L’odierno dinamismo delle aziende è caratterizzato da un notevole aumento delle minacce informatiche. Il problema riguarda sia le PMI sia le multinazionali, poiché tali rischi sono anche frutto della congiuntura creatasi su scala internazionale: l’emergenza sanitaria e l’affermazione di scenari riconducibili al cyberwarfare.
Possiamo dire che, oggi, la Direttiva NIS2 e il GDPR rappresentano due pilastri normativi dell'Unione Europea per la sicurezza informatica e la protezione dei dati personali. Sebbene abbiano obiettivi differenti, le due normative si intersecano in diversi ambiti, rendendo imprescindibile un approccio integrato che coinvolga sia le competenze tecniche sia quelle legali.
Il regolamento europeo sulla privacy è pienamente applicabile da ormai più di tre mesi. Eppure, sembra proprio che le aziende non abbiano ancora trovato la via maestra per mettersi in regola. Negli ultimi tre mesi la quota di aziende che non sono riuscite a rispondere alle richieste da parte degli utenti di ottenere una copia dei propri dati personali entro un mese, così come stabilito dai regolamenti della General data protection regulation (Gdpr), ha toccato quota 70%. E non è proprio un segnale di buon auspicio in termini di compliance.
E' partito il "Privacy Sweep 2018", un´indagine a carattere internazionale dedicata quest´anno al principio di responsabilizzazione (accountability), introdotto anche in Europa dal Regolamento Ue. L'iniziativa è coordinata dalla Global Privacy Enforcement Network (GPEN) - la rete internazionale nata per rafforzare la cooperazione tra le Autorità della privacy di diversi Paesi - e prenderà in esame le misure che titolari o responsabili del trattamento hanno adottato per garantire e dimostrare il rispetto delle norme e degli standard in materia di protezione dei dati.
Rendere "pop" la cultura della privacy è una missione tanto importante quanto affascinante, come trasformare un concetto apparentemente astratto e lontano in un'icona conosciuta ed amata da tutti. Proprio come il celebre videogioco Pac-Man degli anni '80, possiamo immaginare il mondo digitale come un gigantesco labirinto, in cui navighiamo quotidianamente alla ricerca di informazioni e condivisione: così come il protagonista del gioco si aggira tra i corridoi, inghiottendo puntini e frutti, noi ci muoviamo tra flussi di dati, spesso inconsapevoli dell'importanza di proteggere le preziose informazioni personali che ci riguardano.
L’Organismo di certificazione Inveo, dopo aver già reso liberamente disponibile lo schema di certificazione ISDP©10003:2020, già accreditato da Accredia in forma volontaria per la valutazione della conformità al Gdpr, ha pubblicato nella sezione privacy tools un nuovo, efficace strumento operativo: la Gdpr compliance check list.
L’applicazione del D.Lgs. 196/03 prima e del GDPR poi in realtà altamente critiche quali la Pubblica Amministrazione e la Sanità, ha da sempre incontrato delle difficoltà dettate dalle peculiarità proprie di questi settori. Non ci si riferisce, in particolare, alla ben nota difficoltà di spesa e di investimenti che ha come effetto quello di rendere estremamente complesso disegnare un modello di governance che comprenda misure effettivamente adeguate di protezione dei dati, bensì alla difficoltà di combinare norme specifiche di settore con la disciplina generale della protezione dei dati.
