NAKIVO > Blog

Guida al Regolamento Generale sulla Protezione dei Dati

Aggiornato: Gennaio 16, 2026

Written by: NAKIVO Team

La privacy e la protezione dei dati sono tornate alla ribalta nell’ultimo anno in un contesto tecnologico sempre più complesso. Nell’Unione Europea si è discusso della necessità di un “GDPR 2.0”, poiché il cloud e l’intelligenza artificiale comportano una serie di sfide in materia di privacy, dai modelli di responsabilità condivisa al trattamento dei dati biometrici e all’uso del riconoscimento facciale.

Ma cos’è il GDPR, ovvero il Regolamento generale sulla protezione dei dati, cosa copre e può fornire risposte alle sfide odierne a 12 anni dalla sua prima stesura? Esaminiamo lo scopo e i requisiti di questa normativa e come è possibile garantirne la conformità attraverso la propria strategia di protezione dei dati.

Back Up Directly to Cloud

Back Up Directly to Cloud

Avoid a single point of failure with NAKIVO by backing up virtual, cloud and physical workloads directly to the most popular clouds and other S3-compatible platforms.

DISCOVER SOLUTION

Che cos’è il GDPR?

Il Regolamento generale sulla protezione dei dati (GDPR) è una legge sulla protezione dei dati che regola il modo in cui le organizzazioni raccolgono, conservano, trattano e condividono i dati personali dei cittadini dell’UE. Il GDPR è entrato in vigore il 25 maggio 2018. Si basa sull’articolo 8 della Carta dei diritti fondamentali dell’Unione europea relativo alla protezione dei dati personali e si fonda sul “consenso liberamente espresso” come base giuridica per il trattamento dei dati personali.

Questo regolamento mira ad armonizzare le norme sulla privacy dei dati in tutta l’Unione Europea e a salvaguardare i diritti alla privacy dei cittadini dell’UE, indipendentemente dall’ubicazione geografica dell’organizzazione che tratta i dati personali.

I principi fondamentali del GDPR

Il Regolamento generale sulla protezione dei dati si basa su 7 principi fondamentali che regolano il trattamento legittimo dei dati personali. Questi principi non sono solo linee guida, ma sono giuridicamente vincolanti e fondamentali per la conformità al GDPR. Essi sono obbligatori per le organizzazioni e richiedono di tenere conto della privacy in ogni fase del trattamento dei dati, dalla raccolta iniziale dei dati alla loro cancellazione o distruzione finale.

  1. Liceità, correttezza e trasparenza. Il trattamento dei dati personali deve avere una base giuridica, non deve essere ingannevole o dannoso per gli interessati e deve essere chiaro e trasparente nei confronti delle persone riguardo alle modalità di utilizzo e trattamento dei loro dati.
  2. Limitazione delle finalità. I dati devono essere raccolti per motivi specifici, chiari, espliciti e legittimi e il loro utilizzo non può essere incompatibile con la finalità originaria.
  3. Minimizzazione dei dati. I dati raccolti e trattati devono essere limitati a quanto essenziale per la finalità prevista.
  4. Accuratezza. I dati personali devono essere accurati e, se necessario, aggiornati. I dati inesatti devono essere corretti o cancellati senza indugio.
  5. Limitazione dello storage. I dati personali devono essere conservati in un formato che consenta l’identificazione degli interessati solo per il tempo obbligatorio per il raggiungimento delle finalità previste.
  6. Integrità e riservatezza (sicurezza). Il trattamento dei dati personali deve prevedere misure di sicurezza adeguate per proteggere i dati da trattamenti non autorizzati o illeciti e da danni.
  7. Responsabilità. Le organizzazioni devono essere in grado di applicare i criteri e le procedure necessarie per conformarsi al GDPR e dimostrare di averlo fatto in modo efficace quando richiesto.

Definizioni e terminologia del GDPR

Di seguito è riportato un breve glossario con i termini chiave e le definizioni del GDPR:

Dati personali si riferisce a qualsiasi informazione relativa a una persona fisica, ovvero interessato, che può essere identificata direttamente o indirettamente, ad esempio tramite nome, numero di identificazione, ubicazione o altri identificatori relativi all’identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale.

Consenso è qualsiasi indicazione “liberamente fornita, specifica, informata e inequivocabile” da parte dell’interessato che acconsente al trattamento dei propri dati personali per le finalità indicate.

