Compliance

GDPR e sicurezza informatica: la checklist pratica per le aziende

GDPR non è solo privacy: è sicurezza informatica obbligatoria. La checklist pratica per le PMI italiane, con le misure tecniche richieste dall'articolo 32.

KKubee6 min read

Il GDPR (Regolamento Generale sulla Protezione dei Dati) è in vigore dal 2018. Eppure nel 2026 la maggior parte delle PMI italiane lo gestisce ancora come un problema burocratico — informative privacy, moduli di consenso, registro dei trattamenti — ignorando la parte più sostanziale: l'articolo 32, che impone misure tecniche e organizzative adeguate a proteggere i dati.

In altre parole, il GDPR non richiede solo di avere la privacy policy sul sito. Richiede che i tuoi sistemi informatici siano sicuri.

Cosa dice l'articolo 32 del GDPR

L'articolo 32 impone al titolare del trattamento di implementare "misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio". Non definisce le misure esatte, ma elenca esempi:

  • Pseudonimizzazione e cifratura dei dati personali
  • Disponibilità e resilienza dei sistemi di trattamento
  • Capacità di ripristinare tempestivamente la disponibilità dei dati in caso di incidente
  • Verifica, valutazione e valutazione regolari dell'efficacia delle misure

La vaghezza è intenzionale: le misure devono essere "adeguate al rischio". Un medico che gestisce cartelle cliniche ha obblighi diversi da un'azienda manifatturiera che registra solo dati di dipendenti e fornitori.

La notifica dell'incidente: 72 ore

Una cosa è chiara e inderogabile: in caso di violazione dei dati personali (data breach), hai 72 ore per notificare al Garante Privacy. Non 3 giorni lavorativi: 72 ore solari, inclusi sabato e domenica.

Per rispettare questa scadenza devi:

  1. Rilevare l'incidente rapidamente (richiede monitoraggio attivo)
  2. Capire cosa è stato compromesso (richiede log e SIEM)
  3. Valutare il rischio per gli interessati
  4. Compilare e inviare la notifica

Senza strumenti di monitoraggio, spesso ci vogliono giorni solo per capire cosa è successo. Quando te ne accorgi, sono già passate 72 ore.

La checklist GDPR per la sicurezza IT

Accessi e identità

  • MFA attivo su tutti gli account con accesso a dati personali (email, gestionale, cloud)
  • Password policy: minimo 12 caratteri, cambio obbligatorio ogni 90 giorni
  • Revisione periodica degli accessi: account non più necessari disattivati
  • Principio del minimo privilegio: ogni utente accede solo ai dati necessari per il suo ruolo
  • Log degli accessi conservati per almeno 6 mesi

Protezione dei dati

  • Cifratura dei dati su laptop e dispositivi mobili (BitLocker/FileVault)
  • Cifratura dei dati in transito (HTTPS obbligatorio, VPN per accessi remoti)
  • Classificazione dei dati: sai quali sistemi contengono dati personali sensibili?
  • Politica di clean desk: nessun documento con dati personali lasciato incustodito

Backup e disponibilità

  • Backup regolari dei sistemi che contengono dati personali
  • Test di ripristino periodici documentati
  • RTO definito per i sistemi critici

Rilevamento incidenti

  • Antivirus/EDR attivo su tutti i sistemi
  • Log centralizzati (almeno firewall, server, accessi VPN)
  • Procedura scritta per la risposta agli incidenti
  • Contatto del DPO (se nominato) e del responsabile IT aggiornato

Fornitori e subappalti

  • DPA (Data Processing Agreement) firmato con tutti i fornitori che trattano dati per conto tuo: MSP, cloud provider, software HR, contabilità
  • Valutazione della sicurezza dei fornitori principali

Formazione

  • Il personale ha ricevuto formazione GDPR negli ultimi 12 mesi?
  • Il personale sa come riconoscere un tentativo di phishing?
  • C'è un referente interno per le segnalazioni di incidenti?

Le sanzioni reali in Italia

Il Garante Privacy italiano è uno dei più attivi in Europa. Nel 2024-2025 ha erogato sanzioni significative anche a PMI:

  • Violazioni tecniche (sistemi non aggiornati, credenziali deboli): da 10.000 a 50.000 euro
  • Data breach notificato in ritardo: da 20.000 a 100.000 euro
  • Mancata notifica di un data breach: le sanzioni più severe, fino all'1-4% del fatturato globale

Il punto critico: il Garante non aspetta che tu segnali un problema. Può aprire un'istruttoria in seguito a segnalazioni di dipendenti, clienti, o in seguito a notizie pubbliche di data breach.

GDPR e NIS2: due normative che si sovrappongono

Per le aziende soggette sia a GDPR che a NIS2 (o i cui fornitori lo sono), buona notizia: le misure tecniche richieste si sovrappongono quasi completamente. Un percorso di adeguamento NIS2 ben strutturato copre la maggior parte dei requisiti tecnici GDPR dell'articolo 32.

Non servono due progetti separati: un piano di sicurezza informatica integrato risponde a entrambe le normative.

Kubee affianca le PMI del Veneto e del Friuli nell'adeguamento tecnico a GDPR e NIS2. Contattaci per una valutazione gratuita.

Kubee
MSP · Veneto · Friuli

Need IT support?

We respond in seconds — no tickets, no waiting.

Talk to us
All articles