Skip to main content Scroll Top
Contattaci$
Cybersecurity Normativa
Normativa

GDPR e sicurezza informatica: gli obblighi che molte aziende ignorano

Quando si parla di GDPR, la maggior parte delle aziende pensa subito al banner dei cookie e all’informativa sulla privacy. Giusto, ma incompleto. Il Regolamento  europeo sulla protezione dei dati impone anche una serie di misure tecniche e organizzative di sicurezza informatica che moltissime PMI non hanno ancora implementato.
Il problema non è la malafede: è che nessuno gliel’ha mai spiegato chiaramente. Questo articolo colma quella lacuna.

Cosa dice il GDPR sulla sicurezza dei dati

L'articolo 32 del GDPR è il cuore della questione. Stabilisce che il titolare e il responsabile del
trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire
un livello di sicurezza appropriato al rischio, tra cui:

Pseudonimizzazione e cifratura dei dati personali
Disponibilità, integrità e riservatezza dei sistemi di trattamento
Capacità di ripristinare tempestivamente l'accesso ai dati in caso di incidente (backup e
disaster recovery)
Procedure per testare regolarmente l'efficacia delle misure adottate

La parola "adeguate" non è una scappatoia: il Garante italiano ha applicato sanzioni milionarie
anche a PMI che si erano affidate a soluzioni insufficienti.

Gli obblighi tecnici più spesso ignorati

Backup strutturato e verificato
Avere un backup non basta: deve essere automatico, regolare, cifrato e testato. Molte
aziende scoprono che il loro backup non funziona solo quando ne hanno bisogno. Questo è un
inadempimento GDPR oltre che un rischio operativo grave.
Gestione degli accessi
Ogni dipendente deve accedere solo ai dati che gli servono per il proprio lavoro (principio del
minimo privilegio). Account condivisi, password scritte su post-it e accessi generici sono
violazioni documentabili.
Autenticazione multi-fattore (MFA)
Per i sistemi che trattano dati personali, l'MFA non è una buona pratica opzionale: è una misura
di sicurezza che il Garante considera ormai necessaria. Vale in particolare per l'accesso alle
email aziendali, ai gestionali e ai CRM.
Aggiornamenti e patch management
Software non aggiornato è software vulnerabile. Le aziende devono avere una procedura per
applicare gli aggiornamenti di sicurezza in modo sistematico, non solo quando "si ricordano".
Formazione del personale
L'articolo 39 GDPR prevede esplicitamente la formazione come compito del DPO (se presente)
e obbligo generale dell'organizzazione. La maggior parte dei data breach avviene per errore
umano: phishing, password deboli, allegati aperti per sbaglio.

In quesTo articolo

Backup 3-2-1
Aggiornamenti
Firewall
Antivirus gestito
Formazione
Password & 2FA
Disaster recovery

Hai questo problema in azienda?

Scrivimi direttamente: ti rispondo io, non un operatore di call center.

Contattami$

Categoria

◉ Sicurezza informatica

Tempo di lettura

5 minuti

Ransomware e PMI: 7 mosse per non farsi trovare impreparati

20 Giu: Ransomware e PMI: 7 mosse per non farsi trovare impreparati

Leggi tutto

Data breach: cosa fare (e cosa NON fare)

Se si verifica una violazione di dati personali, il GDPR impone:

Notifica al Garante entro 72 ore dalla scoperta, se la violazione comporta un rischio per i
diritti degli interessati
Comunicazione agli interessati se il rischio è elevato
Registro degli incidenti interno, anche per le violazioni che non richiedono notifica

L'errore più comune: non notificare perché "tanto non lo sa nessuno". Il Garante può venire a
saperlo da terzi, da whistleblower o da indagini su altri soggetti. La mancata notifica aggrava
sempre la sanzione.

Le sanzioni reali per le PMI italiane

Il Garante Privacy italiano è tra i più attivi in Europa. Solo nel 2023-2024 ha irrogato sanzioni
per centinaia di milioni di euro. Alcune riguardavano grandi aziende, ma molte hanno colpito
PMI per:
• Mancanza di misure di sicurezza adeguate
• Mancata notifica di data breach
• Conservazione eccessiva dei dati
• Mancanza di formazione del personale

Come possiamo aiutarti

In Solutions4IT supportiamo le aziende nel rendere concreta la conformità GDPR, non solo sulla carta. Questo significa: audit tecnico dei sistemi, implementazione di backup cifrati, attivazione dell'MFA, formazione del team e supporto nella gestione degli incidenti.
Il nostro servizio CyberWatch include il monitoraggio continuo degli accessi e degli asset IT, con alert immediati in caso di anomalie - esattamente quello che serve per soddisfare i requisiti GDPR sulla rilevazione degli incidenti.

Hai dubbi sulla conformità della tua azienda? Scrivici oppure chiedici una consulenza
per una valutazione iniziale.