La GDPR (General Data Protection Regulation- Regolamento UE 2016/679) ultimamente desta molto interesse. Nell’ultimo anno non c’è stato convegno che non ne abbia parlato. Il motivo è semplice, è un regolamento non una direttiva, cioè ha portata generale, è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Uno di questi elementi prevede aspre sanzioni, e questo causa interesse. Spingerà il settore pubblico e quello privato aggiornando le pratiche di sicurezza di chi tratta dati personali. Ma chi non li tratta ad oggi? Noi eravamo fermi a più di una decade fa con il nostro codice della privacy. Con questo le persone che forniscono i propri dati saranno meglio informate su come saranno trattati (anche se questo richiedere leggere le informative, pratica assai rara, ma questa volta ci saranno anche “icone” di facile comprensione uguali per tutta l’UE), avranno il diritto all’oblio e alla portabilità e, più importante per quanto concerne la cybersecurity, il diritto di notifica in caso di data leak.

Si dovrà nominare un Data Protection Officer, che sarà responsabile della protezione dei dati e che per le organizzazioni con più di 250 dipendenti sarà in carico di informare i dipendenti sugli obblighi, di far effettuare adeguata formazione, di monitorare i processi di compliance al regolamento. Ma soprattutto, si passerà da vecchi approcci basati su checklist a processi di sicurezza basati sul rischio.

“Privacy by design, by default” è l’espressione che meglio calza la GDPR.