Il GDPR non è un documento da firmare
Otto anni dopo l'entrata in vigore, il GDPR è ancora percepito da molte PMI come una questione burocratica: privacy policy da pubblicare, consensi da raccogliere, un consulente che prepara dei documenti. Fatto.
Non funziona così. Il GDPR è prima di tutto un framework di sicurezza. Impone che i dati personali che tratti — dei tuoi clienti, dipendenti, fornitori — siano protetti con misure tecniche e organizzative adeguate. E "adeguate" non è un concetto astratto: in caso di data breach, il Garante valuterà esattamente cosa avevi in piedi e cosa no.
Cosa dice il GDPR sulla sicurezza in concreto
L'articolo 32 del regolamento è il cuore tecnico: impone l'adozione di misure appropriate per garantire un livello di sicurezza adeguato al rischio. Non prescrive una lista specifica — e questo è volutamente flessibile — ma indica le direzioni:
- Pseudonimizzazione e cifratura dei dati personali
- Capacità di garantire riservatezza, integrità e disponibilità dei sistemi
- Capacità di ripristinare tempestivamente l'accesso ai dati in caso di incidente — il che implica un piano di backup e disaster recovery
- Procedure di verifica e valutazione periodica delle misure adottate
Il data breach: cosa sei obbligato a fare
Un data breach non è solo un attacco hacker. È qualsiasi violazione della sicurezza che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso non autorizzato a dati personali. Un laptop rubato con dati clienti non cifrati è un data breach. Un'email inviata per errore alla persona sbagliata può esserlo.
Quando si verifica un data breach, hai 72 ore per notificarlo al Garante — se la violazione comporta un rischio per i diritti e le libertà delle persone. Non è un termine orientativo: superarlo senza giustificazione è una violazione autonoma del regolamento.
Se il rischio per gli interessati è elevato, devi anche notificare direttamente le persone coinvolte — clienti, dipendenti, chiunque i cui dati siano stati compromessi.
La cosa che più sorprende le PMI è che l'obbligo di notifica non dipende dall'entità del breach. Anche una violazione di pochi record va valutata e, se necessario, notificata.
Il registro dei trattamenti: obbligatorio o no?
Tecnicamente, le organizzazioni sotto i 250 dipendenti sono esentate dall'obbligo di tenere il registro dei trattamenti — salvo che i trattamenti possano presentare un rischio per i diritti degli interessati, non siano occasionali, o includano categorie particolari di dati.
In pratica, quasi nessuna PMI è davvero esente. Se tratti dati di salute, dati giudiziari, dati di minori, o se il trattamento è sistematico e non occasionale — e per la maggior parte delle attività aziendali lo è — il registro è obbligatorio.
Anche dove non lo fosse formalmente, tenerlo è fortemente consigliabile: è lo strumento principale per dimostrare la conformità in caso di ispezione o procedimento.
Il DPO: quando serve davvero
Il Data Protection Officer è obbligatorio solo in tre casi: autorità pubbliche, trattamenti su larga scala di categorie particolari di dati, e monitoraggio sistematico su larga scala degli interessati.
La maggior parte delle PMI non rientra in nessuno dei tre. Ma questo non significa che non serva una figura responsabile della protezione dei dati — significa che non deve necessariamente essere un DPO formalmente nominato. Può essere un responsabile interno o un consulente esterno con competenze adeguate.
Il rischio di non avere nessuno che presidia questo ambito è concreto: le violazioni più costose nascono quasi sempre da incuria o disorganizzazione, non da attacchi sofisticati.
Le sanzioni: come funzionano davvero
Le cifre massime previste dal GDPR — 20 milioni di euro o il 4% del fatturato globale — vengono citate spesso per spaventare. Ma il Garante non applica queste soglie alle PMI per violazioni ordinarie.
Le sanzioni reali tengono conto delle dimensioni dell'organizzazione, della natura della violazione, del danno causato, del grado di cooperazione, e soprattutto di se l'organizzazione aveva adottato misure ragionevoli. Una PMI che ha implementato misure di sicurezza proporzionate al proprio rischio, che ha un registro dei trattamenti, e che ha notificato tempestivamente un breach, è in una posizione molto diversa da una che non ha fatto nulla.
Non è una garanzia di impunità — ma è la differenza tra una sanzione simbolica e una significativa.
Da dove iniziare se sei una PMI
L'approccio più pratico è partire da una mappatura: quali dati personali tratti, dove sono conservati, chi vi ha accesso, per quanto tempo li tieni. Non serve uno strumento sofisticato — anche un foglio di calcolo va bene, purché sia completo e aggiornato.
Da lì, le priorità tecniche si chiariscono da sole:
- I dati sono cifrati a riposo e in transito?
- Chi ha accesso a cosa? Gli accessi sono limitati al necessario?
- Hai un piano di backup testato che ti permette di ripristinare i dati in caso di incidente?
- Sai come riconoscere un data breach e hai una procedura per gestirlo entro 72 ore?
- I tuoi fornitori che trattano dati per tuo conto hanno firmato un accordo di trattamento dati (DPA)?
La sicurezza informatica e il GDPR si sovrappongono
Non è un caso che quasi tutte le misure di sicurezza che una PMI dovrebbe adottare per ridurre il rischio informatico siano anche misure richieste dal GDPR. Autenticazione a più fattori, cifratura, backup, gestione degli accessi, formazione del personale — proteggono i dati e al tempo stesso dimostrano la conformità al regolamento.
Affrontarli insieme, come parte di una strategia unica, è più efficiente che gestirli come due progetti separati. La sicurezza informatica non è il costo della compliance — è il suo contenuto.