Il GDPR (General Data Protection Regulation) non è solo una normativa sulla privacy: è anche un framework di sicurezza informatica che impone misure tecniche e organizzative precise per proteggere i dati personali. Chi gestisce un sito web — anche una semplice landing page con form di contatto — è un titolare del trattamento e deve rispettare gli obblighi del GDPR in materia di sicurezza dei dati.
Le sanzioni possono arrivare fino al 4% del fatturato mondiale annuo o 20 milioni di euro (viene applicata la cifra più alta). Ma anche le sanzioni alle PMI sono significative: il Garante italiano ha irrogato sanzioni da decine di migliaia di euro per violazioni che riguardavano database con poche migliaia di record.
Cosa si intende per data breach secondo il GDPR
Il GDPR (art. 4, par. 12) definisce la violazione dei dati personali come qualsiasi violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o altrimenti trattati.
Questa definizione è molto più ampia di quanto molte aziende credano. Non include solo gli attacchi hacker: rientrano nel perimetro anche:
- Email con dati personali inviata per errore al destinatario sbagliato
- Laptop o smartphone aziendale perso o rubato con dati non cifrati
- Cancellazione accidentale di un database senza backup
- Accesso non autorizzato da parte di un ex dipendente con credenziali non disabilitate
- Sito web violato con accesso al database degli utenti registrati
Obblighi di notifica: tempi e destinatari
| Obbligo | Destinatario | Termine | Condizione |
|---|---|---|---|
| Notifica all'Autorità (Garante Privacy) | Garante per la Protezione dei Dati Personali | 72 ore dalla scoperta | Quando la violazione comporta un rischio per i diritti degli interessati |
| Comunicazione agli interessati | Le persone i cui dati sono stati violati | Senza ingiustificato ritardo | Quando la violazione comporta un elevato rischio per i diritti degli interessati |
| Documentazione interna | Registro delle violazioni interno | Sempre, anche senza notifica esterna | Tutte le violazioni, anche quelle a basso rischio |
Le 72 ore decorrono dal momento in cui l'azienda è ragionevolmente consapevole della violazione. Non "quando l'avvocato ha redatto la notifica", ma quando il responsabile tecnico ha identificato l'incidente. Questo rende fondamentale avere procedure di incident response definite prima che accada qualcosa.
Misure tecniche richieste dal GDPR (art. 32)
Il GDPR non prescrive tecnologie specifiche, ma richiede che le misure siano adeguate al rischio. Per un sito web, le misure tecniche baseline includono:
- Pseudonimizzazione e cifratura dei dati personali nel database
- HTTPS su tutto il sito per la trasmissione sicura dei dati
- Controllo degli accessi con principio del minimo privilegio
- Backup regolari con verifica del ripristino
- Procedure di test e verifica dell'efficacia delle misure di sicurezza
- Gestione delle patch e aggiornamento tempestivo del software
Privacy by Design e Privacy by Default
Il GDPR introduce due principi che devono guidare lo sviluppo tecnico di qualsiasi sistema che tratti dati personali:
- Privacy by Design: la protezione dei dati deve essere integrata nella progettazione del sistema, non aggiunta a posteriori
- Privacy by Default: le impostazioni predefinite devono garantire il massimo livello di protezione, senza che l'utente debba fare nulla
Per sviluppare siti web e applicazioni conformi GDPR sin dalla fase di progettazione, il team di sviluppo NEO WEB integra i principi di Privacy by Design in ogni progetto. Contattaci per una valutazione della conformità GDPR del tuo sito.
