Ogni inizio anno è il momento buono per fare un check-up privacy della tua realtà. Ecco 10 punti pratici, con la domanda chiave per ciascuno. Se rispondi "sì" a tutti, sei in una buona posizione. Se rispondi "no" anche solo a uno, hai un'azione concreta da fare.

1. Informativa privacy sul sito

Domanda: sul sito aziendale c'è un'informativa privacy aggiornata, completa, conforme all'art. 13 GDPR?

L'informativa deve contenere:

  • Titolare del trattamento e contatti
  • Finalità e basi giuridiche
  • Categorie di dati trattati
  • Destinatari
  • Trasferimenti extra-UE
  • Periodo di conservazione
  • Diritti dell'interessato

Aggiornata significa revisionata negli ultimi 12 mesi.

2. Registro dei trattamenti

Domanda: esiste un registro dei trattamenti (art. 30 GDPR) con ogni tipo di trattamento documentato?

Per attività con volumi anche moderati, il registro è obbligatorio. Deve elencare, per ciascun trattamento:

  • Finalità
  • Categorie interessati e dati
  • Destinatari
  • Tempi di conservazione
  • Misure di sicurezza

3. Designazione DPO

Domanda: se i tuoi trattamenti lo richiedono, hai designato un DPO (Data Protection Officer)?

Il DPO è obbligatorio se:

  • Sei ente pubblico
  • Fai trattamenti sistematici su larga scala
  • Tratti dati sensibili su larga scala

Per un'agenzia immobiliare media non è obbligatorio, ma per uno studio legale che fa recupero crediti massivo sì.

4. Contratti con i fornitori (art. 28)

Domanda: ogni fornitore che tratta dati per tuo conto (CRM, email marketing, TrovaNumero, ecc.) ha firmato un contratto di trattamento conforme all'art. 28 GDPR?

Il contratto deve specificare:

  • Oggetto e durata
  • Natura e finalità
  • Categorie di dati
  • Obblighi del responsabile
  • Possibilità di audit
  • Destino dei dati a fine contratto

TrovaNumero fornisce un Data Processing Agreement standard su richiesta.

5. Trasferimenti extra-UE

Domanda: se i tuoi fornitori hanno server/sede extra-UE, hai documentato le Clausole Contrattuali Standard (SCC 2021) e il TIA (Transfer Impact Assessment)?

Dopo la sentenza Schrems II, trasferire dati fuori UE senza SCC e TIA è a rischio. I fornitori seri espongono la documentazione. Verifica attivamente.

6. Gestione diritti dell'interessato

Domanda: hai una procedura documentata per rispondere in 30 giorni alle richieste di accesso, rettifica, cancellazione, portabilità, opposizione?

La procedura deve:

  • Avere un canale dedicato (email privacy@...)
  • Identificare chi prende in carico
  • Avere template di risposta pre-approvati
  • Tracciare tempi e esiti

7. Verifica RPO

Domanda: prima di ogni campagna di telemarketing verifichi il Registro Pubblico delle Opposizioni?

La verifica è obbligatoria (art. 130 Codice Privacy). Puoi farla via API (se fai volumi) o tramite servizio terzo integrato nel CRM. In ogni caso, prima della chiamata.

8. Formazione del personale

Domanda: chi tratta dati personali (operatori, segretaria, commerciali) è formato sui principi GDPR?

Non serve un corso MBA: serve che ciascuno sappia:

  • Cos'è un dato personale
  • Cosa fare se riceve una richiesta di cancellazione
  • Come segnalare un sospetto data breach
  • Cosa evitare (inoltri email a destinatari sbagliati, lista clienti su pennette USB, ecc.)

Un training di 2 ore annuale copre la maggior parte dei casi.

9. Sicurezza tecnica minima

Domanda: i sistemi con cui tratti dati hanno le misure di sicurezza minime previste dall'art. 32 GDPR?

Minimum practice:

  • HTTPS su tutti i servizi web
  • Password robuste (e gestore password aziendale)
  • 2FA sulle piattaforme critiche
  • Backup criptati
  • Aggiornamenti sistema operativo regolari
  • Antivirus professionale
  • Accessi segregati (solo chi ha bisogno accede ai dati)

10. Incident response

Domanda: in caso di data breach, sai cosa fare nelle prime 72 ore?

Il GDPR (art. 33) impone notifica al Garante entro 72 ore dalla scoperta. Devi sapere:

  • Chi è il referente (titolare o DPO)
  • Come inviare la notifica al Garante (portale online)
  • Come notificare agli interessati se il rischio è alto
  • Come documentare l'incidente per audit futuri

Avere un piano scritto (anche una pagina) è molto meglio che improvvisare sotto pressione.

Risultati del check

  • 10/10: sei solido. Passa la checklist al DPO (se l'hai) per validazione formale.
  • 7-9/10: colma i buchi entro 3 mesi. Prioritizza contratti fornitori e verifica RPO.
  • 4-6/10: hai lavoro serio da fare. Considera un assessment esterno.
  • Meno di 4: rischio elevato. Ferma le campagne massive e risolvi i basici prima di ripartire.

Conclusione

La compliance non è un onere: è un'igiene che ti permette di lavorare più velocemente nel lungo periodo. Le aziende serie si riconoscono dal modo in cui trattano i dati di chi si fida di loro. I prossimi controlli del Garante premieranno chi si è organizzato.