GDPR: cos’è, a cosa serve, come adeguarsi alla privacy

GDPR: cosa prevede e come adeguarsi alla normativa sulla privacy

Di : Alessandro Achilli 7 Maggio 2025

Il tema del GDPR (General Data Protection Regulation) è particolarmente articolato perché incrocia competenze differenti, che spaziano dagli aspetti legali a quelli tecnici. Per sintetizzare, possiamo dire che questo regolamento dell’Unione Europea vuole organizzare e ottimizzare la gestione dei dati personali degli utenti da parte delle aziende e delle organizzazioni che raccolgono queste informazioni.

Grazie al Regolamento UE 2016/679, la normativa europea sulla protezione dei dati personali, entrata in vigore il 25 maggio 2018, garantisce una serie di diritti fondamentali agli utenti. Nello specifico, il GDPR permette ai cittadini dell’Unione Europea di ottenere maggiori tutele in termini di trasparenza, sicurezza e controllo sui propri dati personali. Ma cosa significa tutto questo per le aziende italiane? Come allinearsi a questa normativa ed evitare le multe (salate) per non aver rispettato gli obblighi tecnici?

Indice dei contenuti

Cos’è il GDPR, una definizione

Il GDPR è l’acronimo di General Data Protection Regulation, vale a dire il regolamento generale sulla protezione dei dati personali che le aziende sono tenute a osservare dal 25 maggio 2018. L’obiettivo è quello di proteggere le persone fisiche rispetto al trattamento dei dati di carattere personale e garantire lo sviluppo economico. L’obiettivo lo possiamo individuare nel documento del Garante della Privacy:

“Il presente regolamento è inteso a contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di un’unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone fisiche”.

Quindi, il punto di partenza è questo: il regolamento sulla protezione dei dati personali non deve essere visto come un freno ma come uno strumento per acquisire, utilizzare e tutelare le informazioni che le aziende raccolgono (con strumenti differenti) rispetto a clienti o potenziali tali. Questo regolamento – entrato in vigore il 24 maggio 2016 e applicato dal 25 maggio 2018 – deve essere visto come uno standard di sicurezza che aumenta la certezza delle tutele per il trattamento dei dati personali.

Quali sono i tre stati dei dati?

Nel contesto della protezione dei dati, anche rispetto al GDPR, dobbiamo distinguere i tre stati in cui i dati possono trovarsi. Questo perché ognuno richiede misure di sicurezza specifiche. Ecco i casi specifici dei dati:

In uso: sono i dati attivamente trattati da un sistema o da un utente. Ad esempio, quando un dipendente consulta un file contenente dati personali sul computer.
In transito: qui le informazioni vengono trasmesse da un punto all’altro, come nel caso di un’email che veicolano dati sensibili o di una trasmissione tra due server.
A riposo: in quest’ultima opzione, i dati sono stati archiviati su dispositivi fisici o digitali (tipo hard disk, database, backup) e non sono attualmente in uso.

Cosa sapere rispetto a queste varie condizioni? Semplice, ognuna di queste opzioni è esposta a rischi da non sottovalutare. Quindi, deve essere protetto con misure adeguate come la crittografia, il controllo degli accessi o la segmentazione di rete.

Chi è obbligato al rispetto del GDPR?

Come ci ricorda il documento ufficiale dell’UE, il GDPR deve essere osservato da tutte le organizzazioni pubbliche o private, indipendentemente dalle loro dimensioni. Condizione essenziale: devono essere situate nello spazio economico europeo o SEE – tre paesi aderenti all’AELS ovvero Islanda, Liechtenstein e Norvegia e i 27 Stati membri dell’Unione europea. Sono obbligate anche le aziende che si rivolgono a utenti nell’UE e che trattano dati personali di cittadini europei.

In sintesi, devono osservare le regole del GDPR tutte le imprese, le pubbliche amministrazioni, i professionisti e le organizzazioni che trattano dati personali di cittadini UE. Ad esempio, devono essere allineati alle indicazioni del GDPR chi utilizza:

Siti web con form di contatto
Ecommerce
Software gestionali
Aziende che utilizzano sistemi di videosorveglianza

Ovviamente non tutte le aziende devono gestire il regolamento del GDPR allo stesso modo, tutto cambia a seconda della tipologia e quantità di dati trattati, senza dimenticare la finalità del trattamento.

