L'art. 5 del GDPR definisce i principi che devono governare ogni trattamento di dati personali:

Liceità, correttezza e trasparenza: i dati devono essere trattati in modo lecito (con una base giuridica valida), corretto e trasparente nei confronti dell'interessato
Limitazione della finalità: i dati devono essere raccolti per finalità determinate, esplicite e legittime, e non trattati in modo incompatibile con tali finalità
Minimizzazione dei dati: i dati raccolti devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità
Esattezza: i dati devono essere esatti e, se necessario, aggiornati. I dati inesatti vanno rettificati o cancellati
Limitazione della conservazione: i dati devono essere conservati per un periodo non superiore a quello necessario per le finalità del trattamento
Integrità e riservatezza: i dati devono essere trattati con misure di sicurezza adeguate, protetti da trattamenti non autorizzati, perdita, distruzione o danno
Accountability (responsabilizzazione): il Titolare del trattamento è responsabile del rispetto di tutti i principi e deve essere in grado di dimostrarlo

L'ultimo principio — l'accountability — è il più importante dal punto di vista pratico. Non basta essere conformi: devi poterlo dimostrare. Questo significa documentazione, procedure, registri, audit, formazione. La compliance non documentata non è compliance.

4. Le basi giuridiche del trattamento

Ogni trattamento di dati personali deve avere una base giuridica valida (art. 6 GDPR). Le basi giuridiche sono sei:

Consenso: l'interessato ha espresso il consenso al trattamento. Deve essere libero, specifico, informato e inequivocabile. Per il marketing diretto è la base più frequente (ma non l'unica).
Esecuzione di un contratto: il trattamento è necessario per eseguire un contratto di cui l'interessato è parte (es. dati del cliente per la fatturazione, dati del dipendente per il rapporto di lavoro).
Obbligo legale: il trattamento è necessario per adempiere a un obbligo di legge (es. comunicazione dei dati alla Questura per gli hotel, conservazione delle fatture per 10 anni).
Interessi vitali: il trattamento è necessario per proteggere gli interessi vitali dell'interessato o di un'altra persona (es. emergenza sanitaria). Usata raramente.
Interesse pubblico: il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri (base tipica della PA).
Legittimo interesse: il trattamento è necessario per il perseguimento del legittimo interesse del Titolare o di un terzo, a condizione che non prevalgano gli interessi o i diritti dell'interessato. Richiede un bilanciamento documentato (LIA — Legitimate Interest Assessment).

Un errore frequente è pensare che il consenso sia sempre necessario. Non è così: molti trattamenti aziendali si basano sull'esecuzione di un contratto, sull'obbligo legale o sul legittimo interesse. Usare la base giuridica sbagliata è una non conformità.

5. I diritti degli interessati

Il GDPR attribuisce alle persone fisiche una serie di diritti che le organizzazioni devono rispettare:

Diritto di accesso (art. 15): l'interessato ha il diritto di sapere se i suoi dati sono trattati, e in tal caso di ottenerne copia e informazioni dettagliate sul trattamento
Diritto di rettifica (art. 16): l'interessato può chiedere la correzione dei dati inesatti
Diritto alla cancellazione (art. 17): il cosiddetto "diritto all'oblio" — l'interessato può chiedere la cancellazione dei propri dati quando non sono più necessari, quando revoca il consenso, o quando il trattamento è illecito. Esistono eccezioni (obblighi legali, interesse pubblico)
Diritto alla limitazione (art. 18): in certi casi l'interessato può chiedere che il trattamento sia limitato (i dati vengono conservati ma non utilizzati)
Diritto alla portabilità (art. 20): l'interessato può ottenere i propri dati in formato strutturato e leggibile da macchina, e trasmetterli a un altro Titolare
Diritto di opposizione (art. 21): l'interessato può opporsi al trattamento basato su legittimo interesse o interesse pubblico, e al trattamento per marketing diretto (in quest'ultimo caso, l'opposizione è assoluta)

L'organizzazione deve rispondere alle richieste degli interessati entro 30 giorni (prorogabili a 90 in casi complessi). Serve una procedura interna per gestire queste richieste in modo documentato.

6. Gli adempimenti obbligatori per le aziende

Il registro dei trattamenti

Il registro dei trattamenti (art. 30) è il documento che mappa tutti i trattamenti di dati personali dell'organizzazione. È obbligatorio in pratica per tutte le aziende e il primo documento che il Garante chiede in caso di ispezione.

Le informative

Le informative privacy (artt. 13-14) comunicano agli interessati come vengono trattati i loro dati. Servono informative separate per ogni flusso di dati: dipendenti, clienti, fornitori, sito web, videosorveglianza.

Le nomine

I fornitori che trattano dati per conto del Titolare devono essere nominati responsabili del trattamento con un contratto conforme all'art. 28 (es. consulente del lavoro, commercialista, hosting provider, CRM). I dipendenti che accedono ai dati devono essere designati come autorizzati al trattamento (art. 29).

La DPIA

La Valutazione d'Impatto (DPIA) è obbligatoria per i trattamenti ad alto rischio: videosorveglianza su larga scala, profilazione, dati sanitari, nuove tecnologie (art. 35).

Il DPO

Il Data Protection Officer (DPO) è obbligatorio per enti pubblici, organizzazioni che trattano dati su larga scala e organizzazioni che trattano dati particolari su larga scala (art. 37). Per tutti gli altri è raccomandato.

