Il GDPR (General Data Protection Regulation, Regolamento UE 2016/679) è il regolamento europeo sulla protezione dei dati personali, applicabile dal 25 maggio 2018 in tutti gli Stati membri. Sebbene sia principalmente un atto normativo sulla privacy, contiene obblighi tecnici e organizzativi rilevanti per la sicurezza informatica: impone misure di sicurezza adeguate, regola la gestione delle violazioni dei dati (data breach) e introduce i principi di privacy by design e privacy by default come requisiti di progettazione dei sistemi.
Obblighi di sicurezza (Art. 32)
L’articolo 32 impone al titolare e al responsabile del trattamento di implementare «misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio», tenendo conto di:
- La pseudonimizzazione e la cifratura dei dati personali
- La capacità di assicurare la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi (la Triade CIA in forma normativa)
- La capacità di ripristinare la disponibilità dei dati in caso di incidente
- Un processo per testare, verificare e valutare regolarmente l’efficacia delle misure
L’adeguatezza delle misure si valuta rispetto al rischio per i diritti e le libertà degli interessati, non rispetto a standard tecnici fissi — il GDPR è tecnologicamente neutro e basato sul rischio.
Data breach: notifica (Art. 33–34)
In caso di violazione dei dati personali (personal data breach), il GDPR impone:
- Notifica al Garante (Art. 33): entro 72 ore dalla scoperta della violazione, salvo che questa non presenti rischi per i diritti degli interessati. Deve descrivere la natura della violazione, le categorie e il numero approssimativo di interessati, le conseguenze probabili e le misure adottate.
- Notifica agli interessati (Art. 34): «senza ingiustificato ritardo» quando la violazione è suscettibile di presentare un rischio elevato per i diritti. Non richiesta se i dati erano cifrati in modo efficace (l’attaccante non può accedere ai dati in chiaro).
Il requisito delle 72 ore rende la gestione degli incidenti di sicurezza (Incident Response) un obbligo normativo, non solo una buona pratica.
Privacy by Design e by Default (Art. 25)
Privacy by Design: la protezione dei dati deve essere integrata nei sistemi fin dalla loro progettazione, non aggiunta a posteriori. Implica minimizzazione dei dati, cifratura, pseudonimizzazione e controlli di accesso come requisiti architetturali, non optional.
Privacy by Default: le impostazioni predefinite dei sistemi devono garantire il massimo livello di protezione. Un sistema non deve raccogliere più dati del necessario per default, né renderli accessibili a più persone del necessario.
Data Protection Impact Assessment (DPIA, Art. 35)
Per trattamenti ad alto rischio (profilazione su larga scala, trattamento di dati biometrici, sorveglianza sistematica di luoghi pubblici), il GDPR richiede una valutazione d’impatto sulla protezione dei dati preventiva. La DPIA analizza i rischi del trattamento e le misure per mitigarli — concettualmente analoga a una threat model analysis applicata alla privacy.
Sanzioni
Le violazioni del GDPR sono punite con sanzioni fino a 20 milioni di euro o il 4% del fatturato mondiale annuo del precedente esercizio finanziario (si applica il maggiore). Le sanzioni più rilevanti emesse finora includono Meta (1, 2 miliardi di euro, 2023), Amazon (746 milioni, 2021) e Google (50 milioni, 2019).
Impatto sulla sicurezza informatica
Il GDPR ha trasformato la sicurezza dei dati da questione tecnica a responsabilità legale documentabile. Le organizzazioni devono dimostrare la conformità (accountability), il che richiede documentazione delle misure di sicurezza, registri dei trattamenti, procedure di incident response testabili e audit periodici — esattamente la struttura che framework come ISO 27001 e NIST CSF forniscono.