Protezione dati personali

Consulenza Privacy, Documentazione GDPR e Nomina DPO

Il Regolamento UE 2016/679 (GDPR) e il successivo D.Lgs. 101/2018 hanno ridisegnato completamente la disciplina della protezione dei dati personali, imponendo a tutte le aziende che trattano dati di persone fisiche — in formato digitale o cartaceo — un nuovo insieme di obblighi, responsabilità e tutele. A distanza di oltre sette anni dall’entrata in vigore, il quadro normativo continua a evolvere: le recenti sanzioni record irrogate dal Garante Privacy e la proposta di Digital Omnibus della Commissione Europea (novembre 2025) dimostrano che la compliance GDPR non è un progetto “una tantum”, ma un processo di manutenzione continua.

Ecloga Italia affianca le aziende in ogni fase del percorso di adeguamento, dalla prima valutazione dei trattamenti alla gestione operativa quotidiana, garantendo conformità, sicurezza dei dati e tutela dai rischi sanzionatori.

Cos’è il GDPR e a chi si applica

Il Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation, in sigla GDPR) è il Regolamento UE 2016/679, entrato in applicazione il 25 maggio 2018, che disciplina il trattamento dei dati personali delle persone fisiche nell’Unione Europea. In Italia è affiancato dal D. Lgs. 101/2018, che ha adeguato il preesistente Codice Privacy (D. Lgs. 196/2003) al nuovo quadro europeo.

Il GDPR si applica a qualsiasi soggetto, azienda privata, ente pubblico, professionista, associazione, che tratti dati personali di persone fisiche, indipendentemente dalle dimensioni dell’organizzazione o dal settore di attività.

Non esistono soglie minime di esenzione: il Regolamento riguarda anche piccoli studi, il sito web che raccoglie e-mail dai form, l’azienda che gestisce il database dei dipendenti. Per “trattamento” si intende qualunque operazione effettuata su dati che identificano o rendono identificabile una persona fisica: anagrafica, email, numeri di telefono, codice fiscale, immagini, dati di salute, dati biometrici, abitudini di consumo, e molti altri.

I principi fondamentali: accountability, privacy by design e by default

Rispetto alla normativa precedente, il GDPR introduce un cambio di paradigma: non è più sufficiente adempiere formalmente a una lista di obblighi, ma è l’azienda stessa a dover dimostrare attivamente la propria conformità. Questo principio prende il nome di accountability (responsabilizzazione) ed è sancito dall’art. 5, par. 2 del Regolamento. Due principi cardine guidano l’approccio al trattamento:

  • Privacy by Design: la protezione dei dati deve essere integrata fin dalla fase di progettazione di un processo, prodotto o servizio. Non è un’aggiunta successiva, ma una caratteristica strutturale.
  • Privacy by Default: le impostazioni predefinite di qualsiasi sistema che tratta dati personali devono essere, per impostazione, le più protettive possibili; solo l’utente può scegliere di abbassare il livello di tutela, non subirlo passivamente.

L’intero quadro normativo ruota attorno alle figure del Titolare del Trattamento (chi decide finalità e mezzi del trattamento) e del Responsabile del Trattamento (chi tratta dati per conto del titolare), con compiti e responsabilità ridefiniti dagli artt. 24-28 del GDPR.

Gli obblighi documentali: registro dei trattamenti, informative, DPIA

La compliance GDPR si fonda su un corpus documentale strutturato che ogni azienda deve predisporre, aggiornare e mantenere disponibile in caso di ispezione del Garante.

Registro delle attività di trattamento: previsto dall’art. 30 del Regolamento, il registro dei trattamenti è il documento che mappa tutti i trattamenti di dati personali effettuati dall’azienda: finalità, categorie di interessati e di dati, destinatari, tempi di conservazione, misure di sicurezza. L’obbligo grava su titolari e responsabili, con alcune esenzioni parziali per organizzazioni sotto i 250 dipendenti (in fase di revisione con la proposta Digital Omnibus).

