In agenda questa primavera l’approvazione della nuova normativa che richiederà alle aziende di dimostrare l’effettiva protezione dei dati. Non ci sarà però una lista preconfezionata di misure di sicurezza, ma graverà sulle stesse imprese la responsabilità di effettuare una valutazione d’impatto ed individuare gli interventi
Per molto tempo la privacy è stata concepita in Italia come una superflua burocrazia, ma negli ultimi anni le sempre più frequenti e massive violazioni, hanno fatto emergere il valore dei dati personali come asset aziendali e patrimonio dello stesso individuo, con la necessità di stabilire nuove regole al passo con i tempi della nostra era tecnologica, adottando al tempo stesso misure di sicurezza per proteggere adeguatamente le informazioni.
Per quanto riguarda gli aspetti normativi, è finalmente in arrivo il nuovo Regolamento UE sulla protezione dei dati, che sarà approvato questa primavera per sostituire l’attuale Codice della Privacy (Dlgs 196/2003), basato su una vecchia Direttiva CE del 1995, scritta quando la gestione delle informazioni avveniva perlopiù in forma cartacea e non doveva ancora scontrarsi con il fenomeno di Internet.
D’altra parte, come richiede lo stesso testo in arrivo da Bruxelles, il rispetto delle regole dovrà essere seguito dall’adozione di concrete misure di sicurezza tecniche e organizzative a protezione dei dati, che le aziende dovranno essere in grado di dimostrare per non incorrere in pesanti sanzioni e risarcimenti, e sarà perciò fondamentale avvalersi di professionisti specializzati, come osserva il presidente di Federprivacy, Nicola Bernardi:
“Anche se in Italia le imprese stentano ancora a concepire la privacy come una due diligence, il Regolamento UE richiederà una protezione dei dati sostanziale. Tuttavia il nuovo testo normativo non contiene una lista preconfezionata di misure di sicurezza, che dovranno essere invece individuate dalle stesse aziende, effettuando previamente una valutazione d’impatto sulla protezione dei dati – spiega Bernardi – Per poter svolgere queste attività ad un livello adeguato, oltre a professionisti che conoscano bene la normativa, serviranno anche esperti con skills e competenze per gestire i dati e le informazioni con un elevato livello di sicurezza.”
Data la crescente necessità di gestire i dati in maniera sicura, nel piano formativo 2016/2017 per i privacy officer e gli altri addetti ai lavori, oltre ai consueti corsi focalizzati sulla normativa, Federprivacy ha perciò deciso di inserire anche percorsi specifici sulla sicurezza delle informazioni, tra cui un corso per “Lead Auditor sulla ISO 27001:2013”, norma internazionale che fornisce una serie di requisiti e standard per impostare e monitorare un sistema di gestione e controlli di sicurezza adeguati e proporzionati all’interno di aziende pubbliche e private, fornendo un importante contributo per adeguarsi anche al nuovo Regolamento Privacy UE, per cui ci sarà tempo due anni destinati a passare in fretta, vista la complessità degli adempimenti e l’esclusione di ogni ipotesi di eventuali proroghe, non previste nel caso di regolamento emanati dall’Unione Europea.
