51
gennaio-febbraio 2017 - 09
CYBER SECURITY
© duncanandison - Fotolia.com
Gazzetta Ufficiale Europea del 4 maggio 2016. Questo re-
golamento costituisce, insieme con la Direttiva UE 2016/680
il ‘pacchetto protezione dati personali’.
Si tratta pertanto di una norma già vigente che impone alle
aziende e alle Pubbliche Amministrazioni di adeguarsi a una
serie di obblighi e procedure a partire dal 25 maggio 2018,
una data importante non solo per le aziende ma anche per
i loro fornitori di tecnologia e sistemi.
Il testo impone infatti alle imprese e alle pubbliche ammini-
strazioni una forte responsabilizzazione in merito alla prote-
zione dei dati personali. Questi sono finalmente considerati
un asset strategico la cui protezione deve essere valutata già
nel momento di progettazione di nuove procedure, prodotti o
servizi, (principi ‘data protection by design’ e ‘data protection
by default’) abbandonando il mero adempimento formale di
mettere una firma per presa visione dell’informativa o per il
consenso al trattamento di dati sanitari: con il regolamento
si torna alla concretezza: focus sulla progettazione, sulle
procedure, sulla diffusione effettiva della percezione dei ri-
schi, sulle attività di controllo svolte da figure incaricate, sulla
continuità dell’attività.
La norma riguarda di fatto tutti gli operatori: dalle Pubbliche
Amministrazioni alle imprese ai titolari di Partita IVA.
A fronte di questo schema di regole, sono state definite san-
zioni decisamente salate in caso di data breach per quelle
organizzazioni che non siano rispondenti ai requisiti (oltre le
eventuali richieste risarcitorie).
LE LINEE GUIDA
In termini sintetici, possiamo dire che il regolamento prevede:
1. una valutazione preventiva della rilevanza dei dati (un la-
boratorio di analisi cliniche o uno studio legale avranno
una situazione più delicata rispetto ad una sartoria o un
retail);
2. la definizione di regole interne e di misure di sicurezza
adeguate ed efficaci a protezione dei dati e che siano
costantemente riviste e aggiornate;
3. che le proprie attività siano conformi con i principi e le di-
sposizioni del regolamento europeo, compresa l’efficacia
segue a pagina 53