I 10 errori GDPR più comuni delle aziende
I 10 errori GDPR più comuni delle aziende
Otto anni dopo l’entrata in vigore del GDPR, gli stessi errori si ripetono. Ancora e ancora. E la CNIL (autorità francese per la protezione dei dati) non fa più pedagogia — sanziona. Nel 2025, 486,8 milioni di euro di sanzioni. Nel 2024, 87 sanzioni per 55 milioni di euro. La procedura semplificata permette ormai di sanzionare rapidamente i casi più flagranti (sanzioni fino a 20.000 euro senza udienza).
Il problema non è che le aziende rifiutino di conformarsi. È che pensano di esserlo quando non lo sono.
Ecco i 10 errori GDPR più comuni — con per ciascuno un esempio concreto, i rischi in cui si incorre e la soluzione per porvi rimedio.
Errore 1: informativa sulla privacy assente o copia-incolla
È l’errore più visibile e più diffuso. O l’informativa sulla privacy semplicemente non esiste, oppure è stata copiata da un altro sito senza alcun adattamento.
Il problema: Un’informativa sulla privacy generica non riflette i trattamenti reali della vostra azienda. Non menziona né le giuste finalità, né i giusti destinatari, né le giuste durate di conservazione. In caso di controllo, è un segnale d’allarme immediato.
Cosa dice il GDPR: Gli articoli 13 e 14 impongono un’informazione trasparente, intelligibile e facilmente accessibile sui trattamenti dei dati.
L’ampiezza del problema: Durante i suoi controlli online, la CNIL (autorità francese per la protezione dei dati) constata che numerose aziende utilizzano modelli di informativa sulla privacy trovati su internet, spesso in inglese tradotto approssimativamente, che non corrispondono in nulla ai loro trattamenti reali. Alcune menzionano servizi che non utilizzano, altre omettono trattamenti essenziali come l’emailing o il CRM.
Come correggere: Redigere un’informativa specifica per la vostra attività, dettagliando ogni trattamento, la sua finalità, la sua base giuridica, i suoi destinatari e i diritti delle persone. Complio verifica automaticamente il vostro sito web e identifica le carenze nella vostra informativa sulla privacy.
Errore 2: cookie depositati senza consenso
Google: 325 milioni di euro di sanzione nel settembre 2025. SHEIN: 150 milioni di euro. Il motivo? Cookie pubblicitari depositati prima ancora che l’utente avesse la possibilità di acconsentire o rifiutare.
Il problema: Numerosi siti depositano traccianti fin dal caricamento della pagina, prima di qualsiasi interazione con il banner dei cookie. Altri rendono il rifiuto più difficile dell’accettazione (dark pattern).
Cosa dice il Garante per la protezione dei dati personali: Le linee guida sui cookie impongono che il rifiuto sia altrettanto semplice dell’accettazione. Nessun tracciante non essenziale può essere depositato prima di un consenso esplicito.
I dark pattern più frequenti: Un pulsante “Accetta” in verde vivace accanto a un link “Configura” in grigio discreto. Un banner che si chiude accettando i cookie se l’utente clicca ovunque sulla pagina. Un pulsante “Rifiuta” nascosto in una seconda schermata di configurazione. Tutte queste pratiche sono considerate non conformi.
Come correggere: Implementare una CMP (Consent Management Platform) conforme come Cookilio, che blocca tutti i traccianti non essenziali finché l’utente non ha dato il suo consenso, e che propone il rifiuto allo stesso livello dell’accettazione.
Errore 3: registro dei trattamenti assente
Il registro dei trattamenti è obbligatorio per qualsiasi azienda con più di 250 dipendenti, ma anche per le più piccole se effettuano trattamenti non occasionali (il che riguarda la quasi totalità delle aziende che hanno un sito web, un CRM o una base di contatti).
Il problema: Molte aziende semplicemente non hanno un registro. Altre hanno un documento creato una sola volta e mai aggiornato, che non riflette più la realtà dei trattamenti.
Cosa dice il GDPR: L’articolo 30 impone la tenuta di un registro che dettaglia le finalità, le categorie di dati, i destinatari, le durate di conservazione e le misure di sicurezza per ogni trattamento.
