- Categoria
- Privacy e GDPR
- Pubblicato
- 5 giugno 2026
- Ultimo aggiornamento
- 5 giugno 2026
- Tempo di lettura
- 4 min (739 parole)
- Autore
- A cura della Redazione 123Formazione
A cura della Redazione 123Formazione
Revisione: team tecnico sicurezza
Ultimo aggiornamento: 5 giugno 2026
La privacy riguarda anche le piccole imprese
Un equivoco diffuso è che il GDPR riguardi solo le grandi organizzazioni. In realtà il Regolamento si applica a chiunque tratti dati personali nello svolgimento di un’attività, comprese le piccole e medie imprese e i liberi professionisti. Anche una PMI gestisce ogni giorno dati di clienti, fornitori e dipendenti, e quindi deve garantirne un trattamento lecito e sicuro.
Il GDPR introduce un approccio proporzionato: gli adempimenti vanno calibrati sui rischi concreti e sulla natura dei trattamenti. Una piccola impresa non dovrà necessariamente costruire la stessa struttura di una multinazionale, ma dovrà comunque presidiare alcuni adempimenti fondamentali, che vediamo di seguito.
Le informative agli interessati
L’informativa è il documento con cui l’azienda comunica in modo trasparente alle persone (clienti, utenti, dipendenti, candidati) chi tratta i loro dati, per quali finalità, su quali basi giuridiche, per quanto tempo li conserva e quali diritti possono esercitare. È espressione del principio di trasparenza ed è uno degli adempimenti più visibili del GDPR.
Le informative devono essere fornite con un linguaggio chiaro e comprensibile e adattate ai diversi contesti: il sito web, i moduli di contatto, i contratti, la gestione del rapporto di lavoro. Dove il trattamento si basa sul consenso, occorre raccoglierlo in modo libero, specifico, informato e inequivocabile, e conservare evidenza di averlo ottenuto.
Il registro delle attività di trattamento
Il registro delle attività di trattamento è il documento che mappa "chi tratta cosa": elenca i trattamenti svolti dall’azienda, le finalità, le categorie di interessati e di dati, i destinatari, i tempi di conservazione e, in termini generali, le misure di sicurezza adottate. È uno strumento centrale dell’accountability, perché fotografa in modo ordinato la realtà dei trattamenti.
Il GDPR prevede alcune esenzioni per le organizzazioni con meno di un certo numero di dipendenti, ma con eccezioni rilevanti: l’obbligo permane, ad esempio, quando i trattamenti non sono occasionali oppure quando riguardano categorie particolari di dati. Nella pratica, la quasi totalità delle imprese tratta dati di dipendenti in modo continuativo, per cui tenere un registro aggiornato è una scelta consigliabile e spesso dovuta.
Oltre a essere un obbligo, il registro è anche uno strumento di lavoro utile: aiuta l’impresa a capire quali dati possiede e come li gestisce, evidenziando eventuali criticità e supportando decisioni più consapevoli in materia di sicurezza e organizzazione.
Le misure di sicurezza adeguate
Il GDPR non impone un elenco rigido di misure di sicurezza valide per tutti, ma richiede misure tecniche e organizzative adeguate al rischio. L’azienda deve quindi valutare i rischi dei propri trattamenti e adottare protezioni proporzionate: controllo degli accessi, password robuste, aggiornamento dei sistemi, backup, antivirus, gestione dei dispositivi e dei supporti, oltre a procedure organizzative chiare.
Accanto alle misure tecniche, contano molto quelle organizzative: la designazione e la formazione degli autorizzati, le istruzioni operative, la gestione ordinata di documenti cartacei e archivi, le regole per l’uso degli strumenti aziendali. La protezione dei dati nasce dalla combinazione di tecnologia e comportamenti corretti delle persone.
La gestione del data breach
Per data breach si intende una violazione di sicurezza che comporta, in modo accidentale o illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali. Esempi tipici sono lo smarrimento di un dispositivo, un attacco ransomware, l’invio di dati alla persona sbagliata o un accesso abusivo agli archivi.
Il GDPR prevede che, in presenza di un rischio per i diritti e le libertà degli interessati, il Titolare notifichi la violazione al Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Quando il rischio per le persone è elevato, può essere necessario informare anche gli interessati. È quindi fondamentale dotarsi di una procedura interna che consenta di rilevare, valutare e gestire tempestivamente gli incidenti.
Vale la pena ricordare che il GDPR prevede sanzioni amministrative significative, con massimi commisurati al fatturato globale annuo e graduati secondo la gravità della violazione. Più che inseguire la "regola formale", però, l’obiettivo di una PMI dovrebbe essere costruire un’organizzazione affidabile. Con 123Formazione puoi formare il personale su informative, registro, sicurezza e gestione del data breach con corsi in aula, videoconferenza ed e-learning e attestato valido in tutta Italia.
