Per anni, le conversazioni sulla regolamentazione dei dati nel Regno Unito sono state in gran parte incentrate sullo stesso schema. Il GDPR ha ridisegnato il modo in cui le organizzazioni raccolgono e proteggono i dati personali, il Data Protection Act ha rafforzato questi obblighi e i responsabili della sicurezza hanno creato strutture di governance per garantire la conformità nelle loro organizzazioni.
Molti CISO hanno trascorso gli ultimi dieci anni a perfezionare le politiche, a formare i dipendenti e a implementare i controlli progettati per soddisfare questi standard.
Ma la regolamentazione non si ferma mai.
Legge sull’accesso e l’utilizzo dei dati del 2025 (DUAA) rappresenta uno degli sviluppi più significativi nel panorama della governance dei dati del Regno Unito dall’entrata in vigore del GDPR. Pur non sostituendo la normativa esistente, la legge introduce nuove aspettative sulle modalità di accesso, condivisione, gestione e utilizzo dei dati da parte delle organizzazioni in ambienti digitali sempre più complessi.
Per i CISO, questo è importante perché molti dei cambiamenti si collocano direttamente all’intersezione tra cybersecurity, governance e comportamento umano. La legge introduce aspettative in evoluzione per quanto riguarda l’utilizzo dell’intelligenza artificiale, l’accesso ai dati interni, la supervisione normativa e la responsabilità organizzativa. Sono tutte aree in cui i responsabili della sicurezza hanno già una responsabilità significativa.
Mentre le organizzazioni continuano a interpretare il significato pratico della legislazione nel 2026, una cosa sta diventando sempre più chiara. La conformità dipenderà tanto dalle persone, dai processi e dalla cultura quanto dalla tecnologia.
Perché la legge sull’uso e l’accesso dei dati è importante adesso
Sebbene la legge sia stata approvata nel 2025, molte organizzazioni iniziano solo ora a comprenderne appieno le implicazioni pratiche.
La legislazione mira a modernizzare le modalità di accesso e utilizzo dei dati nell’economia del Regno Unito. In parole povere, incoraggia le organizzazioni a fare un uso migliore dei dati, pur mantenendo una forte protezione delle persone e delle informazioni sensibili.
Questo equilibrio crea nuove sfide per i CISO.
Le organizzazioni sono incoraggiate a liberare valore dai dati, a collaborare tra i team e a esplorare tecnologie emergenti come l’intelligenza artificiale. Allo stesso tempo, però, hanno la responsabilità di proteggere le informazioni sensibili, garantire un adeguato controllo degli accessi e dimostrare la conformità quando le autorità di regolamentazione fanno domande.
I leader della sicurezza si trovano quindi a navigare in un ambiente più complesso in cui l’abilitazione e la protezione dei dati devono coesistere.
Per trovare il giusto equilibrio è necessaria una governance chiara, processi interni solidi e una forza lavoro che comprenda le proprie responsabilità nella gestione dei dati organizzativi.
Maggiore attenzione alla governance e alla responsabilità dei dati
Uno dei temi più importanti della legge è una maggiore enfasi sulla governance dei dati strutturati.
La maggior parte delle organizzazioni dispone già di politiche che riguardano la classificazione dei dati, la gestione degli accessi e la conservazione. Tuttavia, il DUAA rafforza l’aspettativa che le organizzazioni abbiano una comprensione chiara e verificabile di come i dati fluiscono all’interno dell’azienda.
Questo include domande come chi ha accesso a specifici set di dati, il motivo per cui è richiesto l’accesso e il modo in cui le informazioni sensibili vengono condivise internamente o esternamente.
Per i CISO, questo cambiamento aumenta l’importanza della visibilità e della supervisione. I team di sicurezza non si concentrano più solo sulle minacce esterne. Devono anche essere certi che gli accessi interni legittimi vengano utilizzati in modo appropriato.
È qui che il comportamento umano diventa fondamentale. Anche i controlli tecnici più solidi non possono prevenire completamente l’esposizione accidentale dei dati o la condivisione inappropriata se i dipendenti non sono consapevoli dei rischi o non hanno chiare le regole.
Una comunicazione chiara, una formazione regolare e processi ben definiti diventano quindi elementi essenziali di una governance dei dati efficace.
Nuove considerazioni sull’utilizzo dell’IA e dei dati
Un altro aspetto in evoluzione della legge è la sua rilevanza per l’IA e il processo decisionale automatizzato.
Le organizzazioni stanno sperimentando sempre più spesso strumenti di IA che si basano su grandi volumi di dati. Dagli strumenti di produttività interna ai servizi rivolti ai clienti, l’IA sta rapidamente entrando a far parte delle operazioni aziendali quotidiane.
