Cosa dice l’articolo 14 del GDPR (e perché ti riguarda anche se non hai un form sul sito)
Prima di metterlo in discussione, mettiamo le cose in chiaro: l’articolo 14 del GDPR è una norma sensata, e il principio che difende è giusto. È il gemello dell’articolo 13, solo che scatta in una situazione diversa. L’articolo 13 ti dice cosa scrivere nell’informativa quando i dati te li dà la persona direttamente, un modulo sul sito, un’iscrizione, un preventivo. L’articolo 14 ti dice cosa scrivere quando i dati di quella persona ti sono arrivati da un’altra parte, e lei non te li ha mai consegnati di sua mano.
Tradotto da imprenditore a imprenditore, l’articolo 14 si occupa dei contatti che hai raccolto in modo indiretto. Una lista che hai comprato o ricevuto. Un nominativo che ti ha passato un partner. Una segnalazione, un cliente che ti gira il contatto di un conoscente interessato. Un’anagrafica che ti ha trasferito un’azienda che hai rilevato. Dati pescati da una fonte pubblica per costruire una lista commerciale. In tutti questi casi la persona non sa che hai i suoi dati, perché non te li ha dati lei. E l’articolo 14 dice una cosa precisa: glielo devi comunicare tu.
La differenza con l’articolo 13 è tutta qui, ed è il motivo per cui esistono due articoli e non uno. Quando una persona ti lascia i dati su un form, in quel momento sa già che li stai prendendo: gliela mostri lì, l’informativa. Quando invece i suoi dati ti arrivano da un terzo, lei non ne sa niente, e il regolamento le ridà il controllo obbligando te a farti vivo. L’articolo 14 ti chiede di dichiarare le stesse cose dell’articolo 13 (chi sei, perché tratti i dati, per quanto tempo, quali diritti ha la persona) più una cosa in più che l’articolo 13 non ti chiede: da dove arrivano quei dati, cioè la fonte. Devi dire alla persona “ho i tuoi dati, e li ho avuti da qui”.
E qui arriva la parte che fa cadere le braccia alla maggior parte degli imprenditori: “io i contatti me li lavoro tutti dal sito, l’articolo 14 non mi riguarda”. Quasi sempre non è vero. Se hai mai comprato o ricevuto una lista per una campagna, sei dentro. Se un partner ti gira nominativi da ricontattare, sei dentro. Se i tuoi venditori si segnano i contatti che gli passa qualcuno a una fiera, sei dentro. Se hai rilevato un’attività e ti sei portato a casa la sua rubrica clienti, sei dentro. I dati che entrano “dalla porta di servizio”, senza che la persona abbia mai compilato niente di tuo, sono pane quotidiano in quasi tutte le PMI, e sono esattamente quelli che l’articolo 14 governa.
Fin qui è tutto ragionevole, e un imprenditore serio è il primo a trovare giusto che una persona sappia che la sua azienda ha i suoi dati e da dove li ha presi. Questo è il punto da cui partiamo: l’articolo 14 è giusto, e dire alla gente “ti ho preso da qui” è sano. Il punto non è se la norma esista o se ti riguarda. Ti riguarda. Il punto è un altro, ed è il motivo per cui sei finito su questa pagina: di tutti i contatti che ti sono arrivati da fuori, oggi, sai ancora dire da dove viene ciascuno?
L’articolo 14 ti chiede una cosa che l’articolo 13 non ti chiede: da dove arriva il contatto
Cominciamo dalla parte che cambia tutto il discorso. Sull’articolo 13 la fonte non è un problema: la persona è venuta da te, lo sai benissimo da dove arriva, è il tuo form. Sull’articolo 14 la fonte è proprio il cuore della faccenda. Il regolamento ti obbliga a dichiarare l’origine di ogni contatto raccolto in modo indiretto, e a comunicarlo alla persona quando ti fai vivo o, al più tardi, entro tempi precisi. Non basta dire “ho i tuoi dati”: devi dire “li ho avuti da quella lista, da quel partner, da quella segnalazione”.
