Esiste una profonda differenza tra l’affrontare la compliance normativa come un adempimento burocratico e considerarla, invece, una condizione abilitante della propria missione.
Il primo caso porta a sistemi che reggono un audit.
Il secondo porta a sistemi che funzionano davvero.
Insieme all’ISS e alla Sapienza Università di Roma, abbiamo lavorato per tradurre i principi di privacy e security by design in architetture concrete per la sanità pubblica, collaborando a diversi progetti di rilievo nazionale. In questo percorso, il nostro apporto si è concentrato sulla capacità di agire come ponte tra l’astrazione legale e la realtà tecnologica. Non ci siamo limitati a una lettura esegetica delle regole; abbiamo sviluppato un know-how maturato “sul campo”, capace di interpretare le esigenze specifiche del settore sanitario.
Il nostro approccio nasce dalla convinzione che non basti conoscere i regolamenti: occorre restare costantemente immersi nell’evoluzione del settore. Questo significa andare oltre il testo legislativo per abbracciare le soft law, le linee guida e gli standard internazionali che permettono di trasformare i principi giuridici in protocolli operativi efficaci. È in questo spazio, dove la competenza tecnica incontra la sensibilità istituzionale, che la gestione del rischio smette di essere un obbligo e diventa una responsabilità organizzativa consapevole.
Sicurezza dei sistemi, protezione dei dati personali e cybersicurezza sono tre ambiti che nel dibattito quotidiano vengono spesso sovrapposti o, peggio, considerati un unico problema risolvibile con un set standard di competenze.
In realtà, pur essendo interconnessi, presentano:
• Fondamenti normativi distinti;
• Strumenti operativi specifici;
• Figure professionali di riferimento diverse.
Ignorare queste differenze è rischioso: una debolezza in uno di questi pilastri si propaga inevitabilmente agli altri, compromettendo l’intera infrastruttura.
Quello che emerge, più che una lista di soluzioni, è un modo di approcciare i problemi: capire quando le condizioni per fare qualcosa esistono già, quando invece vanno costruite, quanto costa aspettare che sia l’urgenza a forzare la mano.
Il quadro regolatorio europeo continuerà a muoversi (il Cyber Resilience Act, il Data Act, l’AI Act seguono tutti la stessa direzione). Per le pubbliche amministrazioni che trattano particolari categorie di dati ex art. 9 GDPR, questa evoluzione rappresenta una straordinaria opportunità di crescita. È il momento ideale per consolidare una capacità organizzativa strutturata, capace di trasformare la resilienza in un valore strategico di tutela della salute.
Ne abbiamo scritto su Agenda Digitale