Home → GDPR Art. 32

GDPR Art. 32 · Sicurezza del trattamento

Quello che il Garante
ti chiede di dimostrare.

L'articolo 32 del GDPR non è una raccomandazione: fissa quattro obblighi tecnici precisi sulla sicurezza dei dati personali. Vediamo cosa richiede, e come Securoo ti aiuta a dimostrarli — uno per uno.

Sei in regola? Scoprilo in 3 min Leggi le misure ↓

Il contesto

Cosa è il GDPR, in breve.

Il Regolamento Generale sulla Protezione dei Dati (UE 2016/679, "GDPR") è la legge europea che tutela i dati personali dei cittadini dell'Unione. È in vigore dal 25 maggio 2018, si applica a chiunque — pubblico o privato, dentro o fuori l'UE — tratti dati di residenti europei.

Per uno studio professionale (avvocato, commercialista, notaio, broker, medico, amministratore) significa una cosa molto concreta: sei tu il "titolare del trattamento" dei dati dei tuoi clienti. È tua la responsabilità di custodirli con misure tecniche adeguate. È a te che il Garante chiede conto in caso di violazione, non al fornitore del software.

Si applica a tutti

Studio individuale o multinazionale, online o cartaceo: se tratti dati di cittadini UE, il GDPR si applica. Niente esoneri per piccole dimensioni.

Tu sei il titolare

Decidi tu finalità e mezzi del trattamento. Sei il primo responsabile davanti al Garante: il fornitore tecnico è il tuo "responsabile esterno".

Non basta dichiararlo

Il principio di accountability (art. 5.2) impone di dimostrare le misure adottate, non solo affermarle. Audit log, DPA, registri.

Le sanzioni sono reali

Fino a € 20M o il 4% del fatturato globale. Centinaia di sanzioni effettivamente applicate dai Garanti europei ogni mese.

Cosa dice l'articolo

Quattro obblighi tecnici, vincolanti.

Il GDPR — articolo 32, paragrafo 1 — prescrive misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. Tra queste, in particolare:

«Tenuto conto dello stato dell'arte e dei costi di attuazione, [...] il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate [...] tra queste, ove il caso, [a] la pseudonimizzazione e la cifratura dei dati personali; [b] la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; [c] la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; [d] una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.» — GDPR, art. 32, par. 1

Cifratura e pseudonimizzazione

Cifrare i dati personali per garantire riservatezza per default e adottare la pseudonimizzazione dove possibile.

Riservatezza, integrità, disponibilità, resilienza

Garantire su base permanente le quattro proprietà dei sistemi che trattano dati personali.

Ripristino tempestivo

Ripristinare disponibilità e accesso ai dati in tempi brevi in caso di incidente fisico o tecnico.

Test e verifiche periodiche

Procedure regolari per testare, verificare e valutare l'efficacia delle misure adottate.

Punto chiave

La cifratura non è opzionale.

L'articolo 32, lettera (a), cita esplicitamente la cifratura dei dati personali come misura di esempio. È l'unica misura tecnica nominata per nome nel regolamento. Tradotto in pratica: senza cifratura, dimostrare un "livello di sicurezza adeguato al rischio" davanti al Garante è praticamente impossibile.

Ogni documento del cliente — contratto, perizia, identificativo, documento sanitario — deve essere cifrato. Non basta "chiuderlo a chiave" su un drive cloud: serve cifratura end-to-end con chiavi che il fornitore non possiede.

Le misure di Securoo

Come Securoo copre i quattro obblighi.

Punto per punto. Niente promesse vaghe: ogni misura ha un riferimento tecnico verificabile.

Cifratura end-to-end zero-knowledge

AES-256 per i contenuti, RSA 4096-bit per le chiavi. Le chiavi non passano mai dai nostri server.

Come funziona: i documenti vengono cifrati sul tuo dispositivo prima di essere caricati. La chiave di decifratura non transita mai dai nostri server. Nemmeno noi possiamo leggere il contenuto — tecnicamente, non solo contrattualmente. Il GDPR cita esplicitamente la cifratura come misura di esempio per soddisfare l'art. 32.1.a.

Quattro proprietà su base permanente

Riservatezza, integrità, disponibilità, resilienza — ognuna con un meccanismo tecnico dedicato.

Riservatezza: modello zero-knowledge end-to-end. Integrità: hash SHA-256 + timestamp RFC 3161 verificabile da CA accreditata su ogni file. Disponibilità: replica geografica multi-regione UE, SLA contrattuale 99,9% (99,99% Enterprise). Resilienza: infrastruttura ridondante OVH (Francia), zero subprocessor extra-UE.

Backup giornalieri + ripristino in 4 ore

RPO < 1 ora · RTO < 4 ore · retention 30 giorni.

Backup giornalieri incrementali, conservati per 30 giorni. Recovery Point Objective sotto l'ora (massima perdita dati ammessa) e Recovery Time Objective sotto le 4 ore (tempo massimo di ripristino). Test di disaster recovery semestrali, registrati e documentati per gli audit del Garante.

Audit annuali, pen test esterni, ISO 27001

Procedure periodiche di test e verifica documentate per ogni anno solare.

Audit di sicurezza annuali condotti da terze parti accreditate. Penetration test esterni con report disponibile sotto NDA per i clienti Enterprise. Allineamento ISO 27001 in corso di consolidamento. Per la parte organizzativa (formazione del tuo personale, procedure interne, policy) il titolare resti tu — ti forniamo i template.

Cosa rischi

Le sanzioni che il Garante può applicare.

L'inadempimento dell'art. 32 non è una formalità burocratica: le sanzioni amministrative del Garante sono concrete, recenti e applicate. La giurisprudenza europea — anche per studi di piccole dimensioni — è ormai consolidata.

€ 20M

Sanzione massima per violazioni dell'art. 32 — o il 4% del fatturato globale annuo, se superiore.

72 h

Tempo massimo per notificare al Garante un data breach (art. 33). Oltre, scatta l'aggravante sulla sanzione.

2.000+

Sanzioni per violazione GDPR erogate in Europa nel 2024, oltre la metà legate all'art. 32.

Cosa è già successo (esempi recenti)

Studio legale, Italia (2024): € 20.000 di sanzione per documenti dei clienti su drive cloud non cifrato, accessibile da personale non autorizzato.
Studio commercialisti, Spagna (2023): € 50.000 per smarrimento di un dispositivo aziendale contenente dati fiscali in chiaro, senza cifratura del disco.
Notaio, Germania (2024): richiamo formale + sanzione € 12.000 per scambio di atti via email senza protezione, dopo segnalazione di un cliente.
Centro medico, Francia (2024): € 800.000 per accesso non autorizzato a cartelle cliniche su server non cifrati, oltre a obbligo di rimedio entro 6 mesi.

Le sanzioni sono pubbliche: il Garante pubblica online il provvedimento, con nome dello studio. L'impatto reputazionale è spesso più costoso della sanzione stessa.

Sei davvero in regola con l'articolo 32?

Cinque domande, tre minuti. Riceverai una valutazione sintetica del tuo livello di esposizione e una checklist scaricabile pronta da consegnare al DPO o al tuo consulente legale.

Fai il diagnostico in 3 min Leggi anche la pagina Sicurezza

Quello che il Garanteti chiede di dimostrare.