Il "nuovo" regolamento della privacy, denominato GDPR dall'acronimo di General Data Protection Regulation, aumenta le responsabilità dei titolari in caso di furto o perdita dei dati introducendo sanzioni fino a 4 milioni di fatturato e anche oltre per le aziende con fatturati molto alti.

In realtà la normativa non è particolarmente dettagliata su quali regole debbano essere seguite per ridurre il rischio informatico e parla sempre e solo di adeguatezza delle soluzioni implementate sia dal lato organizzativo che sistemistico.

L'adeguatezza, in questo caso, è riferita alla quantità e alla tipologia dei dati trattati, nonché, in qualche modo, alla dimensione dell'azienda che tratta i dati.

Ad esempio, quindi, non viene esplicitamente richiesto di avere un firewall hardware ultra sofisticato, ma si può intuire che sarebbe adeguato averlo se vengono trattati dati sanitari.

Allo stesso modo non è richiesto che i server e i sistemi informatici siano sempre aggiornati, ma si può ritenere che sarebbe opportuno che lo fossero e che quindi averli non aggiornati sia un comportamento non adeguato e quindi sanzionabile.

Per avere quindi un'idea di quali sono le misure consigliate, è meglio riferirsi alla vecchia normativa privacy italiana (che era già particolarmente evoluta per il panorama europeo pre-GDPR) ed in particolare al Decreto Legislativo 30 giugno 2003, n. 196 art. 34, oppure alle misure minime di sicurezza ICT per le pubbliche amministrazioni .

Naturalmente esiste sempre la terza opzione, ovvero rivolgersi ad un consulente esperto.