info@itmanager.it
Centro Italia +39 0734 2787 60 Nord Italia +39 02 500427 60
Contattaci
Normative 04 Febbraio 2026 2 min di lettura

GDPR e IT: Gli Obblighi Tecnici che le PMI Ignorano

Il GDPR non è solo burocrazia: richiede misure tecniche specifiche. Backup, cifratura, log: ecco cosa deve fare l'IT per essere compliant.

Molte PMI pensano che il GDPR sia "roba da avvocati". Errore: l'articolo 32 del Regolamento richiede misure tecniche specifiche, e la responsabilità di implementarle ricade sull'IT.

Cosa Richiede l'Articolo 32

Il GDPR non prescrive tecnologie specifiche, ma richiede misure "adeguate" per garantire:

  • Pseudonimizzazione e cifratura dei dati personali
  • Riservatezza, integrità, disponibilità permanenti dei sistemi
  • Capacità di ripristino tempestivo in caso di incidente
  • Procedure di test regolari dell'efficacia delle misure

L'"adeguatezza" si valuta in base al rischio: un ospedale ha obblighi diversi da un negozio, ma nessuno è esente.

Le Misure Tecniche Concrete

1. Cifratura

La cifratura deve coprire:

  • Dati at rest: dischi di server e laptop (BitLocker, LUKS)
  • Dati in transit: TLS per tutte le comunicazioni, VPN per accessi remoti
  • Backup: copie di sicurezza sempre cifrate
  • Email: TLS obbligatorio, eventualmente S/MIME o PGP per dati sensibili

2. Controllo Accessi

  • Principio del minimo privilegio
  • Autenticazione forte (MFA) per accessi a dati personali
  • Gestione account: disabilitazione immediata ex dipendenti
  • Password policy robuste

3. Logging e Audit

  • Log degli accessi ai dati personali
  • Retention dei log adeguata (ma non eccessiva)
  • Protezione dei log da manomissione
  • Capacità di rispondere a richieste di accesso dell'interessato

4. Backup e Disaster Recovery

  • Backup regolari e testati
  • Capacità di ripristino nei tempi previsti
  • Documentazione delle procedure

5. Data Breach Response

Il GDPR richiede notifica entro 72 ore. L'IT deve garantire:

  • Capacità di rilevare una violazione
  • Procedure di risposta documentate
  • Capacità di determinare quali dati sono stati compromessi

Gli Errori Più Comuni

  • Backup non testati: il 30% dei backup non è ripristinabile
  • Log insufficienti: impossibile ricostruire cosa è successo
  • Account orfani: ex dipendenti con accesso attivo
  • Cifratura parziale: server cifrato, ma backup in chiaro
  • Nessun test: misure implementate ma mai verificate

Documentazione Richiesta

Non basta implementare: bisogna documentare. L'IT deve contribuire a:

  • Registro dei trattamenti (parte tecnica)
  • Valutazione d'impatto (DPIA) per trattamenti ad alto rischio
  • Procedure di data breach
  • Registro dei test e degli audit

Conclusione

Il GDPR è un'opportunità per fare ordine nella sicurezza IT. Le misure richieste sono best practice che ogni azienda dovrebbe adottare comunque. La compliance non è un costo: è un investimento in resilienza.

Tag: GDPR compliance protezione dati cifratura data breach

Hai Bisogno di Supporto IT?

Se hai domande su questi argomenti o hai bisogno di supporto per la tua azienda, contattaci.

Contattaci