Cosa chiede l’articolo 13 del GDPR (e perché finora l’hai vissuto come una scartoffia)
Prima di mettere in discussione qualcosa, mettiamo le cose in chiaro: l’informativa privacy è un documento vero, e scriverla bene è giusto. L’articolo 13 del GDPR è la norma che ti dice cosa deve contenere quando raccogli i dati direttamente dalla persona — un form sul sito, un’iscrizione, un preventivo. Non è un capriccio del legislatore: è il modo in cui chi ti lascia i suoi dati capisce cosa ne farai. E questo è sano.
Tradotto da imprenditore a imprenditore, l’articolo 13 ti obbliga a dichiarare poche cose precise. Chi sei tu, cioè il titolare del trattamento, e come ti si contatta. Per quali finalità tratti i dati: gestire un ordine, mandare la newsletter, rispondere a una richiesta. Su quale base giuridica lo fai: un contratto da eseguire, un consenso che la persona ti ha dato, un obbligo di legge. A chi passi quei dati, cioè i destinatari: il corriere, il commercialista, chi gestisce le email. Per quanto tempo li tieni, cioè il periodo di conservazione. E quali sono i diritti dell’interessato: vedere i propri dati, correggerli, farli cancellare.
Fin qui è tutto ragionevole. Scrivere un’informativa privacy GDPR fatta bene significa mettere su carta queste risposte in modo onesto e leggibile. Un avvocato o un consulente che te la prepara su misura fa un lavoro vero e ti porta acqua pulita: traduce la tua situazione nel linguaggio del diritto e ti copre le spalle.
Questo è il punto da cui partiamo: l’informativa serve, ed è giusto averla. Il punto non è se ce l’hai. È un altro, ed è il motivo per cui sei finito su questa pagina: quello che l’informativa promette corrisponde a dove vivono davvero i tuoi dati?
Quello che firmi è una fotografia: deve assomigliare alla realtà, non a un modello scaricato
Cominciamo dalla parte che quasi nessuno ti spiega. Un’informativa privacy, quando la pubblichi, smette di essere un foglio e diventa una promessa pubblica. Stai dicendo a chiunque ti legga: i tuoi dati stanno qui, li tratto per questi motivi, li conservo per questo tempo, li tocca solo Tizio. È una dichiarazione di come funziona la tua azienda dietro le quinte. La firmi tu, e ti impegna.
Ed è qui che casca l’asino. Una promessa vale solo se la realtà le corrisponde. Se nell’informativa scrivi che i dati dei clienti li tratti “in modo sicuro, con accesso limitato al personale autorizzato”, ma nei fatti quegli stessi clienti vivono nel gestionale, nel CRM, in un Excel sul portatile del commerciale, nella casella email e in una chat di WhatsApp, allora la carta descrive un ordine che non esiste. Non stai mentendo per cattiveria: stai descrivendo come vorresti che fossero le cose, non come sono. Cosa significa davvero il GDPR per la tua azienda parte proprio da qui — il regolamento non ti chiede una carta bella, ti chiede che i dati stiano dove dici che stanno.
Il problema pratico è che la maggior parte delle informative nasce nel modo sbagliato. Si scarica un modello, lo si incolla, si cambia il nome dell’azienda e la si pubblica. Un esempio di informativa GDPR copiato da un altro sito è un documento che descrive l’azienda di un altro: il giorno in cui un cliente chiede “fatemi vedere cosa avete di mio e cancellate tutto”, la carta dice una cosa e il backend ne fa un’altra.
Non hai un problema con l’informativa. Hai un problema con una promessa scritta bene sopra una realtà disordinata: la carta dice che i dati stanno in un posto, mentre vivono in sei.
E qui c’è una distinzione che ti toglie metà delle preoccupazioni, se la conosci. Un avvocato bravo scrive un’informativa che corrisponde alla situazione che gli racconti. Ma può scrivere solo su quello che gli dici, e tu gli racconti l’azienda che hai in testa — non quella che hai sui server, sui laptop e nelle chat. Il documento esce perfetto sul piano del diritto, e resta scollegato dal piano operativo. Non è colpa del consulente: è che il diritto descrive, non sistema. Il diritto è il loro campo, e fanno bene il loro mestiere. Sistemare dove vivono i dati è un altro lavoro.
Ma “i dati sono sparsi” sembra un dettaglio tecnico. Non lo è. È esattamente la cosa che rende falsa la tua informativa, anche quando l’ha scritta il miglior avvocato della città. Vediamo perché.
