Previous Page  53 / 100 Next Page
Information
Show Menu
Previous Page 53 / 100 Next Page
Page Background

51

gennaio-febbraio 2017 - 09

CYBER SECURITY

© duncanandison - Fotolia.com

Gazzetta Ufficiale Europea del 4 maggio 2016. Questo re-

golamento costituisce, insieme con la Direttiva UE 2016/680

il ‘pacchetto protezione dati personali’.

Si tratta pertanto di una norma già vigente che impone alle

aziende e alle Pubbliche Amministrazioni di adeguarsi a una

serie di obblighi e procedure a partire dal 25 maggio 2018,

una data importante non solo per le aziende ma anche per

i loro fornitori di tecnologia e sistemi.

Il testo impone infatti alle imprese e alle pubbliche ammini-

strazioni una forte responsabilizzazione in merito alla prote-

zione dei dati personali. Questi sono finalmente considerati

un asset strategico la cui protezione deve essere valutata già

nel momento di progettazione di nuove procedure, prodotti o

servizi, (principi ‘data protection by design’ e ‘data protection

by default’) abbandonando il mero adempimento formale di

mettere una firma per presa visione dell’informativa o per il

consenso al trattamento di dati sanitari: con il regolamento

si torna alla concretezza: focus sulla progettazione, sulle

procedure, sulla diffusione effettiva della percezione dei ri-

schi, sulle attività di controllo svolte da figure incaricate, sulla

continuità dell’attività.

La norma riguarda di fatto tutti gli operatori: dalle Pubbliche

Amministrazioni alle imprese ai titolari di Partita IVA.

A fronte di questo schema di regole, sono state definite san-

zioni decisamente salate in caso di data breach per quelle

organizzazioni che non siano rispondenti ai requisiti (oltre le

eventuali richieste risarcitorie).

LE LINEE GUIDA

In termini sintetici, possiamo dire che il regolamento prevede:

1. una valutazione preventiva della rilevanza dei dati (un la-

boratorio di analisi cliniche o uno studio legale avranno

una situazione più delicata rispetto ad una sartoria o un

retail);

2. la definizione di regole interne e di misure di sicurezza

adeguate ed efficaci a protezione dei dati e che siano

costantemente riviste e aggiornate;

3. che le proprie attività siano conformi con i principi e le di-

sposizioni del regolamento europeo, compresa l’efficacia

segue a pagina 53