Torna al blog
NIS2 & Compliance

GDPR Art. 32: la sicurezza tecnica che il Garante chiede

8 marzo 2026 · 5 min di lettura

Art. 32: non è un suggerimento

Il GDPR è in vigore dal 2018, ma l'Art. 32 resta il più frainteso dalle PMI italiane. Non chiede la perfezione: chiede misure "adeguate al rischio". Il problema è che il Garante Privacy ha iniziato a specificare cosa significa "adeguato" — attraverso le sanzioni.

Cosa dice esattamente l'Art. 32

Il testo elenca quattro misure tecniche esplicite:

  • Pseudonimizzazione e cifratura dei dati personali
  • Riservatezza, integrità, disponibilità e resilienza permanenti dei sistemi
  • Ripristino tempestivo della disponibilità dei dati in caso di incidente
  • Procedure per testare e valutare regolarmente l'efficacia delle misure

Le sanzioni che fanno giurisprudenza

Nel 2025 il Garante ha emesso oltre 45 milioni di euro di sanzioni in Italia. I casi più istruttivi per le PMI:

  • ASL Napoli 1 — 30.000€: backup non cifrati, nessun disaster recovery testato. Un ransomware ha reso inaccessibili i dati di 842.000 pazienti.
  • Studio professionale — 20.000€: credenziali condivise tra dipendenti, nessuna MFA, accesso admin per tutti.
  • E-commerce PMI — 50.000€: database clienti esposto su internet senza autenticazione. 180.000 record con dati di pagamento.

Il principio di proporzionalità

L'Art. 32 specifica che le misure devono tenere conto dello "stato dell'arte", dei costi di attuazione e della natura dei dati. Questo significa che una PMI non deve implementare le stesse misure di una banca — ma deve dimostrare di aver fatto una valutazione e implementato il ragionevole. MFA, backup cifrati, patching regolare e formazione sono ormai il minimo che il Garante si aspetta.

GDPR e NIS2: la convergenza

Con l'entrata in vigore della NIS2, GDPR e cybersecurity convergono. Le misure richieste dall'Art. 21 NIS2 e dall'Art. 32 GDPR si sovrappongono quasi completamente: risk assessment, incident response, cifratura, formazione, test. Implementare un framework unico che copra entrambi è l'approccio più efficiente.

Checklist pratica Art. 32

  • Cifratura dei dati sensibili a riposo (AES-256) e in transito (TLS 1.3)
  • Backup automatici, cifrati, testati mensilmente, conservati offsite
  • MFA su tutti gli account con accesso a dati personali
  • Patching critico entro 48 ore dalla pubblicazione CVE
  • Log di accesso conservati per almeno 6 mesi
  • Vulnerability assessment almeno semestrale
  • Procedura di data breach notification documentata

Il GDPR non è un costo: è la baseline di sicurezza che protegge la vostra azienda. E con la NIS2, diventa ancora più centrale.

Vuoi approfondire questo tema per la tua azienda?

Parla con noiAltri articoli