Lo stesso cliente vive in sei posti, e nessuna informativa lo sa
Mettiamo che tu abbia un’informativa scritta bene, su misura, controllata da un legale. Resta il fatto che i dati che quell’informativa promette di custodire non stanno fermi in un posto solo: vivono sparsi sui programmi che la tua azienda ha comprato in dieci anni. Ed è qui che nasce il guaio vero, quello operativo, di cui l’articolo 13 è solo lo specchio.
Pensa a cosa succede dietro le quinte dopo un singolo contatto. La persona compila un form sul sito. Il suo nome entra nel gestionale. La sua email finisce nel tool con cui mandi la newsletter. Il commerciale se la salva nel suo Excel, sul suo portatile. Lo storico delle conversazioni vive nella casella di posta. E qualche scambio è rimasto su WhatsApp. Lo stesso cliente, dopo un solo passaggio, vive in sei posti diversi — ed è la definizione di un Frankenstein operativo: sei pezzi cuciti insieme, ognuno con la sua copia di un dato che non torna mai uguale, nessuno che parla con gli altri.
Il risultato lo conosci anche se non l’hai mai chiamato così. Un cliente ti chiede di cancellare i suoi dati, come l’articolo 13 ti ha promesso che poteva fare, e tu non sai nemmeno in quanti posti li hai. Apri il gestionale, poi il CRM, poi l’email, poi cerchi il foglio del commerciale che però è sul suo computer, poi WhatsApp. Cancelli da una parte, resta acceso da un’altra. La tua informativa dice “puoi esercitare il diritto di cancellazione scrivendo a questo indirizzo”, e nei fatti quel diritto lo soddisfi solo a metà, sperando di aver guardato dappertutto.
E c’è il lato proprietà, che è il più scomodo. Nessuno di quei sei posti è davvero tuo. Il database dei tuoi clienti — la cosa più preziosa che l’azienda produce — vive in affitto su pannelli di altri, a cui accedi finché paghi l’abbonamento e finché quel servizio esiste. La tua informativa promette controllo su dati che, in realtà, controlli a metà. Promette un ordine che il sottosuolo operativo non mantiene.
Il modo più rapido per dirlo: un’informativa onesta non è quella scritta meglio, è quella che descrive un posto solo dove i dati vivono davvero. Lo si ottiene facendo confluire i dati di tutti i contatti in un posto unico dove i clienti vivono una volta sola — un database tuo, sotto il tuo controllo, con un registro di chi accede a cosa, da cui gli altri strumenti pescano invece di tenere ciascuno la sua copia scollegata. Solo allora la carta torna a corrispondere alla realtà.
Cosa promette la carta, e cosa fa davvero il backend sotto
| Informativa sopra i dati sparsi | Informativa sopra un database tuo | |
|---|---|---|
| I dati che dichiari | Stanno in sei posti, mai allineati | Stanno in un posto solo, da cui gli altri pescano |
| ”Chi li tratta” | Dichiarato sulla carta, in pratica chiunque apra un file | Registrato davvero: si sa chi ha visto cosa |
| Diritto di cancellazione | Caccia al tesoro su ogni programma | Un’azione sola, su un dato solo |
| Destinatari (chi li riceve) | Difficile dire a chi sono finiti davvero | Tracciati: passaggi noti e registrati |
| Periodo di conservazione | Scritto sulla carta, ingestibile nei fatti | Applicabile: il dato è in un punto solo |
| Di chi è il database | In affitto sui pannelli, finché paghi | Tuo, esportabile, sotto il tuo controllo |
| Cosa hai in mano | Una promessa che il backend smentisce | Una carta che descrive un ordine che esiste |
Letta così, sparisce la domanda sbagliata (“la mia informativa è scritta bene sì o no?”) e resta quella giusta: quello che la mia informativa promette corrisponde a dove vivono davvero i dati dei miei clienti, o ho una carta perfetta appoggiata su un disordine che la rende falsa?
Prima di rifare l’informativa o scaricare l’ennesimo modello, scopri a che punto sei davvero: il voto GDPR della tua azienda in pochi minuti, gratis e senza carta di credito.
Una carta che mente non ti protegge: ti dà la falsa sensazione di essere a posto
Tenere i dati sparsi su sei programmi mentre l’informativa promette ordine ti presenta il conto da due lati nello stesso momento.
Dal lato della tranquillità: pensi di essere coperto perché hai il documento. È la sensazione più pericolosa, perché ti fa smettere di guardare il problema. L’informativa appesa al sito ti dice “sono a norma”, mentre sotto i dati continuano a colare dai buchi tra un programma e l’altro. È come avere il certificato antincendio appeso al muro di una stanza piena di stracci imbevuti di benzina: la carta è perfetta, e non spegne niente. Il consulente legale che te l’ha scritta ha fatto il suo lavoro bene — ti ha dato acqua pulita — ma può solo descrivere quello che gli racconti, non andare a vedere dove finiscono davvero i dati.
