Nel 2026, il Garante Privacy italiano ha emesso sanzioni per oltre 200 milioni di euro per violazioni GDPR, con il 40% delle sanzioni che ha colpito PMI con meno di 50 dipendenti (fonte: Report Garante Privacy 2025). L'articolo 32 del GDPR impone di adottare "misure tecniche e organizzative adeguate" per garantire la sicurezza dei dati. Con l'entrata in vigore della direttiva NIS2, i requisiti si sovrappongono per il 70%. BullTech Informatica, MSP certificato ISO 27001 dal 2009 a Vimercate (MB), ha supportato oltre 80 PMI nell'adeguamento tecnico GDPR. Ecco la checklist completa delle 25 misure informatiche da implementare.
Le sanzioni sono reali
Il Garante Privacy italiano ha emesso sanzioni per oltre 200 milioni di euro dalla piena applicazione del GDPR. Le PMI non sono esenti: nel 2025, sanzioni significative hanno colpito aziende con meno di 50 dipendenti per misure di sicurezza inadeguate.
Cosa Richiede il GDPR in Termini di Sicurezza IT
L'articolo 32 del GDPR elenca specificamente le misure tecniche che il titolare del trattamento deve attivare, tra cui:
- La pseudonimizzazione e la cifratura dei dati personali
- La capacità di assicurare la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi
- La capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati in caso di incidente
- Una procedura per testare e verificare regolarmente l'efficacia delle misure
Il regolamento non prescrive tecnologie specifiche, ma richiede misure "adeguate" al rischio. Questo significa che le misure devono essere proporzionate alla tipologia e alla quantità di dati trattati, alla natura del trattamento e ai rischi per i diritti delle persone.
1. Crittografia dei Dati
Dati a Riposo (At Rest)
Tutti i dispositivi che contengono dati personali devono utilizzare la crittografia del disco: BitLocker su Windows, FileVault su Mac. Questo protegge i dati in caso di furto o smarrimento del dispositivo. Anche i server e i NAS aziendali che contengono dati personali dovrebbero utilizzare volumi crittografati.
Dati in Transito (In Transit)
Le comunicazioni che trasportano dati personali devono essere crittografate. Utilizza HTTPS per tutte le applicazioni web, TLS per la posta elettronica, VPN per l'accesso remoto alla rete aziendale. Evita protocolli non cifrati come FTP, Telnet o HTTP per qualsiasi trasferimento di dati personali.
2. Controllo degli Accessi
Il GDPR richiede che l'accesso ai dati personali sia limitato alle persone autorizzate. Questo si traduce in misure concrete:
- Account nominativi: ogni utente deve avere un account personale, mai condiviso
- Autenticazione forte: MFA su tutti i sistemi che trattano dati personali
- Principio del minimo privilegio: accesso solo ai dati necessari per il proprio ruolo
- Revisione periodica: verifica trimestrale degli accessi e rimozione immediata per dipendenti usciti
- Policy password: almeno 12 caratteri, complessità, no riutilizzo
3. Backup e Disaster Recovery
La capacità di ripristinare i dati è un requisito esplicito del GDPR. La perdita di dati personali è essa stessa una violazione (data breach) che può richiedere la notifica al Garante. Per essere conformi:
- Implementa la regola 3-2-1 per i backup
- Definisci RPO e RTO adeguati alla criticità dei dati
- Testa il ripristino regolarmente (almeno trimestralmente) e documenta i risultati
- Proteggi i backup con crittografia e accesso controllato
- Conserva almeno una copia off-site per la protezione da eventi fisici
4. Audit Log e Tracciabilità
Il GDPR richiede la capacità di dimostrare la conformità (principio di accountability). I log di accesso ai sistemi che contengono dati personali sono fondamentali per questo scopo:
- Attiva il logging degli accessi su server, applicazioni e database che contengono dati personali
- Registra chi accede a cosa, quando e da dove
- Conserva i log per un periodo adeguato (il Garante indica almeno 6 mesi per gli amministratori di sistema)
- Proteggi i log da manomissioni (integrità e immutabilità)
