Lun20112017

Ultimo aggiornamento06:43:53

Nuovo Regolamento europeo: molto più complesso se si pensa allo scenario

  • PDF

Il Regolamento europeo per la privacy, non è una semplice nuova legge, per le aziende sarà una innovazione che si dovrà inserire in un contesto estremamente complesso ed in uno scenario giuridico nuovo. In particolare per il contesto ci riferiamo all’inserimento del Regolamento in una visione ormai comune per tutte le società, gli enti e le organizzazioni, quella della  compliance aziendale, secondo la quale  i requisiti da rispettare e conoscere per essere  conformi derivano sia da disposizioni di legge (qui si inserisce il nuovo regolamento in termini di flessibilità ed indeterminatezza di alcuni requisiti) sia da impegni presi con il cliente,  definiti da policy, codici etici o di comportamento stabiliti direttamente dall’azienda (aspetto soggettivo del nuovo Regolamento). La parte compliance è sicuramente collegabile a due standard internazionali di recente  introduzione: la ISO 19600  che definisce l’approccio sistemico alla conformità aziendale intesa per tutte le “obligation” e la nuova ISO 9001 che richiede l’analisi del contesto (in cui il Regolamento può essere variabile determinante in alcuni settori o situazioni), il coinvolgimento degli stakeholder (il Regolamento è parte degli interessi) e l’analisi dei rischi (requisito innovativo del nuovo Regolamento che dovrà essere parte integrante del modello di risk assessment e management scelto, per esempio la ISO 31000).

Con riferimento allo scenario giuridico i cambiamenti sono molto evidenti, l’indirizzo è quello di una responsabilità che coinvolge sempre di più l’organizzazione come soggetto (approccio della responsabilità “penale” dell’impresa che invade l’Europa e ormai è presente stabilmente dal 2001 anche in Italia) e con norme sempre più di indirizzo rispetto all’approccio dirigistico del passato (il Regolamento recepisce questa dimensione).

Queste due dimensioni suggeriscono la logica della applicazione delle buone pratiche e sicuramente quelle di riferimento e specialistiche devono essere la ISO 27001 e la BS 10012.

La ISO 27001 è lo standard internazionale per la sicurezza (fisica e logica) delle informazioni, rilevanti per la continuità del business (importante il concetto di rischio non solo di conformità). Ha una lunga storia che nasce nel British Standard, attualmente in versione 2013, la norma fornisce un quadro di riferimento per lo sviluppo e l’implementazione di un sistema di gestione per la sicurezza delle informazioni. È una norma innovativa e specifica per il settore, presenta ancora la struttura originaria e molto efficace dove sono definiti gli obiettivi della sicurezza e gli ambiti ed i domini di intervento. Permette la certificazione. È uno standard conosciuto in tutto il mondo.

La BS 10012 è lo standard inglese (applicabile secondo il principio della normazione europea) collegabile al data protection act (disposizione legislativa di common law sulla tutela dei dati personali contro “tutto e tutti” in particolare la cessione a terzi).  Prevede l’implementazione di un sistema di gestione finalizzato alla protezione e gestione (concetto importante) delle informazioni personali. L’approccio è quello ISO con forte attenzione ai controlli e alla loro efficacia, prevede agli audit ed è integrabile con gli altri sistemi di gestione. 

In conclusione, questo significa che chi si occuperà del nuovo Regolamento dovrà avere competenze avanzate su entrambi gli standard internazionali con approccio organizzativo e giuridico, che superi l’approccio meramente informatico.

Stefano Bonetto – consulente esperto normazione tecnica -  Articolo in collaborazione con il centro ricerche Organismo di Vigilanza. Per contatti: info@organismodivigilanza.com

Ti può interessare anche:

Commenti (0)
Solo gli utenti registrati possono scrivere commenti!

Focus

Privacy, utenti più tutelati con il giro di vite sul consenso

Privacy, utenti più tutelati con il giro di vite sul consenso

Amici che con vostro stupore sanno dove vi trovate o che musica state ascoltando, call center che vi bersagliano di telefonate promozionali nonostante non vi ricordiate di aver mai dato loro il...

18 Mag 2017 Letto:552

Leggi tutto

RGPD e profilazione: cosa cambia con il nuovo Regolamento?

RGPD e profilazione: cosa cambia con il nuovo Regolamento?

Il diavolo e l’acqua santa: il paradigma potrebbe apparire eccessivo ma descrive in sintesi il rapporto che accomuna le attività di profilazione ed il trattamento dei dati personali. Infatti se esaminiamo tutto...

15 Apr 2016 Letto:3715

Leggi tutto

La sicurezza dei sistemi di ICT in una prospettiva di law and techno…

La sicurezza dei sistemi di ICT in una prospettiva di law and technologies

La sicurezza è un bisogno innato nell’essere umano, legato alla costante presenza nell’ambiente di condizioni di imprevedibilità che determinano nell’uomo stati emozionali di insicurezza, di paura. Nella sua analisi delle motivazioni del...

04 Apr 2016 Letto:1118

Leggi tutto

I dati personali come un numero telefonico? Il diritto alla portabil…

I dati personali come un numero telefonico? Il diritto alla portabilità del dato nel nuovo Regolamento UE

I dati personali come un numero di telefono. Standardizzati, leggibili a macchina, in definitiva portabili. È l’obiettivo dichiarato dal nuovo articolo 18 del Regolamento Europea sulla protezione dei dati personali, secondo cui “l'interessato...

04 Apr 2016 Letto:1218

Leggi tutto

Nuovo Regolamento europeo: molto più complesso se si pensa allo scen…

Nuovo Regolamento europeo: molto più complesso se si pensa allo scenario

Il Regolamento europeo per la privacy, non è una semplice nuova legge, per le aziende sarà una innovazione che si dovrà inserire in un contesto estremamente complesso ed in uno scenario giuridico...

04 Apr 2016 Letto:1696

Leggi tutto

Multe & Sentenze

Il Corriere della Privacy S.r.l. P.I. 06199650489 - Testata registrata Tribunale di Firenze N.5871 del 08.05.2012
©Copyright 2011-2017 | | Direttore Responsabile: Nicola Bernardi