Caso concreto: chi ha un sito web con un form dei contatti deve avere l’informativa privacy visibile e comprensibile da mostrare prima dell’invio del form. Poi deve permettere di dare il consenso esplicito per trattamenti non strettamente necessari e conservare i dati solo per il tempo necessario.

Ma chi gestisce un e-commerce, oltre ad avere un’informativa privacy chiara su raccolta, utilizzo e conservazione dei dati, deve garantire un livello di crittografia e sicurezza tecnica elevata per la gestione delle informazioni sensibili. Inoltre, servono strumenti avanzati per la sicurezza di rete come certificati SSL di qualità e antispam per proteggere i dati in termini di cybersicurezza.

Perché è utile adeguarsi (oltre che un obbligo)

Ci sono diversi motivi che dovrebbero spingere le aziende e le organizzazioni che raccolgono dati personali a prendersi cura (seriamente) degli obblighi legati al GDPR. Ci sono due punti fondamentali da analizzare in questi casi.

Fiducia dei contatti nei confronti del brand

Essere conformi al GDPR non è solo un obbligo per chi gestisce dati personali: si tratta di una reale opportunità per aumentare la fiducia dei clienti e proteggere il valore dei dati. Investire in privacy significa gestire al meglio la propria reputazione: le persone arrivano sul tuo sito web o sull’ecommerce e si rendono conto che ci sono una serie di passaggi che tutelano la privacy: anche questo è fondamentale per aumentare la fiducia nel brand.

Rischi di sanzioni per chi non rispetta il GDPR

Uno dei motivi fondamentali per allinearsi alle regole del GDPR: chi non asseconda le regole rischia delle sanzioni importanti. Per le mancanze meno gravi abbiamo multe pari a 10 milioni di euro o il 2% del fatturato mondiale dell’attività in questione. Per le violazioni gravi, invece, abbiamo 20 milioni di euro o il 4% del fatturato mondiale annuo sempre dell’azienda.

Cosa prevede il GDPR: principi e adempimenti

Per comprendere le procedure necessarie a rispettare il regolamento del GDPR dobbiamo prima valutare i principi decisivi di questo provvedimento. Ecco i punti imprescindibili per tutte le aziende, le imprese, le pubbliche amministrazioni:

Liceità, correttezza e trasparenza: il trattamento dei dati deve essere svolto in modo lecito e corretto, e gli interessati saranno informati in modo chiaro.
Limitazione della finalità: i dati devono essere presi solo per scopi specifici, espliciti e legittimi. Non bisogna usarli per finalità incompatibili con quelle dichiarate.
Minimizzazione dei dati: aspetto fondamentale, si raccolgono solo i dati strettamente necessari per raggiungere le finalità dichiarate. Niente dati superflui.
Esattezza e aggiornamento: le informazioni hanno l’obbligo di essere corrette, aggiornate. Se necessario, c’è vincolo di rettifica o cancellazione velocemente.
Conservazione limitata: i dati raccolti saranno conservati per il tempo necessario allo scopo. Dopo verranno cancellati o anonimizzati.
Integrità e riservatezza: bisogna trattare i dati in modo da garantire la sicurezza, proteggendoli da accessi non autorizzati o danni, attraverso misure adeguate.

Per rispettare i principi fondamentali del GDPR, le aziende devono seguire diversi punti. Ad esempio, bisogna fornire informative sulla privacy chiare e complete sul sito web chiedendo un consenso esplicito al trattamento dei dati personali.

Bisogna anche gestire il registro delle attività di trattamento, un documento che consente ai responsabili del trattamento di documentare tutte le operazioni relative ai dati personali svolte sotto la loro responsabilità. Si aggiunge alla lista degli obblighi anche la valutazione d’impatto sulla protezione dei dati (DPIA) per definire i possibili rischi delle attività.

Se necessario, bisogna nominare un DPO, ovvero un Data Protection Officer. Ma, soprattutto, bisogna definire la gestione delle violazioni dei dati personali o data breach. Vale a dire, l’insieme delle azioni da seguire quando si verifica un incidente che compromette la sicurezza, la riservatezza, l’integrità o la disponibilità dei dati personali.

Quali dati devono essere protetti secondo il GDPR?

Per il GDPR, tutte le organizzazioni devono proteggere i dati personali. C’è una particolare attenzione a quelle appartenenti a categorie speciali. Non si tratta solo di aggiornare il sito web con un’informativa o un banner per i cookie: la protezione dei dati riguarda profondamente i processi interni dell’azienda.

