A quasi otto anni dall'entrata in applicazione del GDPR, molte organizzazioni hanno completato la prima fase di adeguamento (informative, registro dei trattamenti, nomine DPO) ma trascurano la manutenzione ordinaria della compliance. Il GDPR non è un adempimento da fare una volta: è un sistema di gestione che richiede aggiornamenti periodici, specialmente quando cambiano le attività di trattamento, i fornitori o la normativa di riferimento.

Il 2026 porta con sé alcune novità rilevanti: l'aggiornamento delle linee guida EDPB (European Data Protection Board) sull'intelligenza artificiale e il trattamento dati [1], il consolidamento della giurisprudenza italiana sul legittimo interesse nel telemarketing [2], e l'estensione dell'applicazione del RPO a nuove categorie di operatori. Questa checklist tiene conto di tutti questi aggiornamenti.

Punto 1: Informativa Privacy Aggiornata sul Sito Web

L'informativa privacy (art. 13 GDPR) deve essere presente sul sito web e aggiornata ogni volta che cambiano le finalità di trattamento, le basi giuridiche o i fornitori che trattano dati per conto del titolare. Verificare che l'informativa contenga:

  • Identità e dati di contatto del titolare del trattamento
  • Finalità e basi giuridiche per ogni trattamento (incluso il prospecting telefonico se applicabile)
  • Categorie di dati trattati
  • Eventuali destinatari o categorie di destinatari
  • Trasferimenti verso paesi terzi (con garanzie applicabili)
  • Periodo di conservazione dei dati
  • Diritti dell'interessato (accesso, rettifica, cancellazione, opposizione, portabilità, limitazione)
  • Diritto di proporre reclamo al Garante

Frequenza di verifica raccomandata: semestrale, o immediatamente in caso di variazioni rilevanti.

Punto 2: Registro delle Attività di Trattamento (RAT)

Il Registro (art. 30 GDPR) deve documentare tutte le attività di trattamento svolte dall'organizzazione. Per ogni attività, deve indicare: titolare, finalità, categorie di interessati, categorie di dati, destinatari, trasferimenti extra-UE, tempi di conservazione, misure di sicurezza.

Per le attività di prospecting telefonico, la voce del RAT deve specificare la fonte dei dati (es. "elenchi pubblici leciti tramite TrovaNumero") e la base giuridica (es. "legittimo interesse ex art. 6.1.f, bilanciato con verifica RPO").

Frequenza di verifica raccomandata: annuale, o in caso di nuove attività di trattamento.

Punto 3: Verifica RPO Prima di Ogni Campagna

Prima di avviare qualsiasi campagna di contatto commerciale verso persone fisiche, è obbligatorio verificare che i numeri non siano iscritti al Registro Pubblico delle Opposizioni. La verifica deve essere:

  • Effettuata entro 15 giorni dall'avvio della campagna
  • Documentata (conservare il log di verifica con data, ora e numero di record verificati)
  • Ripetuta per ogni nuova campagna o per campagne che superano i 30 giorni di durata

Strumento: il portale ufficiale del RPO è disponibile su www.registrodelleopposizioni.it.

Punto 4: Contratti DPA con i Fornitori (Art. 28)

Ogni fornitore che tratta dati personali per conto del titolare (responsabile del trattamento) deve essere vincolato da un contratto DPA (Data Processing Agreement) ai sensi dell'art. 28 GDPR. Questo include:

  • Fornitori di piattaforme CRM (es. Salesforce, HubSpot, Zoho)
  • Fornitori di servizi di ricerca telefonica (es. TrovaNumero)
  • Fornitori di servizi di email marketing
  • Fornitori di servizi cloud con accesso ai dati
  • Consulenti esterni che accedono ai dati dei clienti

Frequenza di verifica raccomandata: annuale, o in caso di cambio fornitore.