Ed è qui che casca l’asino. Per dichiarare la fonte di un contatto, la fonte la devi sapere. E nella maggior parte delle PMI, dopo che un contatto è entrato e ha vissuto un po’ in azienda, da dove venga non lo sa più nessuno. La lista comprata sei mesi fa è stata caricata nel gestionale insieme ai clienti veri, e adesso quel nome è una riga uguale a tutte le altre. Il nominativo passato dal partner è finito nel CRM senza un’etichetta che dica chi te l’ha dato. Il contatto della fiera è in un foglio Excel di un venditore, e l’origine vive solo nella sua memoria. Il dato che la legge ti chiede di tracciare fin dall’origine si è mescolato a tutti gli altri il giorno stesso in cui è entrato.
Non hai un problema con l’articolo 14. Hai un problema con dei contatti che la legge ti chiede di poter tracciare alla fonte, e che la tua azienda ha versato tutti nello stesso mucchio: la lista comprata vive accanto al cliente storico, e nessuno dei due ha più un’etichetta.
E qui c’è una distinzione che ti toglie metà delle preoccupazioni, se la conosci. Un avvocato o un consulente bravo fa un lavoro vero: capisce che tipo di contatti raccogli da terzi, ti dice cosa devi dichiarare e su quale base puoi trattarli, scrive l’informativa dell’articolo 14 e prepara la comunicazione da mandare alla persona. È il loro mestiere e lo fanno bene. Ma c’è una cosa che il documento non può fare: ricostruire una fonte che hai perso. L’avvocato scrive che dichiarerai l’origine di ogni contatto; non può andare a vedere, contatto per contatto, da dove è entrato, perché quell’informazione non è scritta da nessuna parte. Il diritto descrive l’obbligo, non ricostruisce il dato che ti serve per rispettarlo. E con l’articolo 14 la fonte persa non è un dettaglio: è esattamente la cosa che ti rende impossibile fare quello che la carta dichiara.
Lo stesso contatto comprato finisce nel mucchio, e l’origine sparisce
Mettiamo che tu abbia tutto in regola sulla carta: l’informativa dell’articolo 14 scritta come si deve, la base giuridica corretta, la comunicazione pronta. Resta il fatto che quei contatti, una volta entrati in azienda, non portano addosso un cartellino con scritto da dove vengono. Si mescolano, si copiano, si spargono, esattamente come tutti gli altri. Ed è qui che nasce il guaio vero, quello operativo, di cui l’articolo 14 è solo lo specchio.
Segui un solo contatto comprato, da quando entra. Arriva dentro un file, una lista di nomi ed email che hai pagato per una campagna. Lo carichi nel gestionale, in mezzo ai clienti che hai già. Lo importi anche nel tool con cui mandi le email. Un venditore lo copia nel suo Excel, quello sul portatile. Dopo qualche scambio, qualcosa resta pure in una chat. Lo stesso nominativo, dopo un solo giro, vive in quattro o cinque posti, e in nessuno c’è scritto da dove l’hai preso. L’origine, l’unica informazione che l’articolo 14 ti chiede in più rispetto all’articolo 13, è già evaporata. È la definizione di un Frankenstein operativo: pezzi cuciti a mano, ognuno con la sua copia, nessuno che parla con gli altri. Solo che qui, insieme al contatto, si è persa la cosa che la legge voleva proprio che tu sapessi.
Il risultato lo conosci anche se non l’hai mai chiamato così. Quella persona, un domani, ti scrive: “come avete avuto i miei dati?”. È precisamente la domanda a cui l’articolo 14 ti obbliga a saper rispondere. Tu apri il gestionale e trovi il nome, ma accanto non c’è scritto niente sulla provenienza. Non sai più se è arrivato dalla lista comprata a primavera, dal partner che ti gira nomi, o dalla fiera dell’anno scorso. Hai il contatto, ma hai perso la sua storia. E senza la storia, l’unica cosa onesta che puoi dire è “non lo so”, che è esattamente la risposta che la norma è stata scritta per impedirti di dare.
