Privacy e cybersecurity sono due facce della stessa medaglia, che gravitano attorno ad un obiettivo comune: la sicurezza.
Infatti si occupano, rispettivamente, della protezione dei dati personali e della sicurezza informatica.
Se è vero che la cybersecurity non si esaurisce nella sicurezza dei dati personali e che la protezione di questi ultimi non è circoscritta a quelli in formato digitale, è altrettanto vero che attraverso sistemi di cybersecurity si garantisce la protezione di tutti quei dati personali che sono conservati in formati digitali.
Ed ecco spiegato perché, in occasione della giornata della protezione dei dati 2020 (28 gennaio), l’Agenzia dell’Unione europea per la cybersecurity (ENISA)* ha reso disponibile una piattaforma on-line per assistere le organizzazioni nella valutazione del rischio di sicurezza relativo al trattamento dei dati personali di cui all’art. 32 del GDPR.
Tale piattaforma, sviluppata con l’aiuto di un gruppo di lavoro (di cui fa parte anche il Garante Privacy Italiano), rappresenta uno strumento chiave per:
titolari e responsabili del trattamento, nella determinazione dell’approccio da utilizzare per lo sviluppo di policy e procedure;
auditor e Autorità Garanti, nella valutazione dell’adeguatezza delle misure di sicurezza adottate dal titolare del trattamento.
All’esito della procedura, viene evidenziato il grado di adeguatezza al contesto delle misure di sicurezza adottate oppure viene indicata la necessità di implementazione delle stesse.
Questa piattaforma, dunque, rappresenta un utile strumento soprattutto per le PMI, che possono così beneficiare di strumenti a supporto della propria compliance al GDPR.
*Dal 2004, l’ENISA lavora a stretto contatto con gli Stati membri per garantire la sicurezza informatica all’interno dell’UE e, contribuendo al corretto funzionamento del mercato unico digitale, fornisce consulenza agli Stati e ai soggetti interessati, supporta lo sviluppo di soluzioni ai problemi legati alle crisi di cybersecurity transnazionali ed elabora schemi di certificazione della sicurezza informatica.
D. Lgs. 231/2001
Il D.Lgs.231/01 ha introdotto nel nostro ordinamento la responsabilità penale delle persone giuridiche private. Il decreto legislativo n. 231 del 2001 introduce il concetto di “responsabilità amministrativa” delle persone giuridiche per i reati commessi a loro vantaggio da soggetti che rivestono una posizione manageriale, ovvero da quanti sono sottoposti al controllo di questi ultimi.