Loogico
Demo
GDPR compliance agenzie energia sicurezza dati

GDPR per agenzie energia: la guida pratica (senza paroloni)

Cosa significa davvero il GDPR per un'agenzia che vende contratti luce e gas? Obblighi concreti, rischi reali, e come mettersi in regola senza un consulente da €5.000.

Team Loogico · · 5 min di lettura

Il GDPR è entrato in vigore nel 2018, ma ancora oggi la maggior parte delle piccole agenzie energia italiane gestisce i dati dei clienti come se non esistesse. Non per mala fede — ma perché nessuno ha mai spiegato chiaramente cosa è richiesto in pratica.

Questa guida è per chi gestisce un’agenzia di vendita contratti energia con 2-30 persone, e vuole capire cosa fare concretamente per essere in regola — senza un consulente legale da €5.000.

Nota: Questa guida è a scopo informativo. Per la tua situazione specifica, consulta sempre un professionista qualificato.

Cosa dice il GDPR (in italiano semplice)

Il GDPR (Regolamento UE 2016/679) dice essenzialmente tre cose:

  1. Conosci i dati che tratti: sai quali dati personali hai, dove sono, chi ci accede?
  2. Proteggi i dati: hai misure tecniche e organizzative adeguate per evitare accessi non autorizzati?
  3. Dimostralo: in caso di controllo, puoi provare che stai rispettando le regole?

Il problema, per le PMI, non è il principio — è la terza parte. Come si dimostra?

I dati che tratta un’agenzia energia

Prima di tutto, capire cosa stai trattando. Un’agenzia che vende contratti luce e gas gestisce tipicamente:

  • Dati anagrafici dei clienti: nome, cognome, indirizzo, codice fiscale
  • Dati di contatto: telefono, email, PEC
  • Dati bancari: IBAN per addebito diretto
  • Dati di consumo energetico: POD (luce), PDR (gas) — considerati dati personali
  • Dati dei tuoi agenti/collaboratori: contratti di lavoro, accessi ai sistemi

Tutti questi dati richiedono misure di protezione adeguate.

I 5 obblighi concreti

1. Registro delle attività di trattamento (Art. 30)

Devi tenere un registro che descrive:

  • Quali dati tratti (es. “dati anagrafici clienti per gestione contratti”)
  • Per quale finalità (es. “esecuzione del contratto di fornitura”)
  • Chi ha accesso (es. “agenti commerciali, ufficio amministrativo”)
  • Per quanto tempo li conservi (es. “10 anni per le fatture, ai sensi del Codice Civile”)

Non è un documento di 50 pagine: può essere un foglio Excel strutturato.

2. Informativa privacy ai clienti (Art. 13/14)

Ogni cliente deve ricevere un’informativa prima di fornire i suoi dati. Deve spiegare:

  • Chi è il titolare del trattamento (tu)
  • Perché usi i suoi dati
  • Con chi li condividi (es. fornitori di energia)
  • Quali sono i suoi diritti (accesso, cancellazione, portabilità)

3. Controllo degli accessi

Non tutti i tuoi collaboratori devono vedere tutti i dati. L’agente di Roma non ha bisogno di accedere ai clienti di Milano. Il commerciale non ha bisogno di vedere i dati bancari.

Questo si chiama principio di minimizzazione dell’accesso, e si implementa con permessi granulari (RBAC) nei tuoi sistemi.

4. Audit trail: chi ha fatto cosa

Se il Garante ti chiede “chi ha modificato il contratto del cliente Rossi il 15 marzo?”, devi saperlo rispondere. Non basta la buona fede: serve un registro delle modifiche con timestamp, utente e tipo di operazione.

5. Sicurezza tecnica

Le misure minime che ogni agenzia dovrebbe avere:

  • Password non banali per tutti gli account (idealmente gestite con un password manager)
  • Connessioni HTTPS per tutti i sistemi web
  • Backup regolari dei dati
  • Procedura in caso di data breach (obbligo di notifica al Garante entro 72 ore)

Il rischio reale per le PMI

Le sanzioni del GDPR possono arrivare fino a €20 milioni o al 4% del fatturato mondiale. Ma per le PMI italiane, il rischio più concreto è:

  • Sanzioni amministrative ridotte (il Garante tiene conto delle dimensioni): tipicamente €10.000–50.000 per violazioni non intenzionali da parte di piccole imprese
  • Danno reputazionale: un data breach pubblico può fare più danni delle sanzioni
  • Responsabilità civile: i clienti i cui dati sono stati violati possono chiedere risarcimento

Come mettersi in regola (passo per passo)

Settimana 1: Fai un inventario dei dati. Dove sono i dati dei tuoi clienti? Excel, email, CRM, PDF? Lista tutto.

Settimana 2: Redigi l’informativa privacy e aggiornala su tutti i tuoi materiali (contratti, sito web, email di contatto).

Settimana 3: Definisci chi ha accesso a cosa. Crea un documento (o usa il tuo gestionale) per formalizzare i permessi.

Settimana 4: Verifica che i tuoi sistemi abbiano l’audit log attivo. Se non ce l’hanno, è un problema da risolvere.

Mese 2: Nomina un referente interno per la privacy (non necessariamente un DPO formale, se sei una PMI), e crea una procedura per gestire le richieste dei clienti (accesso, cancellazione).

Il ruolo del gestionale

Un gestionale progettato con il GDPR in mente rende molto più semplice essere in regola. In particolare, cerca strumenti che abbiano:

  • Audit log automatico: ogni operazione viene tracciata senza che tu debba fare nulla
  • RBAC: puoi definire chi vede cosa, per ogni utente
  • Export dei dati: puoi rispondere alle richieste di portabilità in 5 minuti invece di 5 ore
  • Server in Europa: importante per la conformità ai trasferimenti dati

Loogico è costruito con questi requisiti al centro. Vuoi vedere come funziona l’audit log e il sistema di permessi? Prenota una demo.

Vuoi vedere Loogico sul tuo caso?

Demo guidata gratuita di ~30 minuti sui tuoi dati reali. Niente trial automatici: una demo, un incontro, una proposta su misura.

Prenota una demo Guide e checklist gratuite

Resta aggiornato

Guide pratiche su gestione contratti, SIAN, fatturazione e provvigioni. Niente spam, disiscrizione in 1 click.

← Tutti gli articoli