Buongiorno,
con questa nostra nuova newsletter vogliamo ribadire un concetto fondamentale per ogni organizzazione pubblica e privata: la protezione dei dati personali non è un lusso, né una voce di bilancio sacrificabile, ma è innanzitutto un obbligo di legge previsto dal Regolamento (UE) 2016/679 (GDPR), oltre a rappresentare un’opportunità strategica per la sicurezza e la reputazione aziendale.
Nonostante le sfide economiche e gli impegni verso la sostenibilità, la sicurezza delle informazioni è un pilastro irrinunciabile che, se trascurato, può costare carissimo, non solo in termini economici.
Nell’affermare questo, prendiamo spunto da un recente provvedimento del Garante Privacy (Provv. del Garante Privacy del 29 aprile 2025 [doc. web n. 10134827]), con il quale è stato sanzionato l’Ordine degli Psicologi della Lombardia per la somma di 30.000 euro.
Nel caso in esame, l’Ordine è stato colpito da un attacco ransomware, perpetrato dall’associazione criminale NoEscape, che ha causato un’emorragia di dati personali, con l’esfiltrazione di quasi 7GB di informazioni, tra cui categorie particolari di dati ai sensi dell’art. 9 GDPR, poi pubblicate sul dark web.
La decisione del Garante è stata chiara: l’Ordine non ha adottato misure di sicurezza adeguate a garantire la sicurezza dei sistemi di trattamento, mancando, ad esempio, di un sistema di autenticazione a più fattori e utilizzando un sistema operativo obsoleto.
Questo caso non è isolato, ma riflette una problematica diffusa: l’Autorità interviene spesso con sanzioni significative quando rileva inadeguatezze nelle misure di sicurezza, sottolineando come la negligenza nella protezione dei dati costituisca una grave violazione del GDPR, in particolare del principio di integrità e riservatezza (art. 5, par. 1, lett. f) GDPR) e dell’obbligo di adottare misure tecniche e organizzative adeguate (art. 32, par. 1 GDPR).
La lezione è lampante: i data breach non sono solo un problema di sicurezza informatica, ma una chiara responsabilità legale e un fallimento nella tutela dei diritti fondamentali degli individui.
Un’organizzazione che non garantisce la sicurezza e la riservatezza dei dati dei propri utenti, clienti o dipendenti non può definirsi sicura e affidabile. La fiducia è la valuta più preziosa nell’era digitale.
La conservazione dei dati, la formazione e la consapevolezza del personale, l’adozione di misure di sicurezza proattive sono tutti elementi che contribuiscono non solo alla conformità GDPR, ma anche a una solida reputazione.
La scusa della “mancanza di budget” non regge più. Come dimostrano diverse realtà, anche con risorse limitate è possibile implementare una solida strategia di cybersecurity.
La chiave sta nel definire le priorità corrette e nell’investire in soluzioni smart e nell’elemento più prezioso: le persone.
La formazione del personale è sempre uno degli adempimenti fondamentali. Il “firewall umano” è spesso il più critico. Sensibilizzare e formare i dipendenti su come riconoscere e-mail sospette, creare password robuste e gestire correttamente le informazioni è un investimento che paga enormemente.
Senza dimenticare anche i seguenti adempimenti:
- Autenticazione a due fattori (2FA)– una misura semplice, economica ma estremamente efficace, come sottolineato dal Garante nel caso citato
- Backup e test automatici– essenziali per contrastare gli attacchi ransomware e garantire il ripristino dei dati
- Aggiornamenti costanti– mantenere software e sistemi operativi aggiornati è la prima linea di difesa contro vulnerabilità note
- Approccio “privacy by design”– integrare la protezione dei dati fin dalla progettazione di sistemi e processi, riducendo i rischi a monte
- Registro dei trattamenti e DPIA– strumenti obbligatori previsti dagli artt. 30 e 35 GDPR, fondamentali per conoscere e valutare i rischi dei trattamenti effettuati
- Piano di gestione del data breach– indispensabile per garantire la tempestiva comunicazione all’Autorità entro 72 ore, ai sensi dell’art. 33 GDPR, in caso di violazioni dei dati
Le aziende di ogni dimensione e le pubbliche amministrazioni devono investire in questi processi.
Non è una questione di spese folli, ma di scelte strategiche che bilanciano efficienza dei costi e sicurezza senza compromessi.
Proteggere i dati non è un onere, ma una necessità impellente, un investimento nel futuro e nella propria reputazione che nessuna organizzazione può permettersi di trascurare.
Contattaci se desideri un check-up delle tue misure di sicurezza o se vuoi pianificare attività di formazione mirata per il tuo personale.
In ogni caso per qualsiasi dubbio o necessità siamo a vostra disposizione.
A presto.
Il Team Privacy di iSimply
iSimply Srl
Via Palestro 45, Ivrea
Altre news
Rifiuti abbandonati: telecamere e multe più facili con il “Decreto Terra dei Fuochi”
arrow_forwardGDPR: rassegna stampa N° 8/2025 agosto
arrow_forwardTRIBUTI: rassegna stampa N° 9/2025 agosto
arrow_forwardBuone pratiche di cybersecurity di base per i dipendenti della PA
arrow_forwardTRIBUTI: rassegna stampa N° 8/2025 luglio
arrow_forward