- Implementa un sistema di monitoraggio che rilevi accessi anomali
5. Procedura Data Breach
Gli articoli 33 e 34 del GDPR richiedono la notifica delle violazioni dei dati personali al Garante entro 72 ore dalla scoperta (se la violazione comporta un rischio per i diritti delle persone) e la comunicazione agli interessati nei casi più gravi. Per essere pronti:
- Documenta una procedura di risposta agli incidenti specificamente orientata ai data breach
- Definisci chi è responsabile della valutazione e della notifica
- Prepara i modelli di notifica al Garante e di comunicazione agli interessati
- Implementa strumenti di rilevamento delle violazioni (EDR, SIEM, monitoraggio rete)
- Forma il personale a riconoscere e segnalare tempestivamente potenziali violazioni
- Tieni un registro di tutte le violazioni, anche quelle non notificate
6. Ruolo del DPO e Gestione Organizzativa
Alcune aziende hanno l'obbligo di nominare un DPO (Data Protection Officer), ma tutte devono designare un responsabile interno per la protezione dei dati. Dal punto di vista organizzativo:
- Nomina un DPO se richiesto (trattamento su larga scala, dati particolari, ente pubblico)
- Anche senza obbligo di DPO, designa un referente privacy interno
- Forma tutti i dipendenti che trattano dati personali
- Mantieni aggiornato il registro dei trattamenti (art. 30 GDPR)
- Esegui valutazioni d'impatto (DPIA) per trattamenti ad alto rischio
7. Gestione dei Fornitori e Responsabili del Trattamento
Se affidi il trattamento di dati personali a fornitori esterni (cloud provider, software house, consulenti), devi garantire che anche loro rispettino il GDPR. L'articolo 28 richiede:
- Contratti di nomina a responsabile del trattamento con clausole GDPR
- Verifica delle misure di sicurezza dei fornitori prima dell'affidamento
- Audit periodici o richiesta di certificazioni (ISO 27001, SOC 2)
- Valutazione dei trasferimenti extra-UE (Schrems II, clausole contrattuali standard)
- Registro aggiornato di tutti i responsabili del trattamento
Checklist Riepilogativa GDPR IT
Crittografia disco attiva su tutti i dispositivi con dati personali
Crittografia in transito (HTTPS, TLS, VPN) per tutti i flussi di dati
Account nominativi con MFA su tutti i sistemi critici
Principio del minimo privilegio applicato e verificato
Backup 3-2-1 con test di ripristino documentati
Audit log attivi su sistemi e applicazioni con dati personali
Procedura data breach documentata e testata
Registro dei trattamenti aggiornato
Formazione privacy per tutti i dipendenti
Contratti art. 28 con tutti i responsabili del trattamento
Vulnerability assessment e audit di sicurezza periodici
Come BullTech Ti Aiuta con la Compliance GDPR
In BullTech Informatica supportiamo le PMI italiane nell'adeguamento delle misure tecniche richieste dal GDPR. Non siamo consulenti legali, ma ci occupiamo della parte tecnica: crittografia, controllo accessi, backup, monitoraggio, audit log e tutte le misure di sicurezza informatica necessarie per la conformità.
Lavoriamo in sinergia con il tuo DPO o consulente privacy per garantire che le misure tecniche siano allineate alle policy organizzative. Se la tua azienda è soggetta anche alla direttiva NIS2, ti aiutiamo a unificare i due percorsi di adeguamento in un unico piano. Il nostro SOC/MDR monitora 24/7 gli eventi di sicurezza e ti supporta nella gestione dei data breach con tempi conformi alle 72 ore GDPR. Contattaci per un assessment gratuito della tua conformità tecnica al GDPR.
GDPR e NIS2: un piano solo
Dal 2024, molte PMI italiane devono adeguarsi sia al GDPR sia alla direttiva NIS2. Le misure tecniche si sovrappongono per il 70%: crittografia, controllo accessi, monitoraggio, incident response e backup sono requisiti comuni a entrambi. BullTech ti aiuta a fare un unico assessment e un unico piano di remediation, evitando duplicazioni e riducendo i costi di compliance. Scopri il nostro approccio all' adeguamento NIS2, alla sicurezza informatica aziendale e alla sicurezza IoT/OT per il manifatturiero.
