Le disposizioni del GPDR definiscono le modalità con le quali Enti pubblici, società private e qualsiasi altro soggetto deve osservare per poter trattare i dati dei cittadini europei all'interno della Comunità Europea.

​

Il Regolamento scritto tra il 2010 e il 2015 viene pubblicato il 23 aprile 2016 ma poi dopo i 2 anni tipici di interim e coesistenza con le normative nazionali - senza poter esplicare la sua forza innovatrice -

entra in piena efficacia il 25 maggio 2018

e, da quel giorno, cambia radicalmente il quadro sanzionatorio che può essere erogato dalle Autorità Garanti Privacy dei 28 paesi (27 paesi membri della EU + 1 UK post Brexit). Oggi le sanzioni possono arrivare - seppur sempre parametrate al fatturato e al tipo di illecito e di tipologia di dati personali e/o particolari - a 10 o 20 milioni di euro o nei casi più gravi al 2% e fino al 4% del fatturato globale annuo di gruppo.

​

Il principio di Accountability che ne è alla base prevede che ogni Ente, ogni Azienda deve fare una valutazione dei propri trattamenti e dei rischi che incombono sui dati delle persone fisiche delle quali i dati sono trattati e definire delle misure di sicurezza adeguate al rischio (art. 32 GDPR) ed idonee ad evitare il danno a terzi (art. 2050 del c.c. italiano).

​

Provare attraverso una serie di documenti che si è fatta l'analisi dei rischi in relazione ai trattamenti, che si sono nominati i soggetti incaricati di trattare i dati, i soggetti esterni ex art. 28 del GDPR, descritte le infrastrutture di rete, hardware e software, le politiche di accesso e di permessi, le politiche di backup, le misure difensive (firewall, antivirus, archivi ad accesso ristretto, armadi chiusi a chiave e/o uffici ad accesso riservato, sistemi di infrazione, antirapina, allarmi, sistemi di videosorveglianza perimetrale per finalità antirapina, antifurto, etc.), misure relative alla formazione del personale con corsi base tenuti da esperti del ramo Data Protection e sicurezza informatica, ai sensi dell'art. 32 paragrafo 4 del GDPR che impone come obbligatoria la formazione dei dipendenti di ogni azienda ed ente pubblico e privato, essendo il fattore umano e la bassa consapevolezza dei rischi del digitale, l'anello statisticamente più debole della catena che tiene al 98/99% il livello di business continuity delle realtà pubbliche e private, con un aumento della pericolosità degli attacchi informatici e alla numerosità dei Data Breach, sempre più preoccupanti.