Fondamenti

Scadenze GDPR e adempimenti ricorrenti: calendario operativo

Redazione GAPOFF · Aggiornato il 2026-05-19 · Revisione: 2026-05-19

Risposta rapida

Il GDPR non prevede un unico calendario annuale uguale per tutti, ma introduce scadenze e tempi operativi che l'azienda deve rispettare: 72 ore per valutare e, se necessario, notificare un data breach al Garante; un mese per rispondere alle richieste degli interessati, con eventuale proroga nei casi complessi; revisioni periodiche di registro, informative, DPIA, fornitori, autorizzazioni e misure di sicurezza. La gestione corretta richiede un calendario vivo, collegato a processi, owner ed evidenze. GAPOFF permette di trasformare le scadenze GDPR in alert, workflow e report.

Verifica la conformità GDPR della tua azienda

Registro trattamenti, DPIA, data breach, diritti degli interessati e audit-ready.

Verifica gratis →

Perché parlare di scadenze GDPR è delicato

Molti cercano un elenco di date fisse: "entro quando devo aggiornare il registro?", "ogni quanto devo rifare le informative?", "quando scade la nomina del responsabile?". In realtà il GDPR lavora spesso per eventi, rischio e aggiornamento continuo. Alcuni termini sono espliciti, come data breach e diritti degli interessati. Altri derivano dal dovere di mantenere la documentazione coerente con i trattamenti reali.

Il punto operativo è non aspettare la scadenza formale. Un'azienda può risultare fragile anche senza aver violato una data precisa, se non riesce a dimostrare che i documenti sono aggiornati rispetto ai processi.

Quadro normativo e fonti ufficiali

Gli articoli più rilevanti per la gestione temporale riguardano diritti degli interessati, violazioni dei dati personali, registro, DPIA, sicurezza e responsabilizzazione. Il Garante dedica sezioni specifiche a data breach, accountability, DPIA e diritti. L'EDPB fornisce orientamenti interpretativi su diversi temi che impattano procedure e tempi di risposta.

Scadenze e tempi da presidiare

Data breach: valutazione e notifica

In caso di violazione dei dati personali, l'organizzazione deve attivare subito un processo interno. Se la violazione presenta un rischio per i diritti e le libertà delle persone, la notifica all'autorità di controllo deve avvenire senza ingiustificato ritardo e, ove possibile, entro 72 ore dalla conoscenza. Se il rischio è elevato, può essere necessaria anche la comunicazione agli interessati. La prova fondamentale è la timeline: quando è stato rilevato l'evento, chi ha valutato il rischio, quali misure sono state adottate e perché si è deciso di notificare o non notificare.

Diritti degli interessati

Le richieste di accesso, rettifica, cancellazione, portabilità, limitazione e opposizione devono essere gestite normalmente entro un mese. Nei casi complessi è possibile una proroga, ma va comunicata e motivata. Serve quindi un sistema per registrare richiesta, identità, oggetto, responsabile, data di risposta e documentazione inviata.

Riesame di registro e informative

Il GDPR non impone una data annuale fissa, ma registro e informative devono restare aderenti ai trattamenti. Una buona prassi è prevedere un riesame periodico e, soprattutto, un riesame a evento: nuovo software, nuovo fornitore, nuova finalità, nuova campagna, nuovo Paese di trattamento, nuova categoria di dati.

DPIA e rischio

Una DPIA deve essere aggiornata quando cambiano natura, ambito, contesto, finalità, tecnologie o rischio del trattamento. La scadenza corretta dipende dal rischio: trattamenti stabili possono essere riesaminati periodicamente; trattamenti dinamici o ad alto impatto richiedono controlli più ravvicinati.

Fornitori e DPA

I contratti con responsabili esterni vanno verificati quando cambia il servizio, il sub-responsabile, l'infrastruttura, il Paese di trattamento o il livello di rischio. Il procurement dovrebbe avere una scadenza di revisione fornitori, almeno per quelli critici.

Cosa deve fare concretamente l'organizzazione

Il calendario GDPR dovrebbe avere tre livelli:

  1. scadenze normative con termine espresso;
  2. scadenze periodiche interne di riesame;
  3. trigger evento che aprono attività privacy.

