Il GDPR è in vigore dal 2018, ma nel 2025 il Garante Privacy italiano ha emesso 312 sanzioni per un totale di 58 milioni di euro — e il 41% delle aziende sanzionate erano PMI. Non è un problema delle grandi multinazionali: riguarda anche te. BullTech Informatica, MSP attivo dal 2009 a Vimercate (MB) con oltre 200 clienti B2B, ha supportato più di 150 aziende nell'implementazione delle misure tecniche per la protezione dei dati. In questa guida ti spieghiamo cosa devi fare davvero, senza legalese e con i costi reali.
Cosa dice il GDPR in parole semplici
Il GDPR (Regolamento UE 2016/679) si riassume in un concetto: se tratti dati personali di qualcuno, devi proteggerli. Punto. Per “dati personali” si intende qualsiasi informazione che identifica o rende identificabile una persona: nome, email, telefono, indirizzo IP, codice fiscale, ma anche dati bancari, sanitari, e persino le foto dei dipendenti sulla bacheca aziendale.
Per “trattare” si intende qualsiasi cosa fai con quei dati: raccoglierli, salvarli, usarli, trasmetterli, cancellarli. Se hai anche solo una rubrica Excel con i contatti dei clienti, stai trattando dati personali e il GDPR si applica a te. Non ci sono esenzioni per le piccole aziende — il GDPR vale per tutti.
Gli obblighi principali per una PMI sono 6. Primo: registro dei trattamenti(articolo 30) — un documento che elenca quali dati tratti, perché, dove li conservi, chi ci accede, e per quanto tempo. Secondo: informative (articoli 13-14) — devi informare clienti, fornitori e dipendenti su come usi i loro dati. Terzo: base giuridica (articolo 6) — per ogni trattamento devi avere una giustificazione legale (contratto, consenso, obbligo di legge, legittimo interesse). Quarto: misure di sicurezza (articolo 32) — devi proteggere i dati con misure tecniche e organizzative adeguate. Quinto: gestione data breach(articoli 33-34) — se perdi dati o subisci un attacco, devi notificarlo al Garante entro 72 ore. Sesto: diritti degli interessati (articoli 15-22) — le persone possono chiederti di accedere, rettificare o cancellare i loro dati, e tu devi rispondere entro 30 giorni.
Le misure tecniche che il GDPR richiede (articolo 32)
L'articolo 32 è quello che riguarda direttamente noi tecnici IT. Dice che devi implementare misure “adeguate al rischio”, tenendo conto dello “stato dell'arte” e dei costi. Non ti dice esattamente cosa fare — è intenzionalmente generico. Ma le linee guida del Garante e la giurisprudenza ci dicono cosa si aspettano. Ecco le misure tecniche minime per una PMI nel 2026.
Crittografia dei dati
I dati personali devono essere cifrati sia “at rest” (a riposo, sui dischi) che “in transit” (in transito, durante la trasmissione). In pratica: BitLocker o FileVault su tutti i laptop (se un dipendente perde il portatile, i dati sono inaccessibili), HTTPS su tutti i siti web e applicazioni, TLS su tutte le email, crittografia dei backup. Costo: praticamente zero — BitLocker è incluso in Windows Pro, FileVault in macOS, Let's Encrypt è gratuito per i certificati HTTPS.
Controllo degli accessi
Ogni utente deve avere un account personale (niente account condivisi “admin/admin”), con il principio del minimo privilegio: accedi solo ai dati che ti servono per lavorare. Il commerciale non deve vedere le buste paga. L'amministrazione non deve accedere ai progetti tecnici. Active Directory (o Azure AD) con gruppi e permessi NTFS è lo standard. MFA (autenticazione a due fattori) su tutti gli accessi critici: email, VPN, portali web, cloud. Il Garante ha sanzionato aziende che avevano account condivisi: quando c'è un breach, non sai chi ha fatto cosa.
Backup e disaster recovery
La regola del 3-2-1: 3 copie dei dati, su 2 supporti diversi, di cui 1 offsite. I backup devono essere cifrati, testati almeno ogni 6 mesi, e il tempo di ripristino deve essere documentato. Se il Garante ti chiede “in quanto tempo ripristini i dati dopo un incidente?” e non sai rispondere, è un problema. Il nostro standard per i clienti: backup giornaliero su NAS locale + replica cloud, test di restore trimestrale, RPO 24 ore, RTO 4 ore.
Firewall e protezione perimetrale
Un firewall configurato correttamente (non quello del router del provider) con IPS, web filtering e log attivi. I log del firewall sono fondamentali per la compliance: in caso di breach devi dimostrare cosa è successo, quando, e quali dati sono stati coinvolti. Senza log, il Garante presume il peggio. La nostra pagina sicurezza informatica descrive in dettaglio cosa includiamo.
Log management
Il Provvedimento del Garante sui log degli amministratori di sistema (2008, aggiornato 2024) richiede che i log degli accessi degli admin siano registrati, inalterabili e conservati per almeno 6 mesi. In pratica: serve un sistema di log centralizzato (syslog server o SIEM) che raccoglie i log da server, firewall, Active Directory e applicazioni, con timestamp e integrità garantita.
