General Data Protection Regulation, o come tutti lo chiamano GDPR, è il nuovo regolamento europeo in materia di sicurezza e protezione dei dati all’interno dei confini dell’Unione Europea. A differenza di una direttiva questa non richiede alcuna forma di legislazione applicativa da parte degli stati membri è già in vigore dal 24 maggio 2016 e sarà direttamente applicabile dal 25 maggio 2018. Con questo regolamento, tra le altre attività, si vuole analizzare e valutare in maniera preventiva i possibili rischi per la sicurezza dei dati. Questo comporta la necessità di saper governare i propri database, gestire i rischi, prevedere quali saranno i comportamenti dei dei sistemi di sicurezza in caso di violazioni dall’esterno. In questo caso, è necessario comunicarlo all’autorità di controllo e al soggetto interessato. IL GDPR impone che si debba garantire un livello di sicurezza adeguato al rischio; da un punto di vista informatico è necessario analizzare l’eventuale distruzione, perdita, divulgazione, modica o anche solo accesso ai dati personali, utilizzando strumenti che possano garantire riservatezza (pseudonomizzazione dei dati e la loro cifratura) , integrità, disponibilità, resilienza e ripristino tempestivo dei dati. Per ottenere ciò è necessaria una fase di assesment dell’attuale situazione, per capirne i rischi. Il titolare del trattamento dei dati deve poter essere eventualmente in grado di dimostrare che ha messo in atto misure tecniche e organizzative adeguate. Ora vediamo le sanzioni: fino a € 20.000.000 oppure fino al 4% del fatturato mondiale. Il valore della sanzione viene determinato in funzione del carattere dea violazione (se colposa o dolosa) e in funzione delle misure adottate.