Dati personali che identificano una persona:
Nome e cognome
Indirizzo email
Numero di telefono
Indirizzo IP
Dati di localizzazione
Codice fiscale
Targa del veicolo
Immagini e registrazioni audio/video
Dati personali che richiedono una protezione più rigorosa
- Origine razziale o etnica
- Opinioni politiche
- Convinzioni religiose o filosofiche
- Appartenenza sindacale
- Dati genetici e biometrici
- Dati relativi alla salute e alla vita sessuale
Dati giudiziari
Condanne penali
Reati o procedimenti penali in corso
Provvedimenti giudiziari

Il trattamento di questi dati è soggetto a condizioni particolarmente restrittive e deve essere autorizzato da disposizioni di legge o da provvedimenti specifici.

Adeguamento al GDPR: cosa serve davvero?

Cosa deve fare un’azienda per adeguarsi alle richieste del General Data Protection Regulation? Ci sono alcune operazioni fondamentali per allinearsi tecnicamente a quanto richiesto dal regolamento dell’UE sulla protezione dei dati personali delle persone fisiche:

Mappatura per identificare quali dati personali vengono raccolti e trattati.
Redazione delle informative che spiegano come verranno usati i dati.
Gestione del consenso che deve essere libero, informato e dimostrabile.
Revisione dei contratti con fornitori e clienti che definiscono i rispettivi ruoli.
Misure tecniche e organizzative di sicurezza per proteggere i dati da problemi.
Formazione del personale sui principi GDPR, sui rischi e sulle buone pratiche.

Ultimo punto fondamentale: la gestione di backup per tutelare al meglio i dati. È obbligatorio attivare e gestire dei sistemi per recuperare i dati in caso di incidente e garantire la continuità operativa. I dati sensibili come quelli sanitari o giudiziari, o ancora quelli finanziari, chiedono tutele rafforzate.

Quali sono le figure fondamentali identificate dal GDPR?

Il GDPR individua diverse figure nel percorso di trattamento dei dati personali. E ci sono delle responsabilità precise. Ad esempio, il titolare del trattamento è la persona fisica o giuridica che decide finalità e mezzi del trattamento dei dati. Per intenderci, può essere l’azienda che raccoglie le informazioni. Poi abbiamo:

Responsabile del trattamento: stiamo parlando di un fornitore, un consulente, o un’azienda IT che tratta dati per conto del titolare, sotto vincolo contrattuale.
Incaricato/autorizzato al trattamento: è il dipendente o collaboratore interno che accede ai dati per svolgere il proprio lavoro, previa istruzione e autorizzazione.
DPO/RPD: qui abbiamo la figura indipendente – Responsabile della Protezione dei Dati o Data Protection Officer – che vigila sul corretto trattamento dei dati personali.

E poi c’è l’interessato, la persona a cui si riferiscono i dati. Ogni ruolo comporta responsabilità diverse: una corretta gestione della privacy parte proprio dal riconoscimento e dalla formazione di queste figure.

Che differenza c’è tra DPO e RPD?

Abbiamo appena citato queste sigle. C’è una differenza? No, DPO (data protection officer) e RPD (responsabile della protezione dei dati) sono due termini che indicano la stessa figura, uno in inglese e uno in italiano. Per precisare, è giusto ricordare che il DPO/RPD è una figura prevista dal GDPR che ha il compito di:

Sorvegliare il rispetto del regolamento nell’organizzazione.
Fornire consulenza su valutazioni d’impatto e altre attività.
Fare da punto di contatto tra l’organizzazione e il Garante.
Formare il personale sull’uso corretto dei dati personali.

Non tutte le aziende sono obbligate a nominare il DPO/RPD ma nei casi previsti, tipo quelli che includono la Pubblica Amministrazione, è una figura indispensabile e autonoma.

Quali sono i pilastri della nuova privacy?

Il GDPR ha rivoluzionato la cultura della privacy in Europa, introducendo un approccio basato su responsabilità, trasparenza e protezione effettiva dei diritti. I principali pilastri della nuova normativa:

Accountability (responsabilizzazione): il titolare del trattamento deve dimostrare di aver adottato misure adeguate a proteggere i dati.
Privacy by design e by default: la protezione è integrata fin dalla progettazione dei sistemi, e i dati devono essere trattati nel modo meno invasivo possibile.
Trasparenza: gli interessati devono essere sempre informati in modo chiaro su come vengono usati i loro dati. Il concetto di trasparenza è questo, nulla di più.
Diritti degli interessati: il GDPR rafforza i diritti delle persone tipo accesso, rettifica, cancellazione (diritto all’oblio), opposizione, limitazione del trattamento e portabilità.
Sicurezza dei dati: è obbligatorio per le aziende adottare misure tecniche e organizzative per prevenire violazioni, perdite o accessi non autorizzati.