Informative agli interessati: gli artt. 13 e 14 del GDPR impongono di fornire agli interessati (dipendenti, clienti, fornitori, utenti del sito web) informazioni chiare e complete su come i loro dati vengono trattati: finalità, base giuridica, tempi di conservazione, diritti esercitabili. L’informativa deve essere concisa, trasparente, intelligibile e facilmente accessibile.

Valutazione d’impatto sulla protezione dei dati (DPIA): l’art. 35 impone, per i trattamenti che presentano un rischio elevato per i diritti e le libertà delle persone fisiche, la redazione preventiva di una DPIA (Data Protection Impact Assessment). Rientrano tipicamente in questa categoria trattamenti su larga scala di categorie particolari di dati, monitoraggio sistematico di aree accessibili al pubblico, valutazioni automatizzate con effetti significativi.

Nomine e autorizzazioni: ogni figura che tratta dati personali deve essere formalmente autorizzata: dipendenti (art. 29 GDPR), responsabili esterni (art. 28, tramite contratto di nomina — il cosiddetto DPA, Data Processing Agreement), sub-responsabili. La mancanza di queste designazioni configura un’autonoma violazione sanzionabile.

Il Data Protection Officer (DPO): chi è e quando è obbligatorio

Il Data Protection Officer (DPO), in italiano Responsabile della Protezione dei Dati (RPD), è la figura introdotta dal GDPR con il compito di sorvegliare l’osservanza della normativa privacy all’interno di un’organizzazione.

Quando la nomina è obbligatoria: l’art. 37 del GDPR prevede l’obbligo di nomina in tre casistiche:

  • trattamento effettuato da un’autorità pubblica o organismo pubblico;
  • attività principali del titolare che consistono in trattamenti su larga scala che richiedono il monitoraggio regolare e sistematico degli interessati (es. sistemi di videosorveglianza estesa, geolocalizzazione flotte aziendali, gestione di grandi piattaforme online);
  • attività principali che consistono nel trattamento su larga scala di categorie particolari di dati (dati sanitari, biometrici, giudiziari).

Al di fuori di questi casi la nomina è facoltativa, ma spesso consigliata: aziende con volumi di dati complessi o settori soggetti a ispezioni frequenti (sanitario, educativo, finanziario, HR, informatico) beneficiano dell’avere un DPO dedicato anche in assenza di obbligo formale. Inoltre, il Garante ha stilato un elenco di settori per i quali la nomina risulta, di fatto, obbligatoria.

L’art. 39 elenca i compiti minimi del DPO, che deve operare in piena autonomia e indipendenza:

  • informare e consigliare il titolare e i dipendenti sugli obblighi derivanti dal GDPR;
  • sorvegliare l’osservanza del Regolamento e delle politiche interne di protezione dei dati;
  • fornire pareri sulla DPIA e sorvegliarne lo svolgimento;
  • cooperare con il Garante e fungere da punto di contatto per il Garante e per gli interessati;
  • valutare i rischi associati ai trattamenti.

Il DPO può essere una figura interna (dipendente dell’azienda, senza conflitto di interessi ne posizioni dirigenziali) o esterna (professionista o società specializzata), purché possieda adeguate competenze giuridiche, tecniche e di gestione dei processi.

Sanzioni: quanto rischia un’azienda non conforme

Il GDPR prevede un sistema sanzionatorio articolato su due livelli, disciplinati dall’art. 83:

  • Fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore, per violazioni di obblighi come la tenuta del registro, la notifica di data breach, la DPIA, la designazione del DPO.
  • Fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale annuo, per violazioni dei principi fondamentali (liceità, correttezza, minimizzazione, limitazione delle finalità), dei diritti degli interessati, delle basi giuridiche del trattamento.

