10 punti che il tuo negozio deve rispettare. La maggior parte non lo fa.

1. Registro delle attività di trattamento

Richiesto dall'Art. 30 GDPR — anche per le piccole imprese. Documentare: quali dati, scopo, base giuridica, periodo di conservazione, destinatari. Una semplice tabella è sufficiente. PlotonIQ genera questa panoramica automaticamente.

2. Accordi di trattamento dati (DPA)

Richiesti con ogni servizio cloud che elabora i dati dei tuoi clienti: software di contabilità, strumenti email, hosting, software di settore. PlotonIQ fornisce un DPA. Richiedine uno a tutti gli altri tuoi fornitori.

3. Informativa sulla privacy

Specifica: quali cookie, quali analytics, quali terze parti, dettagli di contatto del titolare.

4. Server UE

I dati dei clienti sui server USA sono problematici dopo Schrems II. Il più sicuro: server tedeschi. PlotonIQ: Hetzner Falkenstein, certificato ISO 27001. Nessun trasferimento verso paesi terzi.

5. Periodi di conservazione

Legge fiscale: 10 anni per le fatture, 6 anni per la corrispondenza commerciale. Foto del sito: cancellare dopo progetto + periodo di garanzia. Dati dei candidati: 6 mesi dopo il rifiuto.

6. Crittografia

Transito: TLS 1.2+ (preferibilmente 1.3). Archiviazione: AES-256. Password: bcrypt o Argon2. Chiavi API: crittografate, mai in testo normale.

7. Controllo degli accessi

Non ogni installatore ha bisogno di accesso a tutte le fatture. Sistema di ruoli: Admin (tutto), Ufficio (clienti, preventivi, fatture), Installatore (propri lavori, monitoraggio tempo).

8. Foto solo in app gestite

Foto del sito su telefoni personali = dati clienti su dispositivi non gestiti. Soluzione: cattura nell'app PlotonIQ — caricamento crittografato, mai memorizzato sul dispositivo.

9. Sostituire WhatsApp

WhatsApp condivide metadati con Meta. Non conforme al GDPR senza Business API + DPA. Per approvazioni: portale clienti PlotonIQ con firma digitale e timestamp.

10. Valutazione d'impatto per geofencing

Il tracciamento GPS per installatori richiede una valutazione d'impatto sulla protezione dei dati secondo l'Art. 35 GDPR. Documentare: scopo, base giuridica, salvaguardie. I dipendenti devono essere informati.