Ultimo aspetto da ricordare, non per importanza: la notifica delle violazioni. In caso di data breach, il titolare ha l’obbligo di comunicarlo all’autorità entro 72 ore e, se necessario, anche agli interessati.

GDPR e NIS2: verso una sicurezza integrata

Per articolare il percorso di adeguamento delle aziende alle normative arriva il NIS2, ciò significa coniugare privacy e cybersecurity dato che la normativa in materia di sicurezza dei dati secondo la Legge 4 agosto 2021, n. 109, introduce obblighi ancora più stringenti in ambito IT.

Cosa significa tutto questo? Ad esempio, le aziende devono garantire analisi dei rischi e di sicurezza dei sistemi informativi. Poi si devono garantire delle procedure di gestione del rischio in modo da implementare misure di sicurezza adeguate. Per questo motivo, condividono diversi punti di contatto, soprattutto quando si parla di sicurezza informatica e protezione dei dati. Soprattutto rispetto alla sicurezza dei dati personali, dato che bisogna implementare misure concrete di sicurezza IT.

Hai bisogno di supporto per l’adeguamento al GDPR?

L’adeguamento alle normative GDPR e NIS2 è un passaggio fondamentale per permettere alle aziende di procedere nella propria attività di marketing e interazione con i clienti in modo sicuro e legale.

Ignorare le normative in esame vuol dire rischiare notevoli sanzioni e rinunciare ai clienti che non si fidano dei brand che ignorano le regole base della privacy. Se non sai da dove iniziare, o vuoi una consulenza personalizzata, affidati a professionisti esperti. Contattaci senza impegno e valutiamo insieme i passi.

Cookie	Durata	Descrizione
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durata	Descrizione
__kla_id	2 years	Cookie set to track when someone clicks through a Klaviyo email to a website.
SRM_B	1 year 24 days	Used by Microsoft Advertising as a unique ID for visitors.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-137720848-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gat_UA-35242002-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjIncludedInSessionSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
ajs_anonymous_id	1 year	This cookie is set by Segment to count the number of people who visit a certain site by tracking if they have visited before.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
ANONCHK	10 minutes	The ANONCHK cookie, set by Bing, is used to store a user's session ID and also verify the clicks from ads on the Bing search engine. The cookie helps in reporting and personalization as well.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

GDPR: cosa prevede e come adeguarsi alla normativa sulla privacy

GDPR: cosa prevede e come adeguarsi alla normativa sulla privacy

Cos’è il GDPR, una definizione

Quali sono i tre stati dei dati?

Chi è obbligato al rispetto del GDPR?

Perché è utile adeguarsi (oltre che un obbligo)

Fiducia dei contatti nei confronti del brand

Rischi di sanzioni per chi non rispetta il GDPR

Cosa prevede il GDPR: principi e adempimenti

Quali dati devono essere protetti secondo il GDPR?

Adeguamento al GDPR: cosa serve davvero?

Quali sono le figure fondamentali identificate dal GDPR?

Che differenza c’è tra DPO e RPD?

Quali sono i pilastri della nuova privacy?

GDPR e NIS2: verso una sicurezza integrata

Hai bisogno di supporto per l’adeguamento al GDPR?

Tags

Articoli

Parla con un Nostro Esperto

Siamo disponibili per ogni chiarimento e problema, non esitare a contattarci

Hanno scelto IT Impresa

Contatti e Indirizzi

Sedi

Restiamo in contatto

Categorie Blog

Cookie	Durata	Descrizione
__awc_tld_test__	session	No description
_clck	1 year	No description
_clsk	1 day	No description
_hjSession_1956240	30 minutes	No description
_hjSessionUser_1956240	1 year	No description
AnalyticsSyncHistory	1 month	No description
CLID	1 year	No description
last_pys_landing_page	7 days	No description
last_pysTrafficSource	7 days	No description
li_gc	2 years	No description
pys_first_visit	7 days	No description
pys_landing_page	7 days	No description
pys_session_limit	1 hour	No description
pys_start_session	session	No description
pysTrafficSource	7 days	No description
SM	session	No description available.