Domande frequenti
La formazione GDPR è obbligatoria per i dipendenti che trattano dati personali?
Sì. Il Reg. UE 2016/679 (GDPR), agli artt. 29, 32 e 39, impone al titolare e al responsabile del trattamento di garantire che le persone autorizzate ad accedere ai dati personali siano formate e operino secondo istruzioni documentate. Il Garante Privacy italiano ha più volte confermato la natura obbligatoria della formazione del personale: la sua assenza configura una violazione del principio di accountability (art. 5.2 GDPR) ed è valutata dal Garante in sede sanzionatoria.
Chi sono gli "autorizzati al trattamento" ai sensi dell’art. 29 del GDPR?
Sono le persone fisiche che, sotto l’autorità del titolare o del responsabile del trattamento, accedono e trattano dati personali nell’ambito delle proprie mansioni: tipicamente dipendenti, collaboratori, stagisti, somministrati. L’art. 2-quaterdecies del D.Lgs 196/2003 novellato dal D.Lgs 101/2018 disciplina la loro designazione, che deve avvenire per iscritto con istruzioni operative documentate. La formazione è il presupposto per poter validamente autorizzare al trattamento.
Quanto dura un corso base di formazione privacy/GDPR per i dipendenti?
Non esiste una durata fissata per legge: la prassi, e gli orientamenti delle Autorità di controllo europee (EDPB), indicano un percorso base di 4-8 ore per gli autorizzati al trattamento, modulato in funzione della tipologia di dati trattati (comuni, particolari, giudiziari), del settore e dell’esposizione al rischio. Per figure più esposte (HR, marketing, IT, sanità) sono opportune sessioni più approfondite e specialistiche.
Ogni quanto va aggiornata la formazione privacy aziendale?
Il GDPR non fissa una periodicità rigida, ma il principio di accountability (art. 5.2) impone di mantenere la formazione adeguata e attuale. La prassi consolidata, supportata dalle linee guida del Garante e dell’EDPB, è quella di un aggiornamento almeno annuale e di sessioni straordinarie in caso di modifiche normative, nuovi trattamenti, data breach, riorganizzazioni o introduzione di nuove tecnologie (es. AI Act, sistemi di videosorveglianza, biometrica).
Qual è la differenza tra titolare, responsabile, sub-responsabile e autorizzato del trattamento?
Il titolare (art. 4.7 GDPR) determina finalità e mezzi del trattamento e ne assume la responsabilità complessiva. Il responsabile (art. 28) tratta i dati per conto del titolare sulla base di un contratto scritto (DPA - Data Processing Agreement). Il sub-responsabile è un fornitore di secondo livello che il responsabile può nominare con autorizzazione del titolare. L’autorizzato (art. 29 e art. 2-quaterdecies del D.Lgs 196/2003) è la persona fisica che opera sotto l’autorità del titolare o del responsabile e tratta i dati secondo istruzioni.
Quando è obbligatorio nominare un DPO (Data Protection Officer)?
L’art. 37 del GDPR rende obbligatoria la nomina del DPO (o RPD - Responsabile della Protezione dei Dati) in tre casi: trattamento effettuato da un’autorità pubblica o organismo pubblico (esclusi i tribunali); attività principale del titolare/responsabile che consista in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; attività principale che consista nel trattamento su larga scala di categorie particolari di dati (art. 9) o di dati relativi a condanne penali (art. 10). Il Garante e le linee guida EDPB WP243 chiariscono i concetti di "larga scala" e "monitoraggio sistematico".
Corsi correlati
Hai bisogno di assistenza sulla formazione della tua azienda?
Il nostro team verifica gratuitamente il piano formativo e ti propone le soluzioni più adatte al tuo settore.
ContattaciAltre guide utili
Formazione sicurezza obbligatoria: chi deve farla e ogni quanto
Tutto quello che datori di lavoro e lavoratori devono sapere sugli obblighi formativi previsti dal Testo Unico sulla sicurezza.
Corsi obbligatori per codice ATECO: come capire quali servono
Il codice ATECO determina il livello di rischio e quindi i corsi obbligatori: ecco come orientarsi.
Scadenze e aggiornamento degli attestati di sicurezza
Una panoramica chiara delle periodicità di aggiornamento per non far scadere la formazione aziendale.
HACCP: obblighi, livelli e validità per il settore alimentare
Tutto sul corso HACCP obbligatorio per chi lavora a contatto con gli alimenti.
Corso preposti: ruolo, obblighi di vigilanza e durata
Il preposto è il garante della sicurezza sul campo: ecco cosa fa, cosa rischia e qual è la formazione obbligatoria.
Corso dirigenti per la sicurezza: chi è e cosa deve fare
Il dirigente attua le politiche di sicurezza decise dal datore di lavoro: ecco compiti, responsabilità e formazione richiesta.