E c’è il lato proprietà, che con questi contatti pesa in un modo tutto suo. I dati arrivati da fuori vivono spesso su strumenti che non sono tuoi: il foglio sul portatile del venditore, la sua casella personale, una chat su un’app altrui. Il giorno che quella persona se ne va, una parte di quei contatti, e di quel poco che si sapeva sulla loro origine, se ne va con il suo telefono. È come funziona oggi in quasi tutte le PMI italiane, ed è il motivo per cui la fonte di un contatto, in azienda, ha la vita più breve di tutte.
Il modo più rapido per dirlo: l’articolo 14 non ti chiede una carta più lunga, ti chiede che ogni contatto arrivato da fuori porti scritta addosso la sua origine, in un posto dove resti per sempre, anche quando chi l’ha caricato non c’è più. Lo si ottiene facendo confluire i dati di clienti, contatti e liste in un archivio unico dove ogni persona vive una volta sola: un database tuo, sotto il tuo controllo, dove ogni contatto entra con un’etichetta di provenienza che non si stacca. Da lì, quando arriva la domanda “da dove avete i miei dati”, c’è un posto solo dove andare e una risposta che esiste. È lo stesso principio che vale per cosa significa davvero il GDPR per la tua azienda: non una carta più bella, un sottosuolo dove la carta diventa vera.
Cosa chiede l’articolo 14 in più, e cosa fa il tuo backend sotto
L’articolo 14 non aggiunge solo “scrivi un’altra informativa”. Aggiunge obblighi concreti legati alla provenienza dei dati, e ognuno di questi diventa impossibile da rispettare quando i contatti arrivati da fuori sono mescolati a tutti gli altri senza più origine. Messi a confronto si vede subito dove si rompe il giocattolo.
| Contatti da terzi versati nel mucchio | Contatti da terzi in un archivio unico, tuo | |
|---|---|---|
| Da dove arriva il contatto | Persa il giorno che è entrato | Scritta addosso al dato, resta per sempre |
| ”Come avete i miei dati?” | Risposta impossibile: non lo sai più | Una risposta sola, già pronta nell’archivio |
| La comunicazione alla persona | Dichiarata sulla carta, ingovernabile nei fatti | Parte da un elenco vero di chi è entrato e da dove |
| Cancellazione su richiesta | Caccia al tesoro su cinque posti | Un’azione sola, su un dato solo |
| Dove vivono fisicamente | Liste, email, portatili, fogli, chat | Un archivio tuo, sotto il tuo controllo |
| Se un venditore se ne va | L’origine di quei contatti se ne va con lui | Niente: la provenienza non vive nelle teste |
| Cosa mostri se qualcuno controlla | Un mucchio senza storia | Ogni contatto con la sua fonte, tracciabile |
Letta così, sparisce la domanda sbagliata (“ho l’informativa giusta dell’articolo 14?”) e resta quella giusta: di ogni contatto che ho preso da fuori so ancora dire da dove arriva, o l’ho versato in un mucchio dove l’origine è sparita e la carta promette una tracciabilità che il sottosuolo non mantiene?
Prima di rifare l’informativa o comprare l’ennesima lista, scopri se sai ancora da dove arriva ogni contatto della tua azienda: il voto di conformità in pochi minuti, gratis e senza carta di credito.
Perdere l’origine dei contatti ti costa due volte: in rischio e in credibilità
Tenere i contatti arrivati da fuori mescolati a tutti gli altri, senza più sapere da dove vengono, mentre la legge ti chiede proprio di poterlo dire, ti presenta il conto da due lati nello stesso momento.