Misure Tecniche GDPR: Cosa Serve e Quanto Costa
| Misura Tecnica | Obbligo GDPR | Strumento Tipico | Costo Indicativo PMI |
|---|---|---|---|
| Crittografia disco | Sì — Art. 32 | BitLocker / FileVault | Incluso in Windows/macOS |
| MFA su sistemi critici | Sì — Art. 32 | Microsoft Authenticator, Duo | da €2/utente/mese |
| Backup crittografato | Sì — Art. 32 | Veeam, Acronis, Datto | da €50/mese |
| Audit log amministratori | Sì — Garante Privacy | SIEM, log centralizzati | da €80/mese |
| EDR / Antivirus | Raccomandato | Bitdefender GravityZone | da €3/postazione/mese |
| Procedura data breach | Sì — Art. 33-34 | Policy + strumenti ITSM | Costo organizzativo |
| Registro trattamenti | Sì — Art. 30 | Excel / DPO software | Gratuito / €50/mese |
| Vulnerability assessment | Raccomandato | Nessus, OpenVAS | da €500/anno |
FAQ: Domande Frequenti su GDPR e Sicurezza IT
Quali sono le sanzioni per non conformità al GDPR?
Il GDPR prevede sanzioni fino a 20 milioni di euro o il 4% del fatturato globale annuo (per violazioni gravi come i principi di trattamento o i diritti degli interessati), e fino a 10 milioni o il 2% del fatturato (per violazioni minori come mancata notifica di breach o mancata nomina del DPO). In Italia, il Garante Privacy ha emesso sanzioni per oltre 200 milioni di euro dalla piena applicazione del regolamento. Le PMI non sono esenti: nel 2025, aziende con meno di 50 dipendenti hanno ricevuto multe significative per misure di sicurezza inadeguate.
La mia azienda deve nominare un DPO?
L'obbligo di DPO (Data Protection Officer) sussiste in tre casi: (1) se l'azienda è un'autorità pubblica, (2) se effettua trattamenti su larga scala di dati particolari (categorie particolari come salute, opinioni politiche, dati biometrici), o (3) se effettua monitoraggio sistematico su larga scala (es. tracciamento comportamentale). Anche senza obbligo formale, è buona pratica designare un responsabile privacy interno. Per le PMI che non hanno competenze interne, il DPO esterno è una soluzione flessibile ed economica.
Cosa fare in caso di data breach?
Il GDPR richiede di notificare il Garante Privacy entro 72 ore dalla scoperta della violazione, se questa comporta un rischio per i diritti e le libertà delle persone. Se il rischio è elevato, occorre anche comunicare l'incidente agli interessati. La procedura deve includere: contenimento immediato dell'incidente, valutazione del rischio, documentazione di tutti i dettagli, notifica al Garante (se necessario), misure per prevenire recidive. Avere una procedura predefinita e testata è fondamentale per rispettare i tempi di legge.
Il cloud è conforme al GDPR?
Il cloud può essere conforme al GDPR se implementato correttamente. I principali provider (Microsoft Azure, AWS, Google Cloud) offrono accordi di trattamento dati e certificazioni di conformità. Per i trasferimenti extra-UE, occorre verificare che siano applicate clausole contrattuali standard o altre garanzie adeguate (Schrems II). L'azienda rimane responsabile della conformità anche quando affida il trattamento a terzi: deve verificare le misure di sicurezza del provider, stipulare contratti art. 28 e auditare periodicamente.
Quanto tempo conservare i log di accesso?
Il GDPR non specifica un periodo preciso, ma richiede che i log siano conservati per il tempo necessario a dimostrare la conformità e gestire eventuali contestazioni. Il Garante Privacy italiano indica almeno 6 mesi per gli accessi degli amministratori di sistema. Per gli accessi utente, periodi più brevi (3-6 mesi) sono generalmente accettabili, purché sufficienti per investigare incidenti. I log devono essere protetti da manomissione (integrità) e accessi non autorizzati.