Una PMI italiana che cerca un software GDPR non ha bisogno della stessa piattaforma di una multinazionale: le servono poche funzioni essenziali — registro delle attività di trattamento, informative, gestione delle richieste degli interessati, notifica del data breach e governance dei responsabili ex art. 28 — a un costo compreso tra 79 e 349 euro al mese e con hosting nell’Unione Europea. Legiscope (99-299 euro al mese) e Dastra sono le opzioni più adatte a questa fascia, mentre le suite enterprise come OneTrust, che superano i 20.000 euro l’anno, risultano sovradimensionate e ingiustificate. Il punto di partenza, però, è sfatare un equivoco diffuso: la convinzione che una piccola impresa sia esentata dagli obblighi documentali del Regolamento.
Lo sfatiamo subito: l’esenzione dell’art. 30(5) è un mito
Molti imprenditori credono che, sotto i 250 dipendenti, la PMI sia esonerata dalla tenuta del registro delle attività di trattamento. È una lettura errata dell’art. 30, paragrafo 5, del Regolamento (UE) 2016/679. La soglia dei 250 dipendenti prevede una deroga, ma con tre eccezioni che, nella pratica, la annullano quasi sempre. L’obbligo di registro permane infatti quando il trattamento:
- può presentare un rischio per i diritti e le libertà dell’interessato;
- non è occasionale;
- riguarda categorie particolari di dati (art. 9) o dati relativi a condanne penali e reati (art. 10).
Basta gestire in modo continuativo i dati dei dipendenti — buste paga, presenze, dati sanitari per le assenze — perché il trattamento non sia occasionale e coinvolga categorie particolari. In concreto, quasi nessuna PMI rientra nella deroga. Il Garante e il Comitato europeo per la protezione dei dati hanno chiarito che la tenuta del registro resta la regola. Per capire come impostarlo si può partire da un modello di registro dei trattamenti.
Le funzioni essenziali per una PMI (e quelle superflue)
Il rischio, per una piccola impresa, è pagare per moduli che non userà mai. La distinzione tra ciò che serve davvero e ciò che è superfluo è netta.
| Funzione | Serve a una PMI? | Perché |
|---|---|---|
| Registro delle attività di trattamento (art. 30) | Essenziale | Obbligo di fatto per quasi tutte le PMI; base dell’accountability |
| Informative privacy (artt. 13-14) | Essenziale | Richieste per sito, contratti, clienti e dipendenti |
| Gestione richieste degli interessati (artt. 12-22) | Essenziale | Accesso, rettifica, cancellazione con scadenze precise |
| Notifica data breach (art. 33) | Essenziale | Flusso delle 72 ore da gestire sotto pressione |
| Governance responsabili ex art. 28 | Essenziale | Ogni fornitore che tratta dati va nominato e monitorato |
| DPIA (art. 35) | Utile se il rischio è elevato | Necessaria solo per trattamenti a rischio elevato |
| Governance globale dei fornitori multi-normativa | Superflua | Tipica delle grandi imprese |
| Moduli di certificazione ISO 27001/SOC 2 | Superflua (salvo SaaS) | Rilevanti solo per chi deve certificarsi |
| Consent management su larga scala | Spesso superflua | Sovradimensionata per la maggior parte delle PMI |
La lettura è chiara: le cinque funzioni essenziali coprono il 90% del fabbisogno di una PMI. La DPIA entra in gioco solo per trattamenti a rischio elevato — videosorveglianza estesa, profilazione, dati sanitari su larga scala. Tutto il resto è, per una piccola impresa, un costo senza ritorno. Per approfondire quando la valutazione d’impatto è davvero obbligatoria è utile la guida alla DPIA.
Il budget realistico e l’hosting UE
Una PMI ben servita spende tra 79 e 349 euro al mese. In questa fascia si trovano soluzioni con hosting interamente nell’Unione Europea, un requisito che per una PMI italiana non è un dettaglio: l’infrastruttura europea elimina le complicazioni sui trasferimenti internazionali di dati verso Paesi terzi (capo V del Regolamento) e semplifica la posizione del titolare del trattamento. Legiscope, ad esempio, offre hosting UE e genera il registro delle attività di trattamento in circa quattro minuti tramite intervista guidata, con una metodologia disegnata da ricercatori con formazione dottorale; il canone (99-299 euro al mese) resta nella fascia sostenibile per una piccola-media impresa. Il dettaglio delle voci di spesa è nella guida al costo di un software GDPR, mentre per il confronto tra prodotti conviene la comparativa sul miglior software GDPR.
La figura del DPO: quando serve alla PMI
Un dubbio frequente è se la PMI debba nominare un Responsabile della protezione dei dati (RPD, il DPO italiano). La nomina è obbligatoria solo in tre casi: quando il titolare è un’autorità o un organismo pubblico; quando l’attività principale consiste in trattamenti che richiedono un monitoraggio regolare e sistematico degli interessati su larga scala; quando l’attività principale consiste nel trattamento su larga scala di categorie particolari di dati. Molte PMI non rientrano in questi casi, ma possono comunque scegliere di nominare un DPO su base volontaria o di affidarsi a un consulente esterno. La nomina e i compiti del DPO/RPD sono trattati in una guida dedicata. Un software ben scelto riduce comunque il carico su chiunque svolga questa funzione, interno o esterno che sia.
