Non si tratta più di sola privacy intesa come il diritto di tutela della riservatezza, il GDPR prende sempre più i connotati di un regolamento che facendo leva sul principio della responsabilizzazione induce i titolare d’azienda a mettere in atto misure di sicurezza adeguate al rischio.
I principi di integrità e riservatezza contenuti nell’art 5 del Regolamento che recita testualmente : ” i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” e al paragrafo successivo ” Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione») “
Ma come facciamo a comprovare il rispetto delle misure di sicurezza?
Il GDPR sembra promuovere i penetration test o scansioni delle vulnerabilità, trattasi di attacchi simulati usando le stesse tecniche che utilizzerebbe un hacker per violare i dati, ma effettuato da esperti tecnici con la finalità di produrre un rapporto descrittivo sulle vulnerabilità riscontrate in modo da poter elaborare un piano d’azione correttiva.
Sicuramente non è l’unico modo per dimostrare la propria responsabilizzazione ma è un approccio di tipo scientifico, esatto e responsabile che produce la relativa documentazione alla quale deve seguire poi un’azione concreta di fixing e un piano strategico per la mitigazione dei rischi cyber.