Il GDPR (Regolamento Generale sulla Protezione dei Dati) è in vigore dal 2018, ma molte aziende italiane non hanno ancora implementato tutte le misure tecniche richieste per la protezione dei dati personali. L'articolo 32 del GDPR impone di adottare "misure tecniche e organizzative adeguate" per garantire la sicurezza dei dati. Ma cosa significa in pratica? Ecco la checklist completa delle misure informatiche da implementare.
Le sanzioni sono reali
Il Garante Privacy italiano ha emesso sanzioni per oltre 200 milioni di euro dalla piena applicazione del GDPR. Le PMI non sono esenti: nel 2025, sanzioni significative hanno colpito aziende con meno di 50 dipendenti per misure di sicurezza inadeguate.
Cosa Richiede il GDPR in Termini di Sicurezza IT
L'articolo 32 del GDPR elenca specificamente le misure tecniche che il titolare del trattamento deve implementare, tra cui:
- La pseudonimizzazione e la cifratura dei dati personali
- La capacità di assicurare la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi
- La capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati in caso di incidente
- Una procedura per testare e verificare regolarmente l'efficacia delle misure
Il regolamento non prescrive tecnologie specifiche, ma richiede misure "adeguate" al rischio. Questo significa che le misure devono essere proporzionate alla tipologia e alla quantità di dati trattati, alla natura del trattamento e ai rischi per i diritti delle persone.
1. Crittografia dei Dati
Dati a Riposo (At Rest)
Tutti i dispositivi che contengono dati personali devono utilizzare la crittografia del disco: BitLocker su Windows, FileVault su Mac. Questo protegge i dati in caso di furto o smarrimento del dispositivo. Anche i server e i NAS aziendali che contengono dati personali dovrebbero utilizzare volumi crittografati.
Dati in Transito (In Transit)
Le comunicazioni che trasportano dati personali devono essere crittografate. Utilizza HTTPS per tutte le applicazioni web, TLS per la posta elettronica, VPN per l'accesso remoto alla rete aziendale. Evita protocolli non cifrati come FTP, Telnet o HTTP per qualsiasi trasferimento di dati personali.
2. Controllo degli Accessi
Il GDPR richiede che l'accesso ai dati personali sia limitato alle persone autorizzate. Questo si traduce in misure concrete:
- Account nominativi: ogni utente deve avere un account personale, mai condiviso
- Autenticazione forte: MFA su tutti i sistemi che trattano dati personali
- Principio del minimo privilegio: accesso solo ai dati necessari per il proprio ruolo
- Revisione periodica: verifica trimestrale degli accessi e rimozione immediata per dipendenti usciti
- Policy password: almeno 12 caratteri, complessità, no riutilizzo
3. Backup e Disaster Recovery
La capacità di ripristinare i dati è un requisito esplicito del GDPR. La perdita di dati personali è essa stessa una violazione (data breach) che può richiedere la notifica al Garante. Per essere conformi:
- Implementa la regola 3-2-1 per i backup
- Definisci RPO e RTO adeguati alla criticità dei dati
- Testa il ripristino regolarmente (almeno trimestralmente) e documenta i risultati
- Proteggi i backup con crittografia e accesso controllato
- Conserva almeno una copia off-site per la protezione da eventi fisici
4. Audit Log e Tracciabilità
Il GDPR richiede la capacità di dimostrare la conformità (principio di accountability). I log di accesso ai sistemi che contengono dati personali sono fondamentali per questo scopo:
- Attiva il logging degli accessi su server, applicazioni e database che contengono dati personali
- Registra chi accede a cosa, quando e da dove
- Conserva i log per un periodo adeguato (il Garante indica almeno 6 mesi per gli amministratori di sistema)
- Proteggi i log da manomissioni (integrità e immutabilità)
- Implementa un sistema di monitoraggio che rilevi accessi anomali
5. Procedura Data Breach
Gli articoli 33 e 34 del GDPR richiedono la notifica delle violazioni dei dati personali al Garante entro 72 ore dalla scoperta (se la violazione comporta un rischio per i diritti delle persone) e la comunicazione agli interessati nei casi più gravi. Per essere pronti:
- Documenta una procedura di risposta agli incidenti specificamente orientata ai data breach
- Definisci chi è responsabile della valutazione e della notifica
- Prepara i modelli di notifica al Garante e di comunicazione agli interessati
- Implementa strumenti di rilevamento delle violazioni (EDR, SIEM, monitoraggio rete)
- Forma il personale a riconoscere e segnalare tempestivamente potenziali violazioni
- Tieni un registro di tutte le violazioni, anche quelle non notificate
6. Ruolo del DPO e Gestione Organizzativa
Alcune aziende hanno l'obbligo di nominare un DPO (Data Protection Officer), ma tutte devono designare un responsabile interno per la protezione dei dati. Dal punto di vista organizzativo:
- Nomina un DPO se richiesto (trattamento su larga scala, dati particolari, ente pubblico)
- Anche senza obbligo di DPO, designa un referente privacy interno
- Forma tutti i dipendenti che trattano dati personali
- Mantieni aggiornato il registro dei trattamenti (art. 30 GDPR)
- Esegui valutazioni d'impatto (DPIA) per trattamenti ad alto rischio
7. Gestione dei Fornitori e Responsabili del Trattamento
Se affidi il trattamento di dati personali a fornitori esterni (cloud provider, software house, consulenti), devi garantire che anche loro rispettino il GDPR. L'articolo 28 richiede:
- Contratti di nomina a responsabile del trattamento con clausole GDPR
- Verifica delle misure di sicurezza dei fornitori prima dell'affidamento
- Audit periodici o richiesta di certificazioni (ISO 27001, SOC 2)
- Valutazione dei trasferimenti extra-UE (Schrems II, clausole contrattuali standard)
- Registro aggiornato di tutti i responsabili del trattamento
Checklist Riepilogativa GDPR IT
Crittografia disco attiva su tutti i dispositivi con dati personali
Crittografia in transito (HTTPS, TLS, VPN) per tutti i flussi di dati
Account nominativi con MFA su tutti i sistemi critici
Principio del minimo privilegio applicato e verificato
Backup 3-2-1 con test di ripristino documentati
Audit log attivi su sistemi e applicazioni con dati personali
Procedura data breach documentata e testata
Registro dei trattamenti aggiornato
Formazione privacy per tutti i dipendenti
Contratti art. 28 con tutti i responsabili del trattamento
Vulnerability assessment e audit di sicurezza periodici
Come BullTech Ti Aiuta con la Compliance GDPR
In BullTech Informatica supportiamo le PMI italiane nell'implementazione delle misure tecniche richieste dal GDPR. Non siamo consulenti legali, ma ci occupiamo della parte tecnica: crittografia, controllo accessi, backup, monitoraggio, audit log e tutte le misure di sicurezza informatica necessarie per la conformità.
Lavoriamo in sinergia con il tuo DPO o consulente privacy per garantire che le misure tecniche siano allineate alle policy organizzative. Contattaci per un assessment gratuito della tua conformità tecnica al GDPR.