Le procedure data breach

In caso di violazione dei dati personali (data breach), il Titolare deve notificare il Garante entro 72 ore (art. 33) e, se la violazione presenta un rischio elevato, informare anche gli interessati (art. 34). Serve una procedura interna pronta prima che l'evento si verifichi.

La formazione del personale

Chiunque tratti dati sotto l'autorità del Titolare deve essere istruito (art. 29). La formazione è un obbligo implicito e deve essere documentata con attestati.

7. Le sanzioni GDPR

Il GDPR prevede due fasce di sanzioni amministrative:

Fino a 10 milioni di euro o il 2% del fatturato annuo globale (il maggiore dei due) per violazioni relative a: obblighi del Titolare e del Responsabile, obblighi dell'organismo di certificazione, obblighi dell'organismo di controllo (art. 83, comma 4)
Fino a 20 milioni di euro o il 4% del fatturato annuo globale (il maggiore dei due) per violazioni relative a: principi base del trattamento, diritti degli interessati, trasferimenti di dati verso paesi terzi, disposizioni degli Stati membri (art. 83, comma 5)

Le sanzioni non sono solo per le grandi aziende. Il Garante italiano sanziona regolarmente PMI, Comuni, singoli professionisti e associazioni. Le sanzioni tengono conto della gravità della violazione, della durata, del numero di interessati coinvolti, della cooperazione con il Garante e delle misure adottate per mitigare il danno.

Oltre alle sanzioni pecuniarie, il Garante può imporre: divieto di trattamento, limitazione del trattamento, rettifica o cancellazione dei dati, sospensione dei flussi di dati verso paesi terzi.

8. Il GDPR e i siti web

Il sito web è uno dei punti più esposti al rischio di non conformità. Gli aspetti principali:

Privacy policy: obbligatoria, deve indicare il Titolare, le finalità, le basi giuridiche, i destinatari, i tempi di conservazione, i diritti degli interessati. Deve essere accessibile da ogni pagina del sito.
Cookie e tracciamento: tutti i cookie non strettamente tecnici richiedono il consenso preventivo dell'utente. Il cookie banner deve essere conforme alle Linee guida del Garante del 2021: no scrolling come consenso, no cookie wall, possibilità di rifiutare con pari evidenza.
Form di contatto: ogni form che raccoglie dati personali deve essere collegato a un'informativa. Il link all'informativa deve essere visibile prima dell'invio.
Google Analytics e strumenti di tracciamento: GA4 con configurazione corretta è utilizzabile con consenso preventivo. Vanno mappati tutti gli script di terze parti attivi sul sito.

Per una verifica completa, consulta il nostro servizio di consulenza cookie e siti web.

9. Il GDPR e l'intelligenza artificiale

L'intelligenza artificiale pone sfide specifiche al GDPR: i sistemi di AI trattano spesso grandi quantità di dati personali, possono effettuare profilazione e decisioni automatizzate, e il loro funzionamento può essere opaco (black box).

Il GDPR già prevede tutele rilevanti: l'art. 22 conferisce alle persone il diritto di non essere soggette a decisioni basate unicamente su trattamenti automatizzati, compresa la profilazione, che producano effetti giuridici o significativi. L'art. 35 impone la DPIA per i trattamenti con nuove tecnologie che presentano rischi elevati.

Con l'entrata in vigore dell'AI Act (Regolamento UE 2024/1689), il quadro normativo si completa: i sistemi di AI ad alto rischio devono rispettare requisiti di trasparenza, supervisione umana, qualità dei dati e gestione dei rischi. L'intersezione tra GDPR e AI Act richiede una valutazione congiunta degli obblighi.

10. Come adeguarsi al GDPR: i passi operativi

L'adeguamento al GDPR non è un evento una tantum: è un processo continuo. Ecco i passi operativi per partire:

Passo 1 — Check iniziale

Analizza la situazione attuale: quali dati tratti, per quali finalità, con quali strumenti, con chi li condividi, che documentazione hai già. Un audit privacy è il modo più rapido per capire dove sei e dove devi arrivare.

Passo 2 — Registro dei trattamenti

Predisponi il registro dei trattamenti con tutti i trattamenti mappati. È il documento fondante su cui si costruisce tutto il resto.

Passo 3 — Informative e nomine

Redigi le informative per ogni flusso di dati e le nomine per i responsabili (art. 28) e gli autorizzati (art. 29).

Passo 4 — Procedure interne

Definisci le procedure per gestire data breach, richieste degli interessati, conservazione e cancellazione dei dati.

Passo 5 — DPIA e DPO

Valuta se i tuoi trattamenti richiedono una DPIA e se hai l'obbligo o l'opportunità di nominare un DPO.

Passo 6 — Formazione

Forma il personale con un percorso adeguato al loro ruolo, documentato con attestati.

Passo 7 — Manutenzione

Aggiorna la documentazione ogni volta che cambia qualcosa (nuovi trattamenti, nuovi fornitori, nuove tecnologie). Conduci audit periodici per verificare che il sistema funzioni.

Hai bisogno di supporto per adeguarti al GDPR?

Contattami per un check iniziale gratuito. In 30 minuti capiamo insieme la tua situazione, le priorità e i costi.

Richiedi un check gratuito Scopri la consulenza GDPR

Risorse correlate

→ DPO Esterno: servizio e vantaggi
→ Consulenza GDPR per aziende
→ Registro dei trattamenti: cos'è e come compilarlo
→ DPIA: quando è obbligatoria
→ GDPR per hotel e strutture ricettive
→ GDPR per la Pubblica Amministrazione
→ GDPR per e-commerce
→ Checklist GDPR gratuita per PMI