GDPR: sicurezza del trattamento e resilienza

Nell’ambito del generale principio di accountability introdotto dall’art. 22 del GDPR, si prevede espressamente che il titolare del trattamento metta in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare che il trattamento dei dati personali è effettuato conformemente al Regolamento.

Particolarmente significativo a tal proposito è l’art. 32 del Regolamento, rubricato “sicurezza del trattamento”, che letteralmente prescrive: tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati persona li in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Innovativo è il forte richiamo del Regolamento allo strategico concetto di resilienza che costituisce la nuova grande missione da promuovere nell’ambito della compliance.

L’evoluzione tecnologica ed i sempre più frequenti attacchi cibernetici mirati alla violazione dei sistemi informativi pubblici e privati evidenziano la crescente necessità di dotarsi di strumenti di mitigazione del rischio di compromissione dell’integrità, disponibilità e riservatezza dei dati.

In questa logica si innesta la diffusione della cultura della Business Resilience intesa quale continuità operativa protesa a fronteggiare le probabili avversità a sistemi e processi conseguenti ad eventi accidentali e/o intenzionali.

Sicurezza del trattamento è anche Business Continuity.

Per Business Continuity (BC) si intende la capacità di mantenere funzionanti i propri processi di business, i servizi, i sistemi ed anche il capitale umano, malgrado il manifestarsi di situazioni naturali o intenzionali umane avverse, pur ammettendo performances differenti rispetto la normale operatività.

La gestione della continuità operativa, è dunque un processo strategico che ha l’obiettivo di:

– garantire la “sopravvivenza” di tutte le funzioni primarie dei processi aziendali ed organizzativi;

– identificare le vulnerabilità di processi e sistemi potenzialmente in grado di compromettere la continuità del business aziendale;

– mitigare i rischi correlati alla continuità operativa aziendale, gestendone gli impatti dannosi a più livelli.

Ciò passa attraverso un processo di gestione della Continuità Operativa BCM (Business Continuity Management) che comprende:

– la valutazione degli impatti sul business – BIA (Business Impact Analysis) ovvero la mappatura dei processi aziendali, al fine di identificarne criticità e impatto sul business, la tempistica di ripristino (RTO) oltre che le risorse necessarie affinché il processo possa essere ripristinato ai livelli di normale funzionamento;

– il piano di continuità operativa – BCP (Business Continuity Plan) ovvero il complesso di procedure formalizzate che guidano le organizzazioni nel rispondere, recuperare, riprendere e ripristinare a un livello predefinito almeno le funzioni organizzative critiche, a seguito di un’interruzione.

– il piano di recupero da situazioni di disastro – DRP (Disaster Recovery Plan), ovvero il processo documentato per recuperare una infrastruttura IT in caso di disastro (naturale o intenzionale umano);

E’ fuor di dubbio che in tale contesto, disporre di un BCP agevola l’adeguamento al Regolamento nel pieno ossequio del generale principio dell’accountability del Titolare del trattamento che ben potrà far leva sulle practices di Business Continuity, con particolare riferimento alle procedure di incident management nelle ipotesi di data breach disciplinate dall’art. 33 del Regolamento.

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

GDPR: sicurezza del trattamento e resilienza

I giovedì dell’AI. Intelligenza artificiale e professione forense – Ciclo di seminari

Privacy Symposium 2026

Lo ho-BIT – Andata e Ritorno

Newsletter

NAVIGA

Lecce

Milano

Roma

Biella

Castellammare di Stabia

Lecco