Dal lato del rischio concreto: i dati raccolti senza che la persona te li abbia dati sono quelli su cui l’articolo 14 ti mette addosso obblighi in più, a partire dal dichiarare l’origine. Il giorno in cui qualcosa va storto (una persona che ti chiede come hai avuto i suoi dati e a cui non sai rispondere, una verifica) la distanza tra quello che la carta promette e quello che il backend sa diventa visibile tutta insieme. Una campagna su una lista di cui non sai più la provenienza è un trattamento che non riesci a giustificare, e finisce nella stessa fascia di rischio che il GDPR collega ai trattamenti che non sai dimostrare. E se quel contatto è entrato da una fonte che non puoi più ricostruire, sei tu a dover spiegare come ci è arrivato, partendo dal nulla.
Dal lato della credibilità, che con questi contatti è la posta vera: quando scrivi a una persona che non ti ha mai dato i suoi dati, la prima cosa che le devi poter dire è “ti ho avuto da qui, ecco perché ti contatto”. È la frase che trasforma una email a freddo in una cosa legittima invece che in spam. Se non sai dire da dove l’hai presa, non solo sei scoperto sulla carta: la stai contattando senza poterle spiegare il motivo. Un potenziale cliente perdona una proposta che non gli interessa. Fa molta più fatica a fidarsi di chi ha i suoi dati e non sa nemmeno dire come li ha avuti. E quella credibilità, davanti a un contatto nuovo, te la giochi una volta sola.
Qui l’articolo 14 smette di essere un argomento da avvocati e diventa un pezzo del tuo backend operativo, cioè della macchina che fa girare l’azienda sotto le carte. Il principio è lo stesso che applico ovunque, solo applicato ai contatti che entrano dalla porta di servizio: il dato vive in un posto solo, tuo, e porta scritta addosso la sua provenienza, così che l’origine non dipenda dalla memoria di chi l’ha caricato. Da lì discendono in automatico le cose che l’articolo 14 ti chiede e che nel mucchio non puoi mantenere: poter dimostrare le misure di sicurezza e l’ordine che hai adottato, tenere il registro dei trattamenti che il regolamento pretende con le fonti dei dati al loro posto, e rispondere alla domanda sull’origine partendo da un quadro chiaro invece che da sei isole. Non una carta migliore: un sottosuolo dove la carta diventa vera.
La domanda non è “ho l’informativa giusta dell’articolo 14”. È: di ogni contatto che mi è arrivato da fuori so ancora dire da dove viene, e lo so dichiarare alla persona quando me lo chiede, o l’origine è sparita nel mucchio il giorno stesso in cui il dato è entrato?
Cinque domande oneste sui contatti che ti sono arrivati da fuori
Non serve una consulenza da migliaia di euro per capire se i contatti raccolti da terzi della tua azienda sono tracciati come l’articolo 14 pretende, o solo sulla carta. Bastano cinque domande.
- Sai dire, di getto, quali contatti della tua azienda non li ha dati la persona direttamente, ma sono arrivati da liste, partner, segnalazioni o acquisizioni, o non ci avevi mai pensato in questi termini?
- Di quei contatti, oggi, sai ancora da dove viene ciascuno, o si sono mescolati ai clienti storici fino a diventare righe uguali a tutte le altre?
- Se una persona domani ti scrive “come avete avuto i miei dati?”, lo trovi scritto da qualche parte, o l’origine vive solo nella memoria di chi ha caricato la lista?
- Le liste e i nominativi che usi vivono in un posto solo che è tuo, o sono sparsi tra email, fogli sui portatili dei venditori e tool vari?
- Se il venditore che gestisce quei contatti se ne andasse domani con il suo portatile, sapresti ancora dire da dove arriva ognuno dei nomi che ti ha lasciato?
Se a queste domande hai risposto con un sospiro, non sei nei guai: sei nella situazione di quasi tutte le PMI italiane, che lavorano contatti arrivati da fuori senza un posto dove tenerne tracciata l’origine. La differenza non la fa sapere a memoria il testo dell’articolo 14, ma sapere con precisione, contatto per contatto, da dove viene. E questo lo puoi misurare adesso, da solo, in pochi minuti.