Dal lato del rischio concreto: il giorno in cui qualcuno guarda — un cliente che chiede “cosa avete di mio e a chi l’avete dato”, una verifica — la distanza tra quello che la carta promette e quello che il backend fa diventa visibile. E lì non ti difende l’aver pagato una bella informativa: ti difende il poter mostrare dove stanno i dati, chi li ha toccati, quando li cancelli. Una piscina bucata resta bucata anche con il cartello “acqua pulita” sul bordo. Il rischio non è teorico: è il momento in cui devi dimostrare nei fatti l’ordine che hai dichiarato sulla carta.
Qui l’informativa smette di essere un argomento da addetti ai lavori e diventa un pezzo del tuo backend operativo. Il principio è lo stesso che applico ovunque: il dato vive in un posto solo, tuo, con un registro di chi accede. Un’azienda con l’informativa che dice la verità è un’azienda dove i dati stanno dove la carta dice che stanno — e ci si arriva mettendo ordine sotto, non scrivendo una carta più bella. È esattamente il percorso della guida madre dell’adeguamento per le PMI: si parte dal capire quali dati raccogli, dove vivono e con quale base, e si costruisce il registro che l’informativa promette. Non una carta migliore: un sottosuolo dove la carta diventa vera.
La domanda non è “la mia informativa è scritta bene”. È: quello che ho promesso sulla carta lo posso fare davvero, oggi, o i dati sono ancora sparsi su sei pannelli che non sono miei?
Cinque domande oneste sui dati che la tua informativa promette
Non serve una consulenza da migliaia di euro per capire se la tua informativa descrive un ordine che esiste o uno che hai solo scritto. Bastano cinque domande.
- La tua informativa dice “accesso limitato al personale autorizzato”: sai dire, di getto, chi nella tua azienda può davvero aprire i dati di un cliente, o di fatto li vede chiunque abbia il file?
- L’informativa elenca i destinatari a cui passi i dati: corrisponde davvero a tutti i posti e le persone a cui quei dati finiscono, o ne dimentica qualcuno?
- Se un cliente domani esercita il diritto di cancellazione che gli prometti, lo puoi fare in tutti i posti dove i suoi dati vivono, o ne resterebbe qualche copia accesa?
- La tua informativa è scritta sulla tua situazione reale, o è un esempio di informativa GDPR copiato da un altro sito con il nome cambiato?
- I dati dei tuoi clienti stanno in un posto solo che è tuo, o sono sparsi tra gestionale, CRM, email, fogli Excel e chat — mentre la carta promette ordine?
Se a queste domande hai risposto con un sospiro, non sei nei guai: sei nella situazione di quasi tutte le PMI italiane, che hanno un’informativa a posto sulla carta e un backend disordinato sotto. La differenza la fa misurare con precisione dov’è la distanza tra la carta e la realtà, invece di tirare a indovinare. E questo lo puoi fare adesso, da solo, in pochi minuti.
GDPR Quick Audit · il voto di conformità del tuo sito
Rispondi a poche domande sulla tua azienda — cosa dichiari nell’informativa, dove tieni davvero i dati dei clienti, chi vi accede, come gestisci i diritti — e in pochi minuti hai un voto chiaro su quanto la tua carta corrisponde alla realtà e dove sei scoperto. Niente gergo da avvocato, solo dove intervenire per primo.
Inserisci i dati e parti. Senza carta di credito. Il risultato lo salvi nella tua Officina con la sola email, se vuoi tenertelo.
Il voto è il punto di partenza. Dice quanta distanza c’è oggi tra la carta e i dati; cosa farne, lo decidi tu.
Le domande che ti stai facendo adesso
Cosa deve contenere un’informativa privacy secondo l’articolo 13 del GDPR?
Poche cose precise: chi sei tu come titolare del trattamento e come ti si contatta; per quali finalità tratti i dati; su quale base giuridica lo fai (un contratto, un consenso, un obbligo di legge); a chi passi i dati, cioè i destinatari; per quanto tempo li conservi; e quali sono i diritti dell’interessato, come vedere i dati, correggerli o cancellarli. È un documento serio e va scritto bene. Ma scriverlo bene non basta, se sotto i dati sono sparsi su sei programmi: la carta descrive un ordine, e tu devi poterlo mantenere davvero.
Posso usare un modello di informativa privacy GDPR scaricato da internet?
