Il GDPR, regolamento generale sulla protezione dei dati, entrato in vigore in tutta Europa lo scorso 24 maggio, detta vincoli ben precisi sulle metodologie con le quali una azienda può gestire dati personali, la tipologia di aziende alle quali può trasferire o far gestire tali dati e la tipologia di contrattualizzazione che deve legare un Titolare (l'azienda/professionista) quando si avvale di un Responsabile (fornitore) per trattare dati personali.

Ma la mia azienda fa B2B e quindi non tratta dati personali

Probabilmente falso. Vediamo la definizione di Dato personale fornita dal GDPR:

Articolo 4 - Definizioni

«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;