GDPR per piccole imprese: l’IT minimo che serve davvero

Il GDPR fa paura perché spesso viene presentato come una valanga di adempimenti complessi e costosi. Per la maggior parte delle piccole imprese italiane (sotto i 50 dipendenti), in realtà, l’IT minimo per essere ragionevolmente in regola è una lista corta. Questa guida la riassume, senza pretendere di sostituire un consulente legale.

Premessa importante

Il GDPR ha tre livelli: gli adempimenti legali (informative, registro, DPO se serve) richiedono un consulente specializzato. Gli adempimenti organizzativi (procedure, ruoli, formazione) sono lavoro di management. Gli adempimenti tecnici / IT — quelli di cui parliamo qui — sono quelli che gestiamo noi come fornitori IT. Senza i tecnici, gli altri non valgono niente.

L’IT minimo che ogni piccola impresa deve avere

1. Backup automatico cifrato dei dati personali

Tutti i dati di clienti, fornitori, dipendenti devono essere replicati con backup automatico. La copia di backup deve essere cifrata (sia in transito che a riposo). Senza backup, in caso di guasto o ransomware perdi i dati personali e devi notificarlo al Garante e ai clienti — danno reputazionale enorme.

2. Antivirus aggiornato su tutti i PC e server

Sì, anche su quel PC della receptionist che fa solo la posta. Antivirus aziendale (non Avast Free), aggiornamenti automatici, log centralizzati per dimostrare che funziona davvero.

3. Aggiornamenti di sicurezza applicati con regolarità

Sistemi operativi, applicativi, gestionali. Tenere un PC su Windows 7 nel 2026 con dati personali a bordo è una violazione GDPR di fatto, perché il sistema non riceve più patch di sicurezza.

4. Password robuste e cambiabili

Niente “1234”, niente “password”, niente nome dell’azienda + 2024. Politica password aziendale: minimo 12 caratteri, non riutilizzata, cambiata almeno annualmente sui sistemi critici.

5. Autenticazione a due fattori almeno su email e gestionale

L’email aziendale è il punto di accesso principale a tutto il resto (reset password, fatture, comunicazioni). Senza 2FA è un colabrodo. Il gestionale, se contiene anagrafiche con dati personali, ugualmente.

6. Accessi differenziati per ruolo

L’addetto al magazzino non deve vedere le buste paga. Il commerciale non deve avere accesso al gestionale contabilità completa. Si chiama “principio di necessità” del GDPR (data minimization). Va configurato sui sistemi.

7. Cifratura dei dispositivi mobili

PC portatili, tablet, smartphone aziendali devono avere il disco cifrato (BitLocker su Windows, FileVault su Mac, cifratura nativa Android/iOS). Se vengono persi o rubati, i dati non sono leggibili da chi li trova: non sei tenuto alla notifica al Garante.

8. Procedure documentate per la cancellazione dei dati

Quando un cliente chiede l’esercizio del “diritto all’oblio”, devi sapere come trovare e cancellare i suoi dati in tutti i sistemi. Sembra ovvio: nella maggior parte delle aziende non lo è. Tante volte i dati sono replicati in 8 posti diversi e non si cancellano davvero da nessuno.

9. Log degli accessi ai dati sensibili

Per dati particolarmente delicati (sanitari, contabili, di minori), serve sapere chi ha visto cosa e quando. Sui gestionali moderni la funzione c’è quasi sempre, va attivata.

10. Procedura di Data Breach pronta

Cosa fai esattamente se ti accorgi di aver subito una violazione? Hai 72 ore per notificare il Garante. La procedura va scritta PRIMA che succeda, non quando succede. Anche solo una pagina A4 con i contatti giusti e i passi da fare è meglio di niente.

Quanto costa fare tutto questo

Per una piccola impresa di 5-15 dipendenti l’IT minimo GDPR-compliant pesa indicativamente:

• Backup professionale + cloud immutabile: 60-150€/mese
• Antivirus aziendale: 3-8€/postazione/mese
• Password manager + 2FA: 4-8€/utente/mese
• Cifratura dispositivi: gratis (è già nei sistemi operativi, va attivata)
• Audit IT iniziale + setup: 800-2.500€ una tantum
• Manutenzione e controllo periodico: 80-200€/mese in contratto di assistenza

Totale: 200-500€/mese di gestione + setup iniziale. Decisamente meno della sanzione GDPR media erogata in Italia per violazioni.

Cosa NON copre l’IT (e tu hai bisogno comunque)

Per un GDPR completo servono anche: registro dei trattamenti, informative, eventuale Responsabile della Protezione Dati (DPO), formazione dipendenti, procedure scritte. Quella parte è di un consulente legale o privacy specialist, non nostra. Ti aiutiamo a coordinarci con loro.

Come ti aiutiamo

Per piccole imprese del Veneto orientale impostiamo l’IT minimo GDPR nel contratto di assistenza IT a Portogruaro. Audit iniziale, setup, controllo periodico. Per la parte legale ti indichiamo professionisti della zona con cui collaboriamo abitualmente.