Cosa molti ignorano: L’eccezione “meno di 250 dipendenti” è un’illusione ottica. Il GDPR precisa che anche le aziende con meno di 250 dipendenti devono tenere un registro se i loro trattamenti non sono occasionali, se riguardano dati sensibili, o se sono suscettibili di comportare un rischio per i diritti e le libertà delle persone. In pratica, qualsiasi azienda che abbia un sito web con un modulo di contatto, una newsletter o uno strumento CRM è interessata.
Come correggere: Iniziare mappando tutti i trattamenti esistenti (sito web, CRM, emailing, buste paga, contabilità). Il Garante propone modelli di registro gratuiti. Complio facilita questa mappatura per la vostra presenza web.
Errore 4: diritti delle persone ignorati
I vostri clienti e utenti hanno il diritto di sapere quali dati detenete su di loro, di farli rettificare, cancellare o trasferire verso un altro servizio. In pratica, molte aziende non hanno alcun processo per gestire queste richieste.
Il problema: Nessun indirizzo email dedicato, nessuna procedura interna, nessun monitoraggio delle richieste. Il termine legale di risposta (un mese) viene regolarmente superato o ignorato.
Cosa dice il GDPR: Gli articoli da 15 a 22 definiscono i diritti delle persone. L’articolo 12 impone di rispondere entro un mese.
Un caso concreto: Un cliente chiede l’accesso ai suoi dati via email. Il messaggio arriva nella casella generale dell’azienda, nessuno sa chi deve gestirlo, nessuno risponde. Tre mesi dopo, il cliente presenta un reclamo all’autorità garante. La procedura semplificata permette di sanzionare questo tipo di inadempienza in poche settimane.
Come correggere: Istituire un indirizzo email dedicato (dpo@vostraazienda.it o privacy@vostraazienda.it), una procedura documentata con modelli di risposta per ogni tipo di diritto, e un registro di monitoraggio delle richieste con le date di ricezione e di risposta.
Errore 5: responsabili del trattamento non inquadrati
Utilizzate un hosting cloud, uno strumento di emailing, un CRM, uno strumento di analytics? Ciascuno di questi fornitori è un responsabile del trattamento ai sensi del GDPR. E ciascun responsabile del trattamento deve essere inquadrato da un contratto conforme all’articolo 28.
Il problema: Molte aziende non sanno nemmeno quanti responsabili del trattamento accedono ai loro dati. Ancora meno hanno un contratto conforme con ciascuno di essi.
Cosa dice il GDPR: L’articolo 28 impone un contratto scritto che dettaglia gli obblighi del responsabile del trattamento, la natura del trattamento, le misure di sicurezza e le condizioni di sub-trattamento.
Il sub-trattamento a cascata: Un rischio spesso sottovalutato. Il vostro fornitore di emailing usa forse AWS per il suo hosting, che a sua volta può essere soggetto al CLOUD Act americano. Il vostro CRM può trasferire dati verso server situati fuori dall’Unione europea senza che voi lo sappiate. Ogni anello della catena di sub-trattamento deve essere identificato e inquadrato.
Come correggere: Elencare tutti gli strumenti e i fornitori che manipolano dati personali. Verificare l’esistenza di un Data Processing Agreement (DPA) per ciascuno. Privilegiare fornitori ospitati in Europa per evitare le problematiche di trasferimento extra-UE.
Errore 6: consenso con casella preselezionata
Una casella preselezionata non è un consenso. Uno scroll sulla pagina non è un consenso. La semplice prosecuzione della navigazione non è un consenso.
Il problema: Il consenso deve essere libero, specifico, informato e inequivocabile (articolo 4.11 del GDPR). Qualsiasi forma di consenso presunto o implicito è invalida.
Cosa dicono le autorità garanti: Le autorità hanno sanzionato ripetutamente aziende per meccanismi di consenso non conformi, in particolare tramite dark pattern che rendono il rifiuto più complesso dell’accettazione.
Oltre i cookie: Il consenso viziato non riguarda solo i cookie. I moduli di iscrizione a una newsletter con una casella preselezionata “Accetto di ricevere offerte dei partner”, le condizioni generali che includono un consenso al trattamento dei dati in un blocco di testo illeggibile, o i pop-up che non lasciano altra scelta che “Accetta” sono altrettante pratiche non conformi.