Il titolare del trattamento dei dati è una persona fisica o giuridica responsabile del rispetto dei principi del GDPR e determina le finalità e le modalità del trattamento dei dati personali. Questo è il soggetto a cui devono rivolgersi gli interessati che desiderano esercitare i propri diritti. Tuttavia, il trattamento effettivo dei dati può essere delegato a un altro soggetto, ovvero il responsabile del trattamento.

Responsabile del trattamento dei dati è una persona fisica o giuridica che tratta i dati personali per conto del titolare del trattamento dei dati. Tale soggetto è soggetto alle istruzioni del titolare del trattamento dei dati.

L’interessato è una persona fisica che acconsente al trattamento dei propri dati personali da parte di un titolare del trattamento o responsabile del trattamento.

Il trattamento è qualsiasi operazione effettuata sui dati personali, come la raccolta, la registrazione, la strutturazione, lo storage, la modifica, la divulgazione, la diffusione, la cancellazione e la distruzione, tra le altre opzioni previste dal GDPR.

Diritto di accesso è il diritto di un interessato di ottenere informazioni dal titolare del trattamento in merito ai propri dati personali, alle modalità di trattamento, alle finalità del trattamento, ecc., gratuitamente entro 1 mese dal ricevimento della richiesta.

Requisiti e sfide della conformità al GDPR

Il GDPR ha gettato le basi per standard di protezione dei dati solidi. Tuttavia, la natura dinamica della tecnologia introduce complessità e mette sempre più alla prova i principi fondamentali alla base della normativa UE sulla privacy.

Chi deve conformarsi al GDPR?

All’interno dell’UE. Qualsiasi organizzazione che tratta i dati personali di individui nell’UE è soggetta al GDPR. Ciò include aziende pubbliche e private, governi, enti di beneficenza e altre organizzazioni senza scopo di lucro.

Al di fuori dell’UE. Il GDPR si estende oltre i confini dell’UE a qualsiasi organizzazione che fornisce beni o servizi ai cittadini dell’UE o osserva il loro comportamento all’interno dell’UE. Ciò significa che un’azienda con sede in qualsiasi parte del mondo deve conformarsi al GDPR se tratta dati di residenti nell’UE.

Le aziende tecnologiche e Internet globali, comprese le piattaforme di social media, che hanno utenti nell’UE sono obbligate a conformarsi al GDPR.

Fornitori di tecnologia e responsabilità condivisa

Con la proliferazione di SaaS, IaaS, PaaS e altre piattaforme che forniscono risorse e servizi IT su Internet, il ruolo dei vendor di tecnologia e dei subappaltatori che trattano dati personali diventa fondamentale ai fini della conformità al GDPR. Se un’organizzazione utilizza servizi/piattaforme di terze parti per elaborare o archiviare dati personali, anche i vendor devono conformarsi al GDPR.

Si noti che la maggior parte di questi servizi si basa su un modello di responsabilità condivisa in base al quale:

  • Le organizzazioni sono responsabili dei propri dati in qualità di proprietari degli stessi e, a seconda del tipo di servizio, possono essere responsabili delle applicazioni e/o dei sistemi operativi
  • I fornitori sono responsabili dei server, dell’archiviazione, delle reti, delle ubicazioni fisiche, ecc.

Ai sensi del GDPR, le organizzazioni sono responsabili dell’ottenimento del consenso e della garanzia che i dati siano utilizzati per lo scopo previsto. Devono inoltre assicurarsi che i fornitori a cui affidano il trattamento dei dati personali lo facciano in conformità con il regolamento.

Alcune delle sfide poste dal cloud computing per i dati privati riguardano:

  • potenziali fughe di informazioni sensibili
  • controllo dei flussi di dati tra giurisdizioni
  • garanzia che i vendor terzi applichino gli stessi impegni in materia di privacy assunti nei confronti degli interessati
  • attuare efficacemente i criteri di conservazione
  • gestire le violazioni dei dati privati
  • gestione dei rischi in generale

GDPR e IA

La legge sull’intelligenza artificiale dell’UE, la prima legge al mondo che regola l’IA, entrerà in vigore nel 2025 per affrontare alcune delle nuove sfide relative ai diritti alla privacy dei cittadini dell’UE. Tuttavia, è importante comprendere oggi alcune delle sfide che devono affrontare le organizzazioni che si affidano all’IA per il trattamento dei dati personali:

  • Riduzione al minimo dei dati e limitazione delle finalità. L’IA rappresenta una sfida per i responsabili del trattamento dei dati che limitano la raccolta dei dati a quanto strettamente necessario e per una finalità specifica.
  • Trasferimenti transfrontalieri di dati. L’IA e le tecnologie basate sui dati operano spesso a livello transfrontaliero. Ciò può richiedere controlli più rigorosi per garantire la conformità al GDPR.
  • Processi decisionali automatizzati e profilazione. L’IA introduce il rischio che le decisioni vengano prese senza l’intervento umano sulla base del trattamento dei dati personali, compresa la profilazione. Questo utilizzo dei dati personali è molto limitato dal GDPR.

Requisiti chiave di conformità al GDPR

Per le organizzazioni che devono conformarsi al GDPR, ecco i requisiti generali da considerare:

  • Misure di protezione dei dati. Le organizzazioni devono implementare soluzioni e misure di protezione dei dati robuste, tra cui la crittografia dei dati, l’archiviazione sicura dei dati e regolari controlli di sicurezza. Ciò comporta anche la considerazione delle implicazioni del GDPR quando si adottano nuove tecnologie come l’intelligenza artificiale, il cloud computing e l’analisi dei big data.
  • Gestione del consenso. Le organizzazioni devono disporre di un criterio chiaro per ottenere un consenso chiaro, informato e liberamente espresso prima di trattare i dati personali. Ciò comporta anche la messa in atto di meccanismi chiari per la gestione del ciclo di vita dei dati personali.
  • Registri del trattamento dei dati. È obbligatorio tenere registri dettagliati delle attività di trattamento dei dati, indicando quali dati vengono raccolti, per quale scopo e come vengono trattati e protetti.
  • Responsabile della protezione dei dati. Alcuni tipi di organizzazioni potrebbero dover nominare un responsabile della protezione dei dati per supervisionare la conformità al GDPR, soprattutto se lavorano con dati sensibili trattati su larga scala.

Come soddisfare i requisiti del GDPR

Soddisfare i requisiti del GDPR non è uno sforzo una tantum, ma un processo continuo di valutazione e monitoraggio. Le organizzazioni devono implementare una serie completa di misure che comprendono la gestione dei dati personali, la protezione dei dati e il ripristino dei dati e la sicurezza:

  • Comprendere e mappare i dati. Condurre un audit approfondito per comprendere quali dati personali vengono raccolti, perché vengono raccolti, come vengono elaborati, dove vengono archiviati e come vengono condivisi. Creare una mappa del flusso dei dati per tracciare il percorso dei dati personali all’interno dell’organizzazione. Ciò aiuta a identificare le aree di rischio.
  • Garantire una base giuridica per il trattamento. Determinare la base giuridica per il trattamento dei dati personali, come il consenso, il contratto, l’obbligo legale, gli interessi vitali, il compito pubblico o gli interessi legittimi. Se ci si basa sul consenso, assicurarsi che sia “liberamente espresso, specifico, informato e inequivocabile”. I meccanismi di consenso devono essere di facile comprensione e includere la possibilità di revocare facilmente il consenso.
  • Attuare criteri di protezione dei dati. Sviluppare o aggiornare i criteri e le procedure interne di protezione dei dati per garantire la conformità al GDPR. Integrare la protezione dei dati per impostazione predefinita e in fase di progettazione in tutti i processi aziendali, i sistemi e i servizi che coinvolgono dati personali.
  • Ridurre al minimo il trattamento dei dati. Garantire che vengano trattati solo i dati necessari per ogni scopo specifico e che l’accesso ai dati personali sia limitato a coloro che ne hanno bisogno.
  • Conservazione dei dati. Il GDPR richiede alle organizzazioni di valutare criticamente e gestire la durata della conservazione dei dati personali, assicurando che i dati non vengano conservati più a lungo del necessario. Ciò richiede un approccio proattivo alla gestione dei dati, con criteri chiari, revisioni regolari e processi efficaci per la cancellazione o l’anonimizzazione dei dati, il tutto bilanciando la conformità al GDPR con altri requisiti legali di conservazione.
  • Facilitare i diritti degli interessati. Stabilire procedure per soddisfare i diritti degli interessati, comprese le richieste di accesso ai dati, rettifica, cancellazione, portabilità dei dati e opposizione al trattamento.
  • Pianificare misure di risposta e segnalazione delle violazioni dei dati. Creare e attuare un solido piano di risposta agli incidenti con un piano di risposta alle violazioni dei dati. Essere pronti a notificare l’autorità di controllo competente entro 72 ore dalla scoperta di una violazione dei dati e, in alcuni casi, informare le persone interessate.
  • Verificare la conformità dei vendor e dei responsabili del trattamento dei dati. Assicurarsi che anche i vendor terzi o i responsabili del trattamento dei dati che gestiscono i dati personali della propria organizzazione siano conformi al GDPR.
  • Eseguire valutazioni continue. Effettuare regolarmente audit delle attività in termini di trattamento dei dati e rivedere i criteri per garantire la conformità continua al GDPR.
  • Prestare attenzione ai trasferimenti internazionali. Se trasferite dati al di fuori del SEE, assicuratevi che siano in atto misure di protezione adeguate, comprese le clausole contrattuali standard (SCC) o l’adesione a una decisione di adeguatezza della Commissione europea.
  • Conservate registri e documentazione. Conservare registri completi delle attività di trattamento dei dati, compresi lo scopo del trattamento, le categorie di dati e i destinatari dei dati.