Il Garante Privacy italiano è tra le autorità più attive in Europa. Nel solo 2024 sono state irrogate sanzioni per oltre 80 milioni di euro complessivi, con casi recenti che hanno coinvolto grandi gruppi bancari e società postali con sanzioni singole nell’ordine delle decine di milioni di euro. Ma il sistema sanzionatorio colpisce anche la piccola e media impresa: il Garante ha pubblicato nell’ultimo anno decine di provvedimenti con ammende da 2.000 a 50.000 euro per PMI, tipicamente a seguito di reclami individuali.

Oltre alla sanzione economica, vanno considerati danni reputazionali (i provvedimenti sono pubblici e indicizzati dai motori di ricerca), blocco dei trattamenti (che può paralizzare attività operative) e possibili richieste di risarcimento da parte degli interessati.

Servizi Ecloga per la conformità privacy GDPR

Ecloga Italia affianca le aziende in ogni fase del percorso di adeguamento al GDPR, con servizi calibrati sulla dimensione e sulla complessità dell’organizzazione.

Consulenza e documentazione GDPR

Redazione della documentazione GDPR, tra cui analisi dei trattamenti, predisposizione del registro dei trattamenti, redazione delle informative per dipendenti, clienti, fornitori e utenti web, preparazione dei contratti di nomina a responsabile (DPA) e degli atti di designazione degli autorizzati. Redazione di DPIA per i trattamenti ad alto rischio e mantenimento della documentazione aggiornata nel tempo.

Nomina a Data Protection Officer (DPO)

Assumiamo l’incarico di DPO esterno per aziende private ed enti pubblici, fornendo la figura prevista dagli artt. 37-39 del GDPR con le competenze giuridiche, tecniche e organizzative richieste. Il servizio include registrazione al Garante, presidio continuativo, formazione periodica del personale, gestione dei rapporti con interessati e Autorità, supporto in caso di data breach e ispezioni.

Audit privacy e gap analysis

Verifichiamo lo stato di conformità esistente della tua azienda e identifichiamo le aree di intervento prioritario con una gap analysis strutturata. Utile in fase di primo adeguamento, dopo modifiche organizzative o tecnologiche importanti, o in preparazione a ispezioni del Garante.

Formazione del personale

Corsi GDPR per dipendenti, responsabili e management, con contenuti calibrati sul settore dell’azienda e sulle figure coinvolte. La formazione è parte integrante dell’accountability: un team formato è la prima misura di sicurezza organizzativa.

Adempimenti correlati: Whistleblowing, Videosorveglianza e Geolocalizzazione

La disciplina privacy si intreccia con altri adempimenti che richiedono competenze specifiche e una gestione integrata.

Whistleblowing

Il D. Lgs. 24/2023, che recepisce la Direttiva UE 2019/1937, impone a un’ampia platea di soggetti privati e pubblici l’adozione di un sistema di gestione delle segnalazioni di illeciti che tuteli l’identità del segnalante. Ecloga ha sviluppato Whistli, una piattaforma dedicata pienamente conforme alla normativa italiana ed europea.

Istanza di autorizzazione impianti di videosorveglianza

L’installazione di telecamere sul luogo di lavoro richiede, prima dell’attivazione, un’autorizzazione dell’Ispettorato Territoriale del Lavoro ai sensi dell’art. 4 dello Statuto dei Lavoratori (L. 300/1970) o, in alternativa, un accordo sindacale. Gestiamo per i nostri clienti la predisposizione dell’istanza completa di documentazione tecnica, unitamente al DPIA richiesto dal Garante per questa tipologia di trattamento (EDPB Guidelines 3/2019).

Allo stesso modo gestiamo l’adempimento inerente l’autorizzazione di sistemi di geolocalizzazione.

Serve un quadro d'insieme?

Richiedi un check-up gratuito in azienda

Un consulente viene da te, analizza la situazione e ti indica esattamente quali adempimenti devi gestire. Nessun impegno, nessun costo.

Prenota il check-up