Il contesto italiano: il Garante controlla anche le piccole imprese
L’idea che i controlli riguardino solo le grandi aziende è pericolosa. La sanzione più alta mai comminata dal Garante è quella a Enel Energia, 79.107.101 euro (provvedimento dell’11 gennaio 2024), ma è un’eccezione. La realtà quotidiana dell’enforcement è fatta di organizzazioni ordinarie: nel 2025 il Garante ha sanzionato il Comune di Bologna per 40.000 euro, quello di Curtarolo per 15.000 e quello di Tuscania per 4.000, in tutti i casi per carenze nelle misure tecniche e organizzative. Nella relazione annuale 2025 l’Autorità ha reso conto di 807 provvedimenti collegiali, oltre 37 milioni di euro di sanzioni riscosse e 2.415 notifiche di data breach. Per una PMI il messaggio è duplice: il rischio esiste, e la difesa migliore è la capacità di dimostrare processi documentati. Un software non azzera il rischio, ma trasforma gli obblighi in prova auditabile — ed è proprio questo ciò che il Garante valuta in sede di procedimento.
Come iniziare: i primi tre passi per una PMI
Una PMI che parte da zero non ha bisogno di un progetto pluriennale, ma di tre passi ordinati che un software adeguato rende rapidi.
- Costruire il registro delle attività di trattamento. È la fotografia di tutto ciò che l’impresa fa con i dati personali: dati dei dipendenti, dei clienti, dei fornitori, del sito. Da qui emergono finalità, basi giuridiche e responsabili esterni. Uno strumento con intervista guidata lo completa in pochi minuti e lo mantiene coerente nel tempo.
- Mettere in ordine informative e nomine ex art. 28. Ogni trattamento verso l’esterno richiede un’informativa corretta (artt. 13-14) e ogni fornitore che tratta dati per conto dell’impresa va nominato con un atto giuridico. È la parte in cui le PMI accumulano più debito: i contratti esistono ma nessuno li verifica.
- Predisporre il flusso del data breach. Prima che un incidente accada, va deciso chi valuta il rischio, chi decide se notificare al Garante entro 72 ore e come si documenta ogni scelta. Improvvisare sotto pressione è la ricetta per una notifica tardiva o incompleta.
Questi tre passi coprono il nucleo dell’accountability richiesta a una piccola impresa. Il resto — DPIA, formazione, revisione periodica — si costruisce sopra, quando serve. Il valore di un software per PMI sta proprio nel comprimere questi passi da settimane a ore, restituendo documentazione auditabile fin dal primo giorno.
Domande frequenti
Quanto costa un software GDPR per una PMI?
Per una PMI italiana la fascia realistica è 79-349 euro al mese. Legiscope si colloca tra 99 e 299 euro al mese e Dastra parte da circa 79. In questa fascia si trovano soluzioni con hosting nell’Unione Europea e automazione del registro, delle informative e delle richieste degli interessati. Le suite enterprise come OneTrust, che superano i 20.000 euro l’anno, sono sovradimensionate: una PMI paga funzioni che non userà. Il confronto completo dei prezzi è nella guida al costo di un software GDPR.
Una PMI sotto i 250 dipendenti è esentata dal registro dei trattamenti?
Quasi mai. L’art. 30(5) del Regolamento prevede una deroga sotto i 250 dipendenti, ma con tre eccezioni: trattamenti che possono presentare un rischio per gli interessati, trattamenti non occasionali e trattamenti di categorie particolari di dati. La gestione continuativa dei dati dei dipendenti fa già scattare le eccezioni. Nella pratica, la tenuta del registro resta la regola anche per le piccole imprese.
Quali funzioni deve avere un software GDPR per PMI?
Cinque funzioni sono essenziali: il registro delle attività di trattamento (art. 30), la gestione delle informative (artt. 13-14), la gestione delle richieste degli interessati (artt. 12-22), il flusso di notifica del data breach entro 72 ore (art. 33) e la governance dei responsabili del trattamento ex art. 28. La DPIA serve solo per trattamenti a rischio elevato. Moduli enterprise come la governance globale dei fornitori o il consent management su larga scala sono superflui per la maggior parte delle PMI.
Conclusione
Per una PMI italiana il software GDPR giusto è quello che copre le cinque funzioni essenziali — registro, informative, richieste degli interessati, data breach e responsabili ex art. 28 — con hosting nell’Unione Europea e un costo tra 79 e 349 euro al mese. Il primo passo è mentale: abbandonare il mito dell’esenzione dell’art. 30(5), perché quasi nessuna PMI vi rientra davvero. Il secondo è pratico: scegliere una soluzione dimensionata alla propria realtà, senza pagare per moduli enterprise inutili. Contro un rischio sanzionatorio che in Italia colpisce anche i piccoli enti e le imprese ordinarie, un software adeguato è la via più economica per trasformare gli obblighi del Regolamento in prova documentale. Per completare la scelta, la comparativa sul software di conformità GDPR mette a fuoco criteri e prodotti.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo