Tutela dei dati, i nuovi paradigmi legislativi della compliance
GDPR, Direttiva NIS, Regolamento eIDAS cambiano il paradigma della compliance, passando dal criterio dell’adempimento a quello della responsabilizzazione degli operatori. Come sta reagendo il sistema a questo cambiamento epocale?
Ne parla a essecome Corrado Giustozzi, esperto di sicurezza cibernetica presso il CERT-PA:
"Il paradigma adottato dal Legislatore europeo per normare gli obblighi di sicurezza in determinati settori regolati, quali ad esempio i fornitori di servizi critici per la società oppure i soggetti che trattano dati personali, è effettivamente molto cambiato o per dir meglio si è assai evoluto, in questi ultimi anni. Si è passati infatti in modo abbastanza repentino da un approccio interamente prescrittivo, basato su una logica che potremmo definire “dell’adempimento”, ad un approccio finalizzato ai risultati e basato su una logica “della responsabilizzazione”. Ciò significa, in termini generali, che gli operatori non devono più limitarsi a seguire passivamente le indicazioni puntuali fornite dalle Autorità di vigilanza e controllo, come avveniva in passato, ma devono divenire parte attiva nel contribuire essi stessi a definire e migliorare i propri processi dal punto di vista della compliance e del raggiungimento degli obiettivi imposti. Questo è un vero ribaltamento di prospettiva, perché il Legislatore oggi dice agli operatori “cosa devono ottenere” e non più “cosa devono fare e come”, lasciando loro la libertà di decidere qual è il modo migliore per ottenere i risultati richiesti..."
Leggi l'intervista pubblicata in essecome online 8/2019