“Audit GDPR a €3.000”: cosa stai comprando?
Riceve email “audit GDPR per la tua azienda · €3.000 · in 3 settimane garantita compliance”. Il consulente porta un report di 40 pagine, ti consegna un “GDPR compliance score” del 92%. Sei a posto.
Premessa secca: quel pacchetto è marketing che usa il GDPR come leva di paura. Il “compliance score” non esiste come categoria legale: è una metrica inventata dal vendor per giustificare la fattura. Le vere domande non sono “ho il GDPR a posto?”. Sono: “ho il registro dei trattamenti aggiornato? ho le basi giuridiche documentate per ogni categoria di dato? il cookie banner è conforme alle Linee Guida Garante 2021? il DPO (se obbligatorio) è nominato?”. Risposte concrete, non score.
I 6 adempimenti reali (non vagheggi)
1. Registro dei trattamenti (art. 30 GDPR). Obbligatorio per ogni azienda con dipendenti o trattamenti sistematici. Documento interno che mappa: categoria dato, finalità, base giuridica, termini di conservazione, soggetti coinvolti, sub-processor, misure di sicurezza. Aggiornato almeno annualmente. Costo realistico per PMI: 4-12 ore di lavoro DPO/consulente. Costo che vendono: €1.500-€4.000 in pacchetto “completo”. Tradotto: pagano carta.
2. Informative privacy aggiornate. Sul sito (privacy policy + cookie policy), nei form, nei contratti con dipendenti e clienti. Devono dichiarare base giuridica, finalità, conservazione, diritti. Niente template generico copia-incollato.
3. Cookie banner conforme. Linee Guida Garante giugno 2021 + Consent Mode v2 Google (marzo 2024). No “scroll = consenso”, no “pre-flag attivi”. Sì layer multi-livello, “accetta”, “rifiuta”, “personalizza” allo stesso livello visivo. Vedi Google Analytics da solo non basta per il quadro tecnico.
4. Base giuridica documentata per ogni categoria di dato. Contratto (art. 6.1.b), obbligo legale (6.1.c), interesse legittimo (6.1.f) con bilanciamento, consenso (6.1.a). Per dato sanitario o categorie particolari: artt. 9 + 10. Documentato dove? Nel registro dei trattamenti.
5. DPO (Data Protection Officer) se obbligatorio. Obbligatorio per: enti pubblici, trattamenti su larga scala di dati sensibili, monitoraggio sistematico. Tradotto: studio medico privato strutturato → sì. PMI manifatturiera B2B → forse no. Va valutato caso per caso.
6. Procedure interne data breach. Notifica al Garante entro 72 ore (art. 33), notifica all’interessato (art. 34) se rischio elevato. Devi avere documentata la procedura prima dell’incidente, non dopo.
Cosa NON è GDPR compliance reale
Non è “il certificato di un consulente”. Nessuna certificazione GDPR ha valore legale: il Garante non certifica. Lo dice il Garante stesso (FAQ ufficiali).
Non è “pacchetto annuale tutto incluso a €3.000/anno”. Sei vincolato a un fornitore senza che ci sia un valore proporzionale. Le vere ore di lavoro DPO/consulente per una PMI standard sono molte meno.
Non è “metti un cookie banner generico e via”. Le Linee Guida Garante 2021 sono specifiche. Banner non conformi attirano sanzioni reali (esempi pubblicati ogni trimestre nel bollettino Garante).
Non è “buttiamo via WhatsApp e Mailchimp perché sono americani”. Trasferimenti extra-UE sono gestibili con Standard Contractual Clauses + TIA documentata. Servono valutazioni, non panico ideologico.
Cosa serve davvero (setup minimo serio in PMI)
Cinque cose, in ordine:
1. Registro dei trattamenti scritto e aggiornato. Anche un Excel formattato, purché aggiornato. Strumento principale di compliance reale.
2. Cookie banner conforme + Consent Mode v2. Cookiebot, Iubenda, Cookie Script: tutti adeguati se configurati bene. Costo: €0-€500/anno a seconda del traffico.
3. Informative aggiornate. Sul sito (privacy + cookie + termini), nei form (informativa breve linkata alla lunga), nei contratti.
4. DPO esterno o interno se obbligatorio. Per dimensioni e tipi di trattamento PMI standard, DPO esterno a tariffa annuale è la scelta tipica. Tariffe oneste mercato: €1.500-€5.000/anno a seconda della complessità.
5. Tracciamento server-side come componente compliance. Sposti i pixel client-side (che leak dato) sul tuo server. Riduci esposizione + recuperi conversioni perse. Doppio beneficio.
Tre esempi reali (frame)
Studio medico privato (pattern Codice Massimo): trattamento dato sanitario art. 9 GDPR. Storage criptato, access control, audit log, base giuridica documentata, DPO esterno. Migrazione da “dato su Drive + email” a “centralizzato con controllo”.
PMI manifatturiera B2B. Registro trattamenti + informative aggiornate + cookie banner Consent Mode v2 + valutazione interesse legittimo per nurturing email. DPO non obbligatorio per dimensioni, ma consulente per audit annuale ok.
Real estate / agenzia immobiliare. Trattamento dato anagrafico cliente + dato finanziario per pratiche acquisto. Base giuridica contratto + obbligo legale (antiriciclaggio). WhatsApp Business usato con consenso esplicito documentato.
FAQ
Devo per forza nominare un DPO? Solo se rientri nei criteri art. 37 GDPR (enti pubblici, larga scala, dati sensibili). Vai sul sito Garante per valutare.
Le sanzioni GDPR per PMI sono davvero applicate? Sì. Il Garante pubblica trimestralmente sanzioni. Range tipico PMI: €5.000-€60.000. Sopra per violazioni gravi o sistematiche.
ChatGPT è GDPR-compliant? Versione Enterprise/Team con DPA sì per dato standard. Vedi ChatGPT privacy. Per dato sensibile no comunque.
Quanto costa il GDPR fatto onestamente? €2.000-€6.000/anno per PMI standard (DPO esterno + consulenza + tool). Sopra è pacchetto gonfiato.
Inizia l'audit · 3 min · senza email →