Il DUAA rafforza la necessità per le organizzazioni di capire come vengono utilizzati i dati all’interno di questi sistemi e se l’uso di tali dati è in linea con i requisiti di governance e normativi.
Per i CISO, questo introduce nuove sfide di supervisione. I responsabili della sicurezza hanno bisogno di visibilità sul modo in cui le tecnologie emergenti interagiscono con i dati dell’organizzazione, soprattutto quando questi strumenti vengono adottati rapidamente o senza una governance centrale.
L’intelligenza artificiale può offrire enormi vantaggi, ma solleva anche importanti questioni di trasparenza, permessi di accesso e uso responsabile dei dati. Assicurarsi che i dipendenti comprendano i rischi e i limiti dell’utilizzo dei dati diventa una parte importante della gestione del rischio.
Aumento del controllo normativo e dell’applicazione della legge
Come per molti altri cambiamenti normativi, il vero impatto della legge si vedrà probabilmente attraverso l’applicazione e la supervisione.
Le autorità di regolamentazione dovranno porre sempre più l’accento sul fatto che le organizzazioni siano in grado di dimostrare di avere una governance, dei controlli e dei processi adeguati. La documentazione, i registri di formazione e le politiche interne chiare fanno parte di questa storia.
Per i CISO, questo rafforza una sfida già nota. La conformità non consiste solo nell’avere gli strumenti o le politiche giuste sulla carta. È necessario dimostrare che i dipendenti comprendano tali politiche e le applichino in modo coerente nel loro lavoro quotidiano.
I programmi di sensibilizzazione alla sicurezza svolgono un ruolo importante nell’aiutare le organizzazioni a dimostrare che la governance dei dati è incorporata nella cultura organizzativa piuttosto che esistere solo nella documentazione.
L’elemento umano della conformità dei dati
Molti dei requisiti associati alla legge sull’uso e l’accesso ai dati si riferiscono in ultima analisi alle persone.
I dipendenti accedono ai sistemi, condividono informazioni, collaborano tra i vari reparti e adottano nuove tecnologie. Queste azioni quotidiane possono rafforzare o indebolire la capacità di un’organizzazione di gestire i dati in modo responsabile.
Ecco perché i CISO si concentrano sempre più sulla creazione di una cultura in cui i dipendenti comprendano il valore dei dati e i rischi associati a una loro cattiva gestione.
Quando i dipendenti sanno come identificare le informazioni sensibili, capiscono i confini dell’accesso ai dati e si sentono sicuri nel segnalare potenziali problemi, le organizzazioni si trovano in una posizione migliore per soddisfare le aspettative normative in continua evoluzione.
La creazione di questa cultura richiede una comunicazione coerente, una formazione coinvolgente e una guida pratica che renda la protezione dei dati parte del processo decisionale quotidiano.
Come può aiutarti MetaCompliance
Per navigare in una legislazione in evoluzione come il Data (Use and Access) Act 2025 non basta aggiornare le politiche. Le organizzazioni hanno bisogno di metodi pratici per educare i dipendenti, rafforzare le aspettative e dimostrare la conformità.
MetaCompliance supporta le organizzazioni aiutandole a costruire programmi di sensibilizzazione strutturati e misurabili che incorporano le responsabilità in materia di protezione dei dati nel comportamento quotidiano.
La nostra biblioteca formativa include corsi dedicati che coprono le aree chiave che le organizzazioni devono comprendere in base alla legge, da un’introduzione alla legislazione stessa fino al suo impatto sul GDPR, sulle comunicazioni di marketing, sull’impegno normativo e sulla gestione dei reclami. I contenuti sono pensati per dare ai team dirigenziali e ai dipendenti una comprensione chiara e pratica di come i cambiamenti influiscono sulle loro responsabilità quotidiane.
Questi moduli aiutano i team dirigenziali e i dipendenti a capire come la legislazione influisce sulle loro responsabilità, dalla governance e dall’impegno normativo ai processi pratici di gestione dei dati.
Oltre all’apprendimento, MetaCompliance fornisce gli strumenti di cui le organizzazioni hanno bisogno per gestire le politichemonitorare la comprensione da parte dei dipendenti e mantenere un registro chiaro che dimostri la conformità.
Con la continua evoluzione della normativa sui dati, le organizzazioni che avranno successo saranno quelle che combineranno una solida governance, una tecnologia efficace e una forza lavoro in grado di comprendere il proprio ruolo nella protezione dei dati.
Per i CISO, la creazione di questa cultura sta diventando rapidamente una delle parti più importanti della gestione del rischio informatico e normativo.
Per saperne di più, mettiti in contatto con il nostro team oggi stesso.