È una frase che capita spesso di sentire nelle aziende, soprattutto nelle piccole realtà:
“I miei fornitori non mi hanno mai mandato un’informativa privacy, quindi non vedo perché dovrei farlo io.”
Il problema è che il GDPR non funziona “per reciprocità”.
Gli obblighi privacy non dipendono dal comportamento degli altri, ma dal fatto che la vostra azienda stia trattando dati personali.
Un caso molto realistico
Immaginiamo una piccola azienda commerciale che gestisce:
- clienti;
- fornitori;
- contatti email;
- preventivi;
- ordini;
- fatturazione.
L’azienda raccoglie normalmente:
- nomi e cognomi;
- email;
- numeri di telefono;
- indirizzi;
- IBAN;
- dati fiscali.
Per anni non viene mai consegnata alcuna informativa privacy a clienti o fornitori, perché:
“Nessuno l’ha mai chiesta.”
Un giorno però un ex fornitore, dopo la cessazione del rapporto commerciale, chiede:
- quali dati siano conservati;
- per quale finalità;
- da quanto tempo;
- a chi siano stati comunicati.
L’azienda non riesce a dimostrare:
- di aver fornito l’informativa privacy;
- la base giuridica del trattamento;
- le modalità di conservazione;
- i tempi di cancellazione dei dati.
A quel punto può nascere:
- un reclamo al Garante Privacy;
- una richiesta di esercizio dei diritti;
- un controllo documentale.
Quali rischi concreti ci sono?
La mancata consegna dell’informativa privacy può comportare:
⚠️ Violazione degli articoli 12, 13 e 14 del GDPR
relativi agli obblighi di trasparenza verso gli interessati.
⚠️ Contestazione di trattamento non corretto dei dati
perché il soggetto interessato non è stato adeguatamente informato.
⚠️ Difficoltà difensiva in caso di controllo
poiché l’azienda deve poter dimostrare la conformità (“accountability”).
E le sanzioni?
Il GDPR prevede, nei casi più gravi, sanzioni amministrative fino a:
- 20 milioni di euro
oppure - 4% del fatturato mondiale annuo.
Ovviamente, nelle PMI italiane le sanzioni vengono normalmente parametrate alla dimensione dell’azienda e alla gravità della violazione.
Ma anche una “semplice” contestazione può comportare:
- richieste di adeguamento immediate;
- ispezioni;
- costi legali;
- perdita di fiducia da parte di clienti e fornitori;
- tempo dedicato alla gestione del procedimento.
Il vero punto
Molte aziende pensano alla privacy come a un semplice modulo da firmare.
In realtà il GDPR richiede soprattutto:
- trasparenza;
- organizzazione;
- tracciabilità;
- corrette procedure interne.
E l’informativa privacy è uno dei primi documenti che dimostrano se un’azienda sta trattando i dati in modo corretto oppure no.
Un consiglio pratico
Anche nelle realtà più piccole è importante:
✔ predisporre informative corrette;
✔ consegnarle a clienti e fornitori;
✔ conservarne evidenza;
✔ aggiornare i documenti nel tempo;
✔ verificare che siano coerenti con i trattamenti realmente svolti.
Perché spesso il rischio non nasce da grandi attacchi informatici…
ma da piccole abitudini considerate “normali” per anni.
Data pubblicazione : 20/05/2026