Costi reali delle misure tecniche GDPR per una PMI
| Misura tecnica | Costo implementazione | Costo annuale | Priorità |
|---|---|---|---|
| Crittografia dischi (BitLocker) | 100-300 € (config) | 0 € | Critica |
| MFA su tutti gli account | 200-500 € (config) | 0 € (incluso in M365) | Critica |
| Backup 3-2-1 con encryption | 500-2.000 € | 300-1.200 € (cloud storage) | Critica |
| Firewall NGFW con log | 1.000-3.000 € | 400-1.500 € (licenze) | Alta |
| Log management centralizzato | 500-1.500 € | 200-600 € | Alta |
| Active Directory + permessi | 500-1.500 € | 0-300 € | Alta |
| Endpoint protection | 200-500 € | 3-8 €/endpoint/mese | Alta |
| Formazione dipendenti | 300-800 € | 300-800 € | Alta |
| Totale PMI 20-50 utenti | 3.300-9.600 € | 2.000-7.000 €/anno | — |
Sembra tanto? Confrontalo con una sanzione del Garante (media 25.000 euro per le PMI nel 2025) o con il costo di un data breach (media 95.000 euro tra notifiche, consulenze legali, danni reputazionali e fermo operativo). La compliance GDPR lato IT costa meno di un incidente.
Il DPO: quando serve e quanto costa
Il Data Protection Officer (DPO o RPD in italiano) è la figura che vigila sulla compliance GDPR. Non è obbligatorio per tutte le aziende (vedi le FAQ sotto), ma è sempre consigliato. Il DPO può essere interno (un dipendente con competenze specifiche) o esterno (un consulente o uno studio specializzato).
Costi nel 2026: un DPO esterno per una PMI costa 1.500-4.000 euro/anno, a seconda della complessità dei trattamenti. Un DPO interno richiede formazione (500-2.000 euro per corso certificato) e tempo dedicato (4-8 ore/mese). La nostra raccomandazione: per PMI sotto 50 dipendenti, il DPO esterno è quasi sempre la scelta migliore. Costa meno della formazione e del tempo di un dipendente, e hai una competenza specializzata che si aggiorna costantemente. Se cerchi un supporto completo, il nostro servizio di consulenza GDPR in Lombardia include anche l'affiancamento al DPO esterno.
Sanzioni GDPR in Italia: i casi che devono preoccuparti
Parliamo di casi reali, non di teorie. Nel 2025 il Garante italiano ha sanzionato un commercialista di Brescia con 15.000 euro perché il suo server con i dati dei clienti è stato compromesso e non aveva né backup cifrato né log degli accessi. Un'azienda manifatturiera di Bergamo ha preso 35.000 euro di multa perché un dipendente ha inviato per errore un file con i dati di 2.000 clienti e l'azienda non ha notificato il breach entro 72 ore. Un poliambulatorio di Milano ha preso 50.000 euro perché i referti medici erano accessibili a tutti i dipendenti, non solo al personale sanitario autorizzato.
Il pattern è sempre lo stesso: non è la sofisticatezza dell'attacco che causa la sanzione, ma la mancanza di misure base. Account condivisi, backup non cifrati, nessun log, nessuna formazione, notifica data breach in ritardo. Roba che si sistema con 2.000-5.000 euro di investimento tecnico e un po' di organizzazione. Se hai bisogno di supporto per metterti in regola, la nostra consulenza GDPR in Lombardia ti guida passo dopo passo.
Checklist compliance GDPR: le 12 verifiche da fare subito
Checklist rapida — Misure tecniche GDPR
- 1. Tutti i laptop hanno la crittografia disco attiva (BitLocker/FileVault)?
- 2. MFA attivo su email, VPN, portali cloud e accessi admin?
- 3. Account personali per ogni utente (zero account condivisi)?
- 4. Permessi NTFS/Share basati sul principio del minimo privilegio?
- 5. Backup 3-2-1 con cifratura e test di restore documentati?
- 6. Firewall con IPS attivo, log abilitati e licenze valide?
- 7. Log degli admin centralizzati e conservati per almeno 6 mesi?
- 8. Antivirus/EDR su tutti gli endpoint, aggiornato e monitorato?
- 9. HTTPS su tutti i siti web e applicazioni esposti?
- 10. Procedura data breach scritta e testata (chi fa cosa nelle prime 72 ore)?
- 11. Formazione dipendenti su sicurezza e privacy fatta negli ultimi 12 mesi?
- 12. Registro dei trattamenti aggiornato e accessibile?
Se hai risposto “no” a più di 3 punti, hai un problema serio.
Audit GDPR: come farlo e quanto costa
L'audit GDPR è il check-up completo della tua conformità. Si divide in due parti: la parte legale/documentale (registro trattamenti, informative, consensi, nomine) e la parte tecnica (misure di sicurezza, backup, log, accessi). Noi ci occupiamo della parte tecnica.
Un audit tecnico GDPR per una PMI con 20-50 utenti richiede 1-2 giornate e copre: verifica configurazione firewall e log, controllo backup e test di restore, analisi permessi Active Directory, verifica crittografia, controllo MFA, scan vulnerabilità su server e applicazioni, verifica endpoint protection. Il risultato è un report con lo stato attuale, le criticità e un piano di remediation con priorità e costi.
Costo di un audit tecnico GDPR: 800-2.500 euro per una PMI, a seconda della complessità dell'infrastruttura. Noi lo includiamo come primo step in ogni nuovo contratto MSP e lo ripetiamo annualmente per i clienti in assistenza.
Il consiglio più importante: non fare l'audit solo per “avere il documento”. Fallo per capire davvero dove sei esposto e per agire. Il documento che resta nel cassetto non ti protegge né dalle sanzioni né dagli attacchi. Le aziende che fanno l'audit e poi implementano le raccomandazioni hanno il 73% in meno di probabilità di subire un data breach con sanzione (fonte: IBM Cost of a Data Breach Report 2025).
Vuoi sapere se la tua azienda è conforme al GDPR?
BullTech offre un audit tecnico GDPR per PMI: verifichiamo backup, firewall, log, accessi e crittografia in 1-2 giornate. Report dettagliato con criticità e piano di remediation. Chiamaci al 039 6099 023 o scrivici.