Come correggere: Assicurarsi che ogni modulo di raccolta utilizzi caselle non selezionate per impostazione predefinita, con un’informazione chiara sull’uso previsto. Per i cookie, utilizzare una CMP come Cookilio che garantisce un consenso conforme.
Errore 7: dati conservati indefinitamente
“Conserviamo tutto, non si sa mai.” È probabilmente la frase più pericolosa in materia di conformità GDPR.
Il problema: Conservare dati oltre la durata necessaria alla finalità per la quale sono stati raccolti costituisce una violazione dell’articolo 5.1.e del GDPR (principio di limitazione della conservazione).
Cosa dice il GDPR: I dati possono essere conservati solo per il tempo necessario alle finalità per le quali sono stati raccolti. Oltre, devono essere cancellati o anonimizzati.
Esempi concreti di durate: Le autorità garanti pubblicano referenziali settoriali. Per un prospect che non ha dato seguito a una sollecitazione commerciale, la durata massima di conservazione è di 3 anni dall’ultimo contatto attivo. Per i dati di candidatura a un impiego, è di 2 anni massimo. Per i log di connessione, è generalmente 1 anno. Per i dati di fatturazione, gli obblighi contabili impongono una conservazione di 10 anni, ma ciò non giustifica la conservazione dell’integralità dei dati associati all’ordine.
Come correggere: Definire una durata di conservazione per ogni trattamento nel vostro registro. Mettere in atto procedure di cancellazione automatica.
Errore 8: nessun DPO quando è obbligatorio
Alcune aziende sono tenute a designare un Responsabile della Protezione dei Dati e non lo fanno, sia per ignoranza dell’obbligo, sia per rifiuto di allocare le risorse necessarie.
Il problema: L’assenza di DPO quando è obbligatorio è una non-conformità in sé, indipendentemente da qualsiasi altra inadempienza.
Cosa dice il GDPR: L’articolo 37 impone un DPO alle autorità pubbliche, alle aziende la cui attività principale implica un monitoraggio regolare e sistematico su larga scala, e a quelle che trattano dati sensibili su larga scala.
La confusione sul perimetro: Molte aziende pensano di non essere interessate perché non operano nel settore “tech”. Eppure, un’agenzia interinale che gestisce migliaia di profili di candidati, una rete di farmacie che tratta dati sanitari, o un’insegna della grande distribuzione con un programma fedeltà sono tutte potenzialmente soggette all’obbligo di designare un DPO.
Come correggere: Valutare obiettivamente se la vostra azienda rientra in uno dei tre casi obbligatori. Se sì, designare un DPO interno o esternalizzato. Se no, considerare comunque un referente privacy interno.
Errore 9: trasferimenti extra-UE non documentati
Utilizzare Google Analytics, AWS ospitato negli USA, Mailchimp, o qualsiasi altro servizio americano senza garanzie adeguate costituisce un trasferimento di dati extra-UE potenzialmente illegale.
Il problema: Dopo la sentenza Schrems II (luglio 2020), i trasferimenti verso gli Stati Uniti non beneficiano più di una protezione automatica. Il EU-US Data Privacy Framework adottato nel 2023 è contestato giuridicamente e potrebbe essere invalidato (potenziale “Schrems III”).
Cosa dice il GDPR: Gli articoli da 44 a 49 inquadrano severamente i trasferimenti extra-UE. Il titolare del trattamento deve garantire un livello di protezione equivalente al GDPR.
L’iceberg dei trasferimenti invisibili: Oltre agli strumenti di cui avete coscienza, il vostro sito web può trasferire dati verso gli Stati Uniti in modo invisibile. Google Fonts carica file da server americani e trasmette l’indirizzo IP del visitatore a Google. Un CDN americano come Cloudflare vede passare tutti i dati scambiati tra il vostro sito e i vostri visitatori. Un pixel Facebook deposita cookie e trasferisce dati comportamentali verso i server di Meta negli Stati Uniti.
Come correggere: Mappare i flussi di dati verso paesi terzi. Privilegiare le soluzioni ospitate in Europa. Sostituire Google Analytics con Mirage Analytics, ospitato su Scaleway in Europa, che non trasferisce alcun dato fuori dall’UE.
