Con il regolamento europeo si esce dalla definizione di misure minime di sicurezza, infatti il GDPR sancisce l’obbligo, per i soggetti coinvolti nelle operazioni di trattamento di dati personali, di adottare le misure di sicurezza: adatte e preventive, al fine di minimizzare i rischi di distruzione, perdita, accesso non autorizzato, trattamento non consentito di dati personali. La custodia e il controllo dei dati personali va adeguato alla natura dei dati e alle specifiche caratteristiche del trattamento, nonché alle conoscenze acquisite in base al progresso tecnologico.
In attuazione dell'art. 35/9 e in conformità all'orientamento degli standard ISO al contesto e agli stakeholder, si definiscono i requisiti di sicurezza in base alle aspettative dei diversi soggetti interessati, agli obiettivi aziendali e tenendo conto di tutte le richieste legali, contrattuali e dei regolatori di tutti i paesi di destinazione dei prodotti e pertinenti al tipo di attività. Oltre a questi requisiti in base a quanto previsto dal regolamento e dalla ISO/IEC 27001, si tengono conto del contesto esterno (p.e. situazione attuale delle minacce alla sicurezza, eventi ed incidenti di sicurezza avvenuti, stato dell'arte) e del contesto interno (p.e. il processo operativo sostenuto, la consapevolezza e le competenze informatiche degli utenti, l'infrastruttura disponibile).
Alla luce dei fattori di rischio e delle aree individuate vengono descritte le misure atte a garantire:
· la protezione delle aree e dei locali ove si svolge il trattamento dei dati personali;
· la corretta archiviazione e custodia di atti, documenti e supporti contenenti dati personali;
· la sicurezza logica, sia nell'ambito degli strumenti elettronici che supporti cartacei;