GDPR e sicurezza IT: cosa devono fare davvero le aziende (e cosa rischiano se non lo fanno)

Il GDPR è in vigore dal maggio 2018. Otto anni dopo, molte aziende, soprattutto le PMI, credono di essere in regola perché hanno una privacy policy aggiornata sul sito, hanno firmato i contratti con i fornitori e nominato un responsabile del trattamento.

È un punto di partenza, ma non è sufficiente.

Il Regolamento Generale sulla Protezione dei Dati impone una serie di obblighi che riguardano direttamente l’infrastruttura tecnologica dell’azienda: come vengono archiviati i dati, chi può accedervi, come vengono protetti, cosa succede in caso di violazione e in quanto tempo bisogna reagire.

In questo articolo affrontiamo la parte tecnica del GDPR, che spesso viene trascurata, e spieghiamo concretamente cosa rischia un’azienda che non la gestisce correttamente.

L’articolo 32 del GDPR è chiaro: le aziende devono adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio. Non esistono requisiti tecnici minimi fissi, ma il regolamento indica esplicitamente alcune misure da valutare:

• cifratura e pseudonimizzazione dei dati personali
• capacità di garantire la riservatezza, l’integrità e la disponibilità dei dati nel tempo
• capacità di ripristinare i dati in caso di incidente (backup)
• procedure di verifica e valutazione periodica delle misure di sicurezza adottate

La parola chiave è “adeguate al rischio”. Non è richiesto di adottare le soluzioni più costose o più complesse, ma quelle proporzionate alla natura dei dati trattati e ai rischi concreti. Un’azienda che tratta dati sanitari o finanziari ha obblighi più stringenti di una che gestisce solo elenchi di contatti commerciali, ma nessuna è esentata.

1. Protezione degli accessi
I dati personali devono essere accessibili solo a chi ne ha effettiva necessità. Questo significa avere un sistema di gestione degli accessi strutturato: account nominali per ogni dipendente, profili con permessi limitati al necessario, autenticazione robusta (preferibilmente a due fattori), e disattivazione immediata degli accessi quando un collaboratore lascia l’azienda.

Uno degli errori più comuni rilevati in sede di ispezione è la presenza di account condivisi, password mai cambiate, o ex dipendenti che hanno ancora accesso ai sistemi aziendali mesi dopo la fine del rapporto di lavoro.

2. Backup e continuità dei dati
Il GDPR richiede che le aziende siano in grado di ripristinare i dati in caso di incidente tecnico o di sicurezza. Questo implica avere un sistema di backup attivo, verificato e documentato.

Non basta fare backup: bisogna sapere con quale frequenza viene eseguito, dove vengono archiviati i dati, quanto tempo richiede il ripristino e soprattutto, verificare periodicamente che il ripristino funzioni davvero. Un backup che non è mai stato testato non è una garanzia.

In caso di data breach, l’assenza di backup adeguati è uno degli elementi che il Garante considera nella valutazione delle misure di sicurezza adottate.

3. Cifratura e protezione dei dati in transito e a riposo
I dati personali archiviati sui server aziendali o trasmessi via rete dovrebbero essere protetti con cifratura. Questo vale in particolare per i dati trasmessi via email, per i dispositivi portatili (laptop, chiavette USB) e per i backup archiviati off-site o in cloud.

Un laptop smarrito con dati personali non cifrati è un data breach che va notificato al Garante. Lo stesso vale per una chiavetta USB contenente documenti con dati sensibili lasciata incustodita.

L’articolo 33 del GDPR stabilisce che, in caso di violazione dei dati personali, il titolare del trattamento deve notificarla all’autorità di controllo competente (in Italia, il Garante per la protezione dei dati personali) entro 72 ore dal momento in cui ne è venuto a conoscenza.

Settantadue ore sono pochissime. Per rispettare questa scadenza bisogna:

• accorgersi della violazione in tempi rapidi, il che richiede un sistema di monitoraggio attivo
• capire subito quali dati sono stati coinvolti e in che misura
• avere una procedura definita per gestire l’incidente e compilare la notifica
• sapere a chi rivolgersi internamente e chi deve prendere le decisioni

Senza un minimo di struttura tecnica e organizzativa rispettare questa scadenza è molto difficile. E la mancata notifica, o la notifica tardiva, è di per sé una violazione del GDPR sanzionabile.

Le sanzioni previste dal GDPR sono due livelli:

• fino a 10 milioni di euro o il 2% del fatturato annuo globale per le violazioni meno gravi (es. mancata tenuta del registro dei trattamenti, mancata notifica di un data breach)
• fino a 20 milioni di euro o il 4% del fatturato annuo globale per le violazioni più gravi (es. trattamento illecito dei dati, inosservanza dei principi fondamentali del regolamento)

Nella pratica, le sanzioni applicate alle PMI italiane sono ovviamente molto inferiori ai massimi teorici, ma rimangono significative. Il Garante italiano ha emesso negli ultimi anni decine di provvedimenti sanzionatori nei confronti di aziende di ogni dimensione, con multe che vanno da poche migliaia a centinaia di migliaia di euro.

Oltre alla sanzione economica, un data breach mal gestito comporta danni reputazionali difficili da quantificare: clienti che perdono fiducia, partner commerciali che si allontanano, copertura mediatica negativa.

Molte aziende, spesso su consiglio di consulenti legali o commercialisti, si concentrano sulla parte documentale del GDPR: informative, consensi, contratti con i fornitori, registro dei trattamenti. Tutto necessario, ma non sufficiente.

Il Garante, in sede di ispezione o a seguito di un data breach, non valuta solo i documenti. Valuta le misure tecniche effettivamente adottate: come sono gestiti gli accessi, se i backup esistono e funzionano, se i sistemi sono aggiornati, se ci sono procedure per rilevare e gestire gli incidenti.

Avere la privacy policy in ordine ma i sistemi IT non adeguati non mette al riparo da sanzioni.

Per molte aziende, il punto di partenza più utile è una verifica dello stato attuale dell’infrastruttura IT rispetto agli obblighi del GDPR. Si tratta di capire:

• chi ha accesso a quali dati, e se questi accessi sono ancora appropriati
• se i backup sono attivi, verificati e documentati
• se i dati sono protetti con misure adeguate (cifratura, autenticazione)
• se esiste una procedura per rilevare e gestire un data breach
• se i sistemi sono aggiornati e monitorati

In Easy PC affianchiamo le aziende in questa valutazione e, dove necessario, interveniamo per colmare le lacune più critiche con soluzioni proporzionate alle dimensioni e alle esigenze di ogni realtà.

Vuoi capire se la tua infrastruttura IT è allineata agli obblighi del GDPR?

Nota: questo articolo ha scopo informativo e non costituisce consulenza legale. Per una valutazione della conformità al GDPR specifica per la tua azienda, ti consigliamo di rivolgerti anche a un consulente privacy qualificato.