Dal 25 maggio 2018 ha efficacia il GDPR (General Data Protection Regulation – Regolamento UE 2016/679) entrato in vigore a partire dal 25 maggio 2016, volto a rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell'Unione Europea e dei residenti nell'Unione Europea .
Esso agli articoli 25 e 32 definisce le misure tecniche adeguate al rischio da adottare per garantire la sicurezza del trattamento.
Tra le misure tecniche e le procedure previste, a seconda del rischio, si citano:
-
La protezione dei dati fin dalla progettazione e la protezione per impostazione predefinita (Data protection By Design and By Default)
-
La pseudonimizzazione
-
La cifratura dei dati
-
L'implementazione di adeguate misure per garantire Confidenzialità, Disponibilità, Integrità dei dati e la resilienza dei sistemi e dei servizi di trattamento
-
L'adozione di procedure (Vulnerability Assessment, Penetration Test, Security Auditing) per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Gli articoli 33 e 34 prevedono inoltre che a fronte di una violazione dei dati personali (data breach) il titolare del trattamento notifichi tale violazione all'Autorità di Controllo ed in casi gravi anche agli interessati. Ne consegue che occorrerà, a seconda del rischio, adottare opportuni strumenti (IDS/IPS, SIEM, etc) e procedure, utili per la rilevazione e la adeguata gestione degli incidenti di sicurezza.
L'articolo 35 introduce inoltre la necessità di svolgere una valutazione d'impatto sulla protezione dei dati (Data Protection Impact Assessment - DPIA) quando un tipo di trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Si sottolinea infine che le sanzioni previste dal GDPR all'articolo 83 a seconda delle violazioni, variano dal 2% al 4% del fatturato annuo.