Punto 5: Procedura per la Gestione dei Diritti degli Interessati

Il GDPR garantisce agli interessati una serie di diritti (artt. 15-22) che devono poter essere esercitati facilmente. L'organizzazione deve avere una procedura documentata per gestire le richieste di:

  • Accesso ai propri dati (art. 15) — risposta entro 30 giorni
  • Rettifica di dati inesatti (art. 16) — risposta entro 30 giorni
  • Cancellazione ("diritto all'oblio", art. 17) — risposta entro 30 giorni
  • Opposizione al trattamento (art. 21) — risposta immediata per marketing diretto
  • Portabilità dei dati (art. 20) — risposta entro 30 giorni

Attenzione: il diritto di opposizione al marketing diretto (art. 21.2) deve essere soddisfatto immediatamente e senza eccezioni. Non è possibile opporre motivazioni o ritardi.

Punto 6: Sicurezza dei Dati e Misure Tecniche

L'art. 32 GDPR richiede l'adozione di misure tecniche e organizzative adeguate per garantire la sicurezza dei dati. Per le organizzazioni che trattano dati di contatto per prospecting, le misure minime raccomandate includono:

  • Accesso ai dati limitato al personale autorizzato (principio del minimo privilegio)
  • Cifratura dei database contenenti dati personali
  • Backup regolari con verifica di ripristino
  • Password policy robusta e autenticazione a due fattori per i sistemi CRM
  • Procedura di gestione delle violazioni dei dati (data breach) con notifica al Garante entro 72 ore

Punto 7: Formazione del Personale

Il GDPR non è solo un problema legale: è un problema culturale. Il personale che tratta dati personali (commerciali, assistenza clienti, marketing) deve essere formato sulle procedure aziendali e sui propri obblighi. La formazione deve essere documentata e ripetuta periodicamente.

Punto 8: Valutazione d'Impatto (DPIA) per Trattamenti ad Alto Rischio

La DPIA (Data Protection Impact Assessment, art. 35) è obbligatoria quando un trattamento "può presentare un rischio elevato per i diritti e le libertà delle persone fisiche". Per le attività di prospecting, la DPIA è generalmente richiesta in caso di:

  • Profilazione sistematica su larga scala (>10.000 interessati)
  • Utilizzo di algoritmi di scoring o segmentazione automatizzata
  • Trattamento di categorie particolari di dati (salute, orientamento politico, ecc.)

Punto 9: Gestione dei Trasferimenti Extra-UE

Se l'organizzazione utilizza fornitori con server o sede fuori dall'UE, deve verificare che il trasferimento sia coperto da adeguate garanzie (SCC 2021, decisione di adeguatezza, BCR). Questo punto è spesso trascurato per i servizi cloud americani (AWS, Google Cloud, Microsoft Azure) che, pur avendo data center in Europa, possono essere soggetti alla giurisdizione USA.

Punto 10: Revisione Annuale della Compliance

La compliance GDPR non è statica. Ogni anno, il titolare del trattamento dovrebbe effettuare una revisione completa che includa: aggiornamento del RAT, verifica dei contratti DPA, aggiornamento dell'informativa, verifica delle procedure di gestione dei diritti, test delle misure di sicurezza e aggiornamento della formazione del personale.

Conclusioni: La Compliance come Processo, non come Evento

La compliance GDPR è un processo continuo, non un adempimento una tantum. Le organizzazioni che la trattano come tale — con verifiche periodiche, documentazione aggiornata e cultura della privacy diffusa — non solo evitano le sanzioni, ma costruiscono una reputazione di affidabilità che diventa un vantaggio competitivo nel mercato.

Riferimenti

[1] EDPB (2025). Guidelines on AI and Data Protection. https://edpb.europa.eu/ [2] Garante Privacy (2025). Provvedimenti in materia di telemarketing 2024-2025. https://www.garanteprivacy.it/ [3] Registro Pubblico delle Opposizioni. https://www.registrodelleopposizioni.it/