GDPR Quick Audit · il voto di conformità del tuo sito
Rispondi a poche domande sulla tua azienda (cosa raccogli, da dove ti arrivano i contatti, dove tieni davvero i dati, come gestisci consenso e richieste) e in pochi minuti hai un voto chiaro su quanto sei a posto e dove sei più scoperto, a partire dai dati di cui rischi di aver perso l’origine. Niente gergo da avvocato, solo dove intervenire per primo.
Inserisci i dati e parti. Senza carta di credito. Il risultato lo salvi nella tua Officina con la sola email, se vuoi tenertelo.
Il voto è il punto di partenza. Dice quanto i tuoi contatti sono davvero tracciabili alla fonte; cosa farne, lo decidi tu.
Le domande che ti stai facendo adesso
Cosa dice l’articolo 14 del GDPR?
L’articolo 14 è la norma che ti dice cosa deve contenere l’informativa quando i dati di una persona non te li ha dati lei direttamente, ma ti sono arrivati da un’altra fonte: una lista comprata o ricevuta, un partner che ti gira un nominativo, una segnalazione, una rubrica trasferita con un’acquisizione, dati pescati da fonti pubbliche. Ti chiede di dichiarare le stesse cose dell’articolo 13 (chi sei, perché tratti i dati, per quanto li tieni, quali diritti ha la persona) più una in più: da dove arrivano quei dati, cioè la fonte. E ti obbliga a comunicarlo alla persona, che altrimenti non saprebbe che hai i suoi dati. Il senso è semplice: chi non ti ha dato niente di sua mano ha il diritto di sapere che ce l’hai e come ci sei arrivato.
Qual è la differenza tra l’articolo 13 e l’articolo 14 del GDPR?
È la stessa informativa, in due situazioni diverse di raccolta. L’articolo 13 vale quando i dati te li dà la persona direttamente: compila un form, si iscrive, ti chiede un preventivo, e in quel momento le mostri l’informativa. L’articolo 14 vale quando i dati ti arrivano in modo indiretto, da un terzo, e la persona non sa che li hai: lì sei tu a doverti fare vivo. La differenza pratica più importante è che l’articolo 14 ti chiede una cosa in più che il 13 non ti chiede, cioè dichiarare da dove arrivano i dati. Per questo chi compra liste o riceve nominativi da fuori non può cavarsela con la sola informativa del sito: gli serve anche quella dell’articolo 14, e soprattutto deve sapere l’origine di ogni contatto.
La mia azienda deve rispettare l’articolo 14 anche se i contatti li prendo solo dal sito?
Se davvero tutti i tuoi contatti arrivano dai tuoi moduli, ti basta l’articolo 13. Ma quasi sempre non è così, e quasi sempre senza averci pensato. Hai mai comprato o ricevuto una lista per una campagna? Articolo 14. Un partner o un fornitore ti gira nominativi da ricontattare? Articolo 14. I venditori raccolgono contatti in fiera o se li fanno passare da qualcuno? Articolo 14. Hai rilevato un’attività e ti sei portato la sua rubrica clienti? Articolo 14. Il punto è che “i contatti li prendo solo dal sito” è quasi sempre falso: il primo passo è accorgerti di quanti contatti ti sono entrati dalla porta di servizio.
Devo dire alla persona da dove ho preso i suoi dati?
Sì, ed è proprio il cuore dell’articolo 14. Quando tratti dati che non ti ha dato la persona direttamente, devi comunicarle che li hai e da dove li hai presi, entro tempi precisi o al più tardi quando la contatti la prima volta. Non basta avere l’informativa pubblicata da qualche parte: la persona, che non sa nemmeno di essere finita nei tuoi contatti, va informata. Capire come e quando farlo nella tua situazione è il mestiere di un consulente o di un avvocato, e fanno bene a curarlo loro. Quello che resta a te, in ogni caso, è una condizione senza la quale niente di tutto questo è possibile: sapere davvero da dove arriva ogni contatto. Se l’origine l’hai persa nel mucchio, non c’è informativa che tenga, perché non hai la cosa da dichiarare.