Come bozza per capire la struttura, può aiutare. Come documento da pubblicare così com’è, no: un modello descrive l’azienda di un altro, non la tua. L’articolo 13 ti chiede di dichiarare le tue finalità, i tuoi destinatari, i tuoi tempi di conservazione — e un esempio di informativa GDPR copiato non li conosce. Il rischio vero non è formale: è che la carta prometta un ordine che il tuo backend non mantiene. Prima sistemi dove vivono i dati, poi la carta che li descrive diventa vera.
Qual è la differenza tra avere l’informativa e essere davvero in regola?
L’informativa è la fotografia di dove vivono i dati e di come li tratti. Essere in regola significa che la fotografia assomiglia alla realtà. Puoi avere l’informativa più curata del mondo, ma se i dati dei clienti stanno in sei posti che non si parlano, la carta descrive un ordine che non esiste. La carta la sistema l’avvocato; dove vivono i dati lo sistema un backend dove stanno in un posto solo, tuo, con un registro di chi accede. Sono due lavori diversi, e servono entrambi.
Se ho l’informativa, perché dovrei preoccuparmi di dove stanno i dati?
Perché l’informativa è una promessa, e una promessa vale solo se la puoi mantenere. Quando dichiari “accesso limitato” e “diritto di cancellazione”, ti impegni a fare quelle cose davvero. Se i dati sono sparsi tra gestionale, email, Excel e chat, non controlli chi vi accede e non riesci a cancellarli tutti: la carta dice una cosa e il backend ne fa un’altra. Il giorno in cui qualcuno controlla o un cliente fa una richiesta, è quella distanza a metterti in difficoltà, non il documento.
Mettere a posto il backend mi rende conforme al GDPR?
Ti toglie la causa principale del problema: dati sparsi e impossibili da governare. Io non sono un avvocato e non ti vendo la conformità garantita: l’interpretazione legale e i documenti giusti li cura chi di dovere. Quello che faccio è far vivere i dati in un posto solo, tuo, con un registro di chi accede, così che l’informativa che il legale scrive descriva un ordine che esiste davvero. La carta diventa vera quando il sottosuolo è in ordine, non quando la riscrivi.
Da dove inizio, senza impegno?
Dagli strumenti diagnostici gratuiti: misuri quanto la tua informativa corrisponde alla realtà — cosa dichiari, dove vivono i dati, chi vi accede — in pochi minuti, senza carta di credito e senza parlare con nessuno. Poi, se ha senso, ne parliamo.
Puoi continuare a tenere una bella informativa appoggiata su dati sparsi in sei posti che non sono tuoi. Oppure puoi sapere, con un numero, quanta distanza c’è tra quello che la carta promette e dove vivono davvero.
Smetti di affidarti a una carta che descrive un ordine che non esiste. Misura dove vivono davvero i tuoi dati.
La maggior parte degli imprenditori che mi scrive non ha un problema con l’informativa. Ce l’ha, ed è anche scritta bene. Ha un problema con quello che c’è sotto: i dati di ogni cliente sparsi tra gestionale, CRM, Excel del commerciale, casella email e chat, mentre la carta promette un ordine che il backend non mantiene. La piscina è piena d’acqua pulita in cima e cola dai buchi sul fondo.
Riscrivere l’informativa o scaricare un modello migliore non lo risolve, perché il buco non è nella carta: è in dove finiscono a vivere i dati che la carta dichiara. Lo risolve far confluire tutto in un posto solo che è tuo — un database unico, con un registro di chi accede a cosa — così che le finalità, i destinatari e i tempi di conservazione dichiarati diventino cose che puoi davvero mantenere. Poi l’avvocato scrive un’informativa che descrive un sistema in ordine, invece di rincorrere un caos. E quella distanza tra ciò che la carta promette e dove vivono davvero i dati non è un problema solo formale: è lo spazio in cui il rischio di una sanzione GDPR trova terreno, perché il giorno della domanda non puoi dimostrare che la carta dice il vero. Si chiude mettendo i dati in ordine sotto la carta, non riscrivendo la carta.
Non ti chiedo di firmare niente e non ti chiedo di credermi. Non sono un avvocato e non ti vendo la conformità garantita: l’interpretazione legale la cura chi di dovere, e fa un mestiere vero. Io sigillo i buchi operativi sotto le carte: metto i dati in un posto solo, tuo, con un registro di chi li tocca, così che il lavoro legale diventi semplice e l’informativa torni a dire la verità. Ti chiedo solo di guardare il voto GDPR della tua azienda, gratis, in pochi minuti. Se quello che vedi ti suona familiare, andiamo avanti. Se non fa per te, chiudiamo qui senza rancore.
La tua informativa promette un ordine. Adesso scopri se quell’ordine esiste davvero, o se i dati colano ancora dai buchi!
Strumenti gratuiti. Senza carta di credito. Senza parlare con nessuno.
