Dall'allegato B all'approccio basato sul rischio: un cambio di paradigma

Ricordiamo tutti l'era pre-GDPR, dominata dal nostro Testo Unico e dal suo famoso Allegato B. Un mondo rassicurante, fatto di checklist: antivirus aggiornato, password di otto caratteri, firewall. Spuntavi le caselle e ti sentivi al sicuro, conforme. Il GDPR, ciononostante, ha spazzato via questa logica statica, introducendo due concetti cardine che ogni professionista deve padroneggiare: accountability e approccio basato sul rischio.

Questo significa che non esiste più un elenco universale di “misure minime” sufficienti. La sicurezza non è più un punto d'arrivo, ma un processo dinamico e continuo. Affidarsi oggi a un concetto obsoleto di “misure minime” non è solo inefficace, è pericoloso. Espone l'organizzazione a rischi concreti e il professionista a responsabilità dirette.

Lo "stato dell'arte" non è una fotografia, è un film

L'articolo 32 del GDPR ci chiede di tenere conto dello “stato dell'arte”. Questa non è una nozione astratta, ma un imperativo pratico. Lo stato dell'arte di ieri – pensiamo a certe tecniche di difesa perimetrale – è già superato oggi di fronte a minacce come il ransomware a doppia estorsione o il phishing basato su IA.

Conseguentemente, una misura considerata “adeguata” un anno fa potrebbe essere del tutto insufficiente ora. L'approccio basato sul rischio impone una valutazione continua: qual è il rischio reale per i dati che trattiamo? E quali sono le tecnologie e i processi *attualmente* più efficaci per mitigarlo, tenendo conto dei costi di attuazione?

Cosa significa, in pratica, superare le misure minime?

Andare oltre la logica delle misure minime non significa necessariamente investire budget faraonici, ma adottare un approccio strategico e documentato. A tal riguardo, come professionisti della privacy, il nostro focus si sposta dalla mera compliance alla costruzione di una reale resilienza organizzativa.

Operativamente, significa:

• adottare un framework di sicurezza riconosciuto (come ISO 27001 o il NIST Cybersecurity Framework) come guida per una valutazione completa e non come semplice checklist;
• investire in formazione continua e simulazioni di attacco (phishing, social engineering), perché l'anello debole è quasi sempre quello umano;
• documentare ogni scelta: perché abbiamo scelto una soluzione di crittografia piuttosto che un'altra? Perché abbiamo ritenuto un certo rischio accettabile? La documentazione è il cuore pulsante dell'accountability.

Il nostro ruolo come consulenti e DPO, che in AIP rappresentiamo e formiamo, si trasforma. Non siamo più controllori di una lista, ma strateghi del rischio digitale. Il nostro compito è guidare le organizzazioni in questo percorso evolutivo, traducendo i principi del GDPR in azioni concrete e difendibili, costruendo un ponte di fiducia tra tecnologia, processi e persone.