GDPR e cybersecurity

Il 25 maggio 2018 sarà applicabile a tutti gli effetti il nuovo Regolamento Generale sulla Protezione dei dati, meglio conosciuto come GDPR. Si tratta di una nuova normativa europea che rafforza e standardizza le leggi che riguardano la protezione dei dati personali e la privacy dei cittadini dell’Unione Europea. Il nuovo regolamento, che coinvolge tutte le aziende che trattano dati di cittadini residenti nell’Unione Europea, che hanno ancora pochi mesi per adeguarsi al nuovo quadro normativo. Ma vediamo nel dettaglio quali sono le maggiori novità introdotte dal GDPR e quale sarà il loro impatto sulle misure per la sicurezza nelle aziende.

Uno dei concetti più innovativi e centrali introdotti dal nuovo Regolamento riguarda il concetto di privacy by design contenuto nell’articolo 25 del testo europeo, secondo il quale il titolare del trattamento è tenuto ad effettuare una valutazione dei dati che intende avviare adottando fin dalla fase di progettazione tutti gli accorgimenti necessari per garantire la protezione dei dati stessi. Dal punto di vista pratico l’applicazione del principio di privacy by design si traduce nella messa in atto di misure tecniche e organizzative adeguate, in un processo di ridefinizione del concetto di privacy che coinvolge anche quanti sviluppano servizi, prodotti e applicazioni che implicano il trattamento di dati personali.

Una visione della privacy in questi termini significa considerare la protezione dei dati come vero e proprio perno su cui ripensare e sviluppare adeguati piani di sviluppo aziendale, procedendo a una riorganizzazione interna e valutando eventuali investimenti per adeguarsi alla nuova normativa, sia dal punto di vista economico che per quanto riguarda l’impiego di tempo e risorse.

Non ultimo e non meno importante, la centralità che il concetto di tutela dei dati acquisisce con l’applicazione del GDPR implica la necessità di una seria e sistematica valutazione dei rischi e la conseguente acquisizione di misure adeguate a garantirne la protezione. Questo significa che prima di intraprendere decisioni, investimenti e azioni, è opportuno valutare i rischi ai quali i dati raccolti potrebbero essere sottoposti e le minacce che potrebbero subire in termini di sicurezza (il testo di legge parla di “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”) e, alla luce di queste valutazioni, procedere con misure tecniche e organizzative che garantiscano la “capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico”.