GDPR per produttori di insegne: Quello che devi sapere prima che arrivi la lettera.

Il GDPR sembra un problema delle grandi aziende. Non lo è. Il Regolamento Generale sulla Protezione dei Dati si applica a ogni azienda che tratta dati personali — e tu lo fai. Nomi dei clienti, indirizzi, email, numeri di telefono, foto di facciate (a volte con persone visibili), dati di fatturazione. Tutti dati personali.

Cosa richiede il GDPR

1. Registro delle attività di trattamento

Devi documentare quali dati tratti, perché, per quanto tempo e chi ha accesso. È sufficiente una semplice tabella: "Dati cliente — Evasione ordine — 10 anni (obbligo di conservazione) — Proprietario + Ufficio".

2. Accordo di trattamento dati (DPA)

Con ogni fornitore cloud che tratta i tuoi dati, hai bisogno di un DPA. Il tuo software di contabilità, strumento email, hosting del sito web e software di settore. PlotonIQ fornisce un DPA — chiedi agli altri tuoi fornitori.

3. Posizione del server

Qui diventa critico. Se usi shopVOX (server negli USA), Trello (server negli USA), o Google Drive (distribuito globalmente), i dati dei tuoi clienti si trovano negli USA. Dalla sentenza Schrems II, i trasferimenti di dati verso gli USA sono legalmente problematici.

Soluzione più sicura: server europei. PlotonIQ funziona su Hetzner a Falkenstein, Germania. Certificato ISO 27001. Nessun trasferimento di dati verso paesi terzi.

4. Crittografia

I dati devono essere crittografati in transito (TLS) e a riposo (AES-256). Le password devono essere hash (bcrypt, non MD5). PlotonIQ: TLS 1.3, AES-256, bcrypt, JWT con rotazione dei token di aggiornamento.

5. Periodi di conservazione

Non puoi conservare i dati per sempre. Legge fiscale: 10 anni per le fatture, 6 anni per la corrispondenza commerciale. Dopo di che: cancella. Foto del sito: cancella dopo il completamento del progetto a meno che il cliente non acconsenta a una conservazione più lunga.

6. Diritti dell'interessato

Il tuo cliente ha il diritto di accesso, rettifica, cancellazione e portabilità dei dati. Devi rispondere entro 30 giorni.

Errori comuni nelle aziende di insegne

WhatsApp per il business: WhatsApp condivide i metadati con Meta. I numeri di telefono dei clienti vengono trasferiti sui server negli USA. Non conforme al GDPR senza Business API e DPA. Alternativa: portale clienti PlotonIQ con approvazione digitale e timestamp.

Foto su telefoni personali: Se il tuo installatore scatta foto del sito sul suo telefono privato, i dati del cliente si trovano su un dispositivo non gestito. Soluzione: scatta foto direttamente nell'app PlotonIQ — caricamento crittografato, mai memorizzato sul dispositivo.

Nessuna documentazione del tracciamento: Google Analytics, Facebook Pixel — ogni strumento di tracciamento necessita consenso e documentazione. PlotonIQ: niente Google Analytics, niente pixel di tracciamento, niente cookie non essenziali.

Lista di controllo in 10 punti

1. Crea il registro delle attività di trattamento. 2. Firma DPA con tutti i fornitori cloud. 3. Informativa sulla privacy sul sito web. 4. Server UE. 5. Definisci i periodi di conservazione. 6. Controlla la crittografia. 7. Controlli di accesso (chi vede cosa). 8. Foto solo in app gestite. 9. Sostituisci WhatsApp con strumenti professionali. 10. Valutazione di impatto per tracciamento GPS/geofencing.

Conclusione

Il GDPR non è scienza missilistica. Con il software giusto, la maggior parte è automatica: crittografia, posizione del server, periodi di conservazione, controlli di accesso. La leva più grande: via dagli strumenti USA e WhatsApp, verso una soluzione di settore europea dove il GDPR non è una caratteristica — è lo standard.