Torna al blogTecnologia

LGPD per le PMI: checklist pratica per essere in regola in 90 giorni

Un piano d'azione realistico per le PMI che non si sono ancora adeguate alla Legge Generale sulla Protezione dei Dati brasiliana. Senza gergo legale, senza consulenze da sei cifre.

Pubblicato il18 aprile 20265 min di letturaFabian Martinelli
Condividi
LGPD per le PMI: checklist pratica per essere in regola in 90 giorni

Nel 2025 l'ANPD (Autoridade Nacional de Proteção de Dados) ha iniziato a sanzionare davvero le PMI. Fino ad allora l'autorità si era concentrata sui grandi player della tecnologia e delle telecomunicazioni. Oggi, cliniche, agenzie, e-commerce e studi di servizi professionali sono nel mirino.

Se la tua azienda tratta dati di pazienti, clienti o collaboratori, ignorare la LGPD è un rischio finanziario che puoi evitare. La buona notizia: essere conformi è più semplice di quanto sembri, a patto di seguire un piano sistematico.

Questo è un checklist pratico di 90 giorni, testato su oltre 40 aziende clienti, per raggiungere un livello minimo di aderenza alla legge.

Mese 1: Diagnosi e mappatura

Settimane 1-2: Inventario dei dati

Rispondi, con evidenze concrete:

  • Quali dati personali raccogliamo? (codice fiscale, nome, e-mail, telefono, indirizzo, dati sanitari, dati finanziari)
  • Di chi? (clienti, dipendenti, lead, fornitori)
  • Dove vengono archiviati questi dati? (Google Drive, foglio di calcolo locale, CRM, sistema proprietario, e-mail)
  • Chi vi ha accesso? (elenco delle persone e livello di autorizzazione)

Questa mappatura è la base di tutto. Senza di essa, nulla ha senso.

Settimane 3-4: Base giuridica

Per ogni categoria di dato raccolto, documenta la base giuridica che autorizza il trattamento:

  • Consenso (il cliente ha selezionato un opt-in esplicito)
  • Esecuzione del contratto (dati necessari per erogare il servizio)
  • Legittimo interesse (prospezione commerciale, analisi delle frodi)
  • Adempimento di un obbligo legale (dati fiscali, dati relativi al lavoro)

L'ANPD chiederà "perché avete questo dato?" e dovete avere una risposta chiara.

Mese 2: Documentazione e processi

Settimane 5-6: Informativa sulla privacy

L'informativa sulla privacy deve contenere, come minimo:

  • Quali dati raccogliete e perché
  • Con chi li condividete (elenco dei responsabili del trattamento terzi)
  • Per quanto tempo li conservate
  • Come l'interessato esercita i propri diritti (accesso, rettifica, cancellazione, portabilità)
  • Contatto del DPO (responsabile della protezione dei dati)

Pubblicatela sul sito con un link nel footer di tutte le pagine. E, punto critico, assicuratevi che corrisponda a ciò che fate realmente nella vostra operatività.

Settimane 7-8: Canale di contatto per gli interessati

Dovete disporre di un canale (e-mail o modulo) attraverso cui gli interessati possano richiedere accesso, rettifica o cancellazione dei propri dati. L'ANPD richiede una risposta entro 15 giorni di calendario.

Create un indirizzo dedicato (ad esempio: dpo@vostraazienda.com o privacy@vostraazienda.com) e documentate il processo interno per gestire le richieste.

Mese 3: Infrastruttura e formazione

Settimane 9-10: Sicurezza tecnica

  • Crittografia in transito (HTTPS su tutto il sito e i sistemi)
  • Crittografia a riposo (dati sensibili cifrati nel database)
  • Controllo degli accessi (ogni persona vede solo ciò di cui ha bisogno: principio del minimo privilegio)
  • Log degli accessi (chi ha consultato cosa e quando)
  • Backup regolare (almeno giornaliero, con test di ripristino)

Per operazioni di piccole dimensioni, una piattaforma come Supabase o AWS fornisce già tutto questo "gratuitamente", a condizione di configurarla correttamente.

Settimane 11-12: Formazione del personale

Ogni collaboratore che gestisce dati personali ha bisogno di una formazione di base:

  • Cos'è la LGPD e perché è importante
  • Come riconoscere un dato personale
  • Cosa fare in caso di incidente (violazione, perdita di dati)
  • Come gestire le richieste degli interessati

Non è necessario un corso formale. Una riunione di un'ora a trimestre, accompagnata da un documento di riferimento interno, offre già una protezione significativa.

Cosa fiscalizza davvero l'ANPD

In ordine di priorità, sulla base dei casi pubblici:

  1. Informativa sulla privacy assente o non aggiornata , sanzione facile, molto frequente
  2. Consenso non documentato (un opt-in generico nel footer non è sufficiente)
  3. Mancata risposta agli interessati entro 15 giorni
  4. Condivisione con terzi senza informare gli interessati
  5. Incidenti di sicurezza non comunicati all'ANPD

I punti da 1 a 4 si risolvono con documentazione e processi. Il punto 5 è il più complesso e richiede un'infrastruttura adeguata.

Strumenti utili

È possibile fare tutto questo con fogli di calcolo, Google Docs e la posta elettronica; molte aziende iniziano proprio così. Con la crescita, conviene adottare uno strumento integrato.

Il Compliance Analyzer del marketplace esegue esattamente questa diagnosi in 40 minuti, identifica i gap e genera un piano d'azione prioritizzato con responsabile, scadenza e stima dello sforzo. Incluso nel piano Pro.

Conclusione

La LGPD non è un ostacolo insormontabile, ma richiede disciplina. Lo scenario peggiore è ignorarla fino all'arrivo di una notifica: a quel punto si hanno 15 giorni per rispondere e, senza preparazione, la situazione diventa caotica.

Iniziare ora, con un piano di 90 giorni ben eseguito, risolve l'80% del rischio regolatorio. Il restante 20% consiste in aggiustamenti progressivi da apportare nel tempo.

Contattaci se hai bisogno di aiuto per valutare la tua situazione attuale. Le prime 30 aziende che si registreranno nel 2026 riceveranno gratuitamente la diagnosi Compliance Analyzer.

Continua a leggere

Newsletter settimanale · Ogni venerdìI segnali di IA applicata, direttamente nella tua casella.Voglio iscrivermi