Questa struttura evita due estremi: l'assenza totale di controllo e l'aggiornamento puramente annuale che non intercetta i cambiamenti reali.

Esempio pratico

Una società cambia piattaforma newsletter a giugno, introduce un nuovo CRM a settembre e riceve una richiesta di accesso da un ex dipendente a ottobre. Se il calendario privacy è solo "revisione annuale a dicembre", per mesi l'azienda rischia informative incoerenti, DPA non verificato e scadenza DSR gestita manualmente. Con un calendario operativo, ogni evento apre un task con owner, checklist, documenti e data di chiusura.

Errori comuni da evitare

Il primo errore è non distinguere scadenze normative e scadenze di governance. Il secondo è non registrare la data di conoscenza di un data breach. Il terzo è non tracciare le richieste degli interessati e affidarsi alla memoria o alla casella email. Il quarto è aggiornare registro e informative solo "quando arriva il consulente". Il quinto è non collegare le scadenze ai responsabili reali.

Come GAPOFF aiuta

GAPOFF consente di gestire le scadenze come processi: timer data breach, tracking DSR, task di aggiornamento registro, revisione fornitori, checklist DPIA e report per il management. La piattaforma riduce il rischio di dimenticare scadenze perché collega ogni attività a owner, stato e prova documentale.

Il GDPR non si gestisce con Excel.

Registro trattamenti, DPIA, data breach, diritti degli interessati, responsabili Art.28 ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica GDPR, Incident & Breach Ops, Vendor Risk, NIS2, DORA e ISO 27001 in un unico sistema audit-ready.

Scopri il modulo GDPR →

Checklist operativa

Trasforma la checklist in attività tracciabili

Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo GDPR →

FAQ

Il registro dei trattamenti scade?

Non ha una scadenza fissa, ma deve essere aggiornato quando cambiano trattamenti, finalità, sistemi, fornitori, categorie di dati o misure rilevanti.

Quanto tempo ho per rispondere a una richiesta privacy?

In linea generale un mese, salvo proroghe motivate nei casi complessi. Serve comunque tracciare ricezione, valutazione e risposta.

Le 72 ore del data breach sono sempre obbligatorie?

Il termine riguarda la notifica quando la violazione presenta un rischio per diritti e libertà. Anche quando non si notifica, la valutazione deve essere documentata.

Serve un software per le scadenze GDPR?

Non è obbligatorio, ma è molto utile quando trattamenti, fornitori, richieste e incidenti sono numerosi o distribuiti tra più reparti.

Approfondimenti correlati
Fondamenti Guida completa al GDPR per aziende italiane Fondamenti Che cos'è il GDPR e cosa cambia davvero per le aziende Fondamenti Obblighi GDPR per aziende: cosa fare e quali evidenze conservare
Oppure passa all'azione: modulo GDPR →
Modulo GAPOFF GDPR

Registro trattamenti, DPIA, gestione data breach, diritti degli interessati, responsabili Art.28, audit privacy e report audit-ready. Cross-mapping automatico con NIS2, DORA, ISO 27001 e AI Act.

Vai al modulo GDPR →

Fonti ufficiali e riferimenti

Disclaimer legale

Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.

FAQ

Il registro dei trattamenti scade?

Non ha una scadenza fissa, ma deve essere aggiornato quando cambiano trattamenti, finalità, sistemi, fornitori, categorie di dati o misure rilevanti.

Quanto tempo ho per rispondere a una richiesta privacy?

In linea generale un mese, salvo proroghe motivate nei casi complessi. Serve comunque tracciare ricezione, valutazione e risposta.

Le 72 ore del data breach sono sempre obbligatorie?

Il termine riguarda la notifica quando la violazione presenta un rischio per diritti e libertà. Anche quando non si notifica, la valutazione deve essere documentata.

Serve un software per le scadenze GDPR?

Non è obbligatorio, ma è molto utile quando trattamenti, fornitori, richieste e incidenti sono numerosi o distribuiti tra più reparti.

Fonti ufficiali e riferimenti
Contenuto informativo generale; non costituisce consulenza legale o parere professionale. Validare con consulenti qualificati e fonti ufficiali aggiornate.
Ultima revisione: 2026-05-19.