Errore 10: nessuna notifica in caso di violazione
FREE Mobile e FREE: 42 milioni di euro di sanzione nel gennaio 2026 per misure di sicurezza insufficienti che hanno permesso l’accesso ai dati di 24 milioni di abbonati. France Travail: 5 milioni di euro per falle che hanno esposto i dati di milioni di iscritti.
Il problema: Molte aziende non hanno alcuna procedura di rilevamento e notifica delle violazioni dei dati. Alcune scoprono la fuga dalla stampa.
Cosa dice il GDPR: L’articolo 33 impone una notifica all’autorità garante entro 72 ore dalla scoperta della violazione. L’articolo 34 impone di informare le persone interessate se il rischio è elevato.
Le 72 ore iniziano dalla scoperta, non dall’incidente. Le autorità garanti considerano che il titolare del trattamento debba aver messo in atto misure che permettano di rilevare rapidamente le violazioni. Un sistema di rilevamento inesistente o difettoso non costituisce una scusa per un ritardo nella notifica.
Come correggere: Mettere in atto un processo di rilevamento degli incidenti (log, monitoraggio, allerte). Documentare una procedura di notifica con responsabilità chiare e modelli pre-redatti. Formare i team a identificare e segnalare gli incidenti di sicurezza.
Il vero costo della non-conformità
Le sanzioni sono solo la parte visibile. Una violazione dei dati non gestita è anche:
- Una perdita di fiducia dei vostri clienti
- Un rischio reputazionale duraturo
- Costi legali e tecnici di rimedio
- Un vantaggio competitivo offerto ai vostri concorrenti conformi
- Un’esclusione potenziale dalle gare d’appalto pubbliche e private
- Un impatto sulla valorizzazione dell’azienda in caso di raccolta fondi o cessione
La conformità GDPR non è un fardello. È un investimento nella fiducia.
FAQ
Quali sono le sanzioni GDPR più elevate in Francia?
Nel 2025, le sanzioni più importanti della CNIL (autorità francese per la protezione dei dati) sono state: Google (325 milioni di euro per cookie depositati senza consenso), SHEIN (150 milioni di euro per lo stesso motivo), FREE Mobile e FREE (42 milioni di euro per falle di sicurezza), e France Travail (5 milioni di euro per sicurezza insufficiente). Fonte: CNIL — Bilancio delle sanzioni 2025.
Le autorità garanti controllano le piccole aziende?
Sì. Le procedure semplificate permettono di sanzionare rapidamente i dossier senza particolari complessità. Le TPE e le PMI non sono esentate dai controlli. Le autorità utilizzano robot per scansionare automaticamente i siti web, il che permette loro di rilevare le inadempienze più comuni senza alcun intervento umano.
Si può utilizzare Google Analytics in Europa?
È giuridicamente rischioso. Google Analytics trasferisce dati verso gli Stati Uniti. Il EU-US Data Privacy Framework è contestato e potrebbe essere invalidato. Per una conformità serena, privilegiate una soluzione come Mirage Analytics che ospita tutti i dati in Europa e non deposita alcun cookie.
Come sapere se il mio sito web è conforme al GDPR?
Un audit di conformità permette di identificare le inadempienze: cookie non conformi, informativa sulla privacy assente o incompleta, traccianti di terze parti non dichiarati. Complio realizza questo audit automaticamente e vi fornisce un rapporto operativo con un punteggio di conformità e raccomandazioni concrete.
Quanto tempo per mettersi in conformità?
Per una microimpresa con un sito web semplice, qualche giorno basta per l’essenziale (informativa sulla privacy, CMP, analytics conforme). Per una PMI con trattamenti complessi, contate diverse settimane o qualche mese per un programma di conformità completo. L’importante è iniziare dai rischi più visibili — in particolare il sito web, che le autorità possono controllare in qualsiasi momento — e progredire per tappe.
Fonti: CNIL — Bilancio delle sanzioni 2025, CNIL — Sanzioni e misure correttive 2024, CNIL — Sanzione FREE, CNIL — Sanzione France Travail, CNIL — Sanzione Google. Articolo aggiornato il 12 febbraio 2026.