L’avvocato Maria Livia Rizzo svolge attività di consulenza legale in materia di protezione dei