Cosa rischio se uso contatti di cui non conosco più l’origine?
Il rischio è di due tipi, e arrivano insieme. C’è il rischio legale: trattare dati raccolti da terzi senza poterne dichiarare la provenienza è un trattamento che non sai giustificare, e da cosa dipende davvero quanto rischi lo spiego in un articolo a parte, ma in sintesi è il tipo di situazione che ti lascia scoperto proprio quando qualcuno fa una domanda. Poi c’è il rischio che fa più male nel lungo periodo: la credibilità. Contattare una persona senza saperle dire come hai avuto i suoi dati parte già male, e in più ti espone, perché le regole sull’email marketing si reggono proprio sul poter spiegare perché quella persona è nella tua lista. Il modo per ridurre entrambi è lo stesso: non versare i contatti nel mucchio, ma tenerli in un posto solo dove l’origine resta scritta.
Da dove inizio, senza impegno?
Dagli strumenti diagnostici gratuiti: misuri in pochi minuti quanto sei a posto sui contatti che pesano di più (da dove arrivano, dove vivono, se ne conosci ancora l’origine), senza carta di credito e senza parlare con nessuno. Poi, se ha senso, ne parliamo.
Puoi continuare a versare le liste e i nominativi che ricevi nello stesso mucchio di tutti gli altri, sperando che nessuno ti chieda mai da dove vengono. Oppure puoi sapere, con un numero, quanto sei davvero tracciabile alla fonte oggi.
Smetti di versare i contatti nel mucchio. Dagli un archivio dove l’origine resta scritta.
La maggior parte degli imprenditori che mi scrive non ha un problema con l’articolo 14 come norma. Spesso non sa nemmeno di doverlo rispettare, e quando se ne accorge scopre che i contatti arrivati da fuori vivono dove vivono tutti gli altri: la lista comprata caricata in mezzo ai clienti veri, il nominativo del partner senza un’etichetta, il contatto della fiera in un foglio su un portatile. La legge gli chiede di dichiarare da dove viene ciascuno; la realtà ha mescolato tutto il giorno stesso in cui è entrato.
Una carta più lunga non lo risolve, perché il buco non è nell’informativa: è nel fatto che l’origine, la cosa precisa che l’articolo 14 ti chiede, l’hai già persa. Lo risolve far confluire tutto in un posto solo che è tuo, un archivio unico dove ogni contatto entra con scritta addosso la sua provenienza e non la perde più, così che la comunicazione alla persona, il diritto di cancellare i suoi dati quando te lo chiede e gli obblighi dell’articolo 14 diventino cose che puoi davvero mantenere. Poi l’avvocato scrive un’informativa che descrive un sistema in ordine, invece di rincorrere un caos. Se vuoi vedere il percorso intero, passo per passo, c’è la guida all’adeguamento GDPR per le PMI: si parte sempre da dove vivono i dati e da dove arrivano, non dalla carta.
Non ti chiedo di firmare niente e non ti chiedo di credermi. Non sono un avvocato e non ti vendo la conformità garantita: l’interpretazione legale la cura chi di dovere, e fa un mestiere vero. Io sigillo i buchi operativi sotto le carte: metto i dati in un posto solo, tuo, dove ogni contatto porta scritta la sua origine e non la perde quando chi l’ha caricato se ne va. Ti chiedo solo di guardare il voto della tua azienda, gratis, in pochi minuti. Se quello che vedi ti suona familiare, andiamo avanti. Se non fa per te, chiudiamo qui senza rancore.
La legge vuole che tu sappia da dove arriva ogni contatto. Adesso scopri se quell’origine esiste ancora, o se è sparita nel mucchio il giorno che il dato è entrato.
Strumenti gratuiti. Senza carta di credito. Senza parlare con nessuno.
