01Lavori02Ricerca03Chi sono04Blog05Contatti
← Blog
complianceconsultingsme

GDPR e cybersecurity: cosa il tuo DPO non ti sta dicendo

L'articolo 32 del GDPR richiede "misure tecniche e organizzative adeguate" per proteggere i dati personali. Ma cosa significa "adeguate"? Questa ambiguita e sia una benedizione che una maledizione. Il tuo DPO probabilmente si concentra sugli aspetti legali e organizzativi - consensi, informative, registro dei trattamenti. Ma i requisiti tecnici del GDPR sono altrettanto importanti, e spesso sottovalutati.

Le misure tecniche che il GDPR implica

Leggendo il GDPR attraverso la lente di un ingegnere della sicurezza, i requisiti tecnici impliciti sono chiari: cifratura dei dati at rest e in transit (articolo 32.1.a), capacita di ripristino tempestivo dei dati (32.1.c) - che significa backup testati, non solo backup fatti. Processo per testare regolarmente l'efficacia delle misure (32.1.d) - che significa vulnerability assessment e penetration testing periodici. E soprattutto: detection e response - perche il GDPR richiede la notifica di un data breach entro 72 ore (articolo 33). Come fai a notificare in 72 ore se non sai nemmeno che sei stato violato?

Il gap tra compliance e sicurezza

Nella mia esperienza con le PMI italiane, vedo spesso aziende "GDPR compliant" sulla carta che non hanno: monitoring centralizzato dei log, capacita di detection di un data breach, procedure di incident response testate, cifratura end-to-end sui canali critici. Sono compliant nel senso legale ma vulnerabili nel senso tecnico. E quando arriva il breach, la "compliance sulla carta" non protegge dalle sanzioni - perche il Garante valutera se le misure tecniche erano davvero "adeguate."

La convergenza tra GDPR e NIS2 rende questo ancora piu urgente. Le aziende che hanno investito nella sicurezza tecnica per il GDPR hanno un vantaggio nella compliance NIS2. Quelle che hanno trattato il GDPR come un esercizio puramente legale si trovano ora con un doppio gap da colmare. Il consiglio e semplice: coinvolgi un esperto di sicurezza tecnica nel tuo programma di data protection. Il DPO e il CISO dovrebbero lavorare insieme, non in silos separati.

Hai bisogno di un parere esperto?

Se vuoi approfondire questo argomento o ti serve una consulenza specializzata, parliamone.

Parliamone
← PrecedenteIncident Response Plan: il template che la maggior parte delle aziende sbagliaSuccessivo →Supply Chain Attack: come ho trovato vulnerabilita in pacchetti npm e Go