GDPR e protezione dei dati

In termini di backup dei dati e ripristino di emergenza, le organizzazioni devono implementare processi di backup sicuri per salvaguardare i dati personali e garantire la conformità al GDPR. Ciò include l’implementazione di soluzioni di protezione dei dati e di ripristino di emergenza che includano le seguenti funzioni:

  • Crittografia dei dati di backup nell’archivio di storage (a riposo) e durante il trasferimento (in transito). Scegli soluzioni che ti consentano di implementare standard di crittografia avanzati per rendere i dati di backup illeggibili a soggetti non autorizzati anche in caso di violazione della sicurezza violazione della sicurezza.
  • Controlli di accesso e autenticazione. Configurare il controllo degli accessi basato sui ruoli (RBAC) per limitare l’accesso ai dati personali e l’autenticazione a più fattori (MFA) per migliorare la sicurezza prima di concedere l’accesso.
  • Riduzione al minimo dei dati e limitazione della conservazione. Uno dei principi fondamentali del Regolamento generale sulla protezione dei dati è la limitazione della conservazione, che ha un impatto diretto sui criteri di conservazione dei backup. Assicurarsi che le soluzioni di backup offrano una flessibilità sufficiente per creare pianificazioni e criteri di conservazione diversi per i diversi livelli di dati.
  • Ubicazione dei dati di backup nell’storage sul cloud. Sapere dove sono archiviati i dati di backup e scegliere le regioni in base al tipo di dati personali trattati.
  • Controlli regolari dell’integrità dei dati di backup. Effettuare backup regolari per garantire l’integrità dei dati personali e implementare misure per testare i ripristini.
  • Gestione/conformità dei fornitori e di terze parti. Assicurarsi che l’archiviazione di terze parti e altre piattaforme integrate con la soluzione di backup offrano la giusta gamma di funzioni per garantire il controllo su come e dove vengono archiviati i dati.

Protezione dei dati con NAKIVO

NAKIVO Backup & Replication & Replication è una soluzione di protezione dei dati che offre la giusta combinazione di funzioni di backup, ripristino di emergenza e sicurezza da implementare da parte delle organizzazioni che trattano dati personali. È possibile proteggere applicazioni e sistemi in ambienti virtuali, fisici, cloud e SaaS e mantenere la conformità ai requisiti GDPR utilizzando funzionalità quali crittografia inattiva e in volo, pianificazione e automazione dei backup, impostazioni di conservazione flessibili, verifica dei backup, ecc.

1 Year of Free Data Protection: NAKIVO Backup & Replication

1 Year of Free Data Protection: NAKIVO Backup & Replication

Deploy in 2 minutes and protect virtual, cloud, physical and SaaS data. Backup, replication, instant recovery options.

Get the Free Edition

Le persone leggono anche

Picture
Windows Server 2019 Essentials, Standard, Datacenter: principali differenze
Picture
Come gestire le istanze di EC2 tramite l’interfaccia della riga di comando AWS
Picture
Microsoft 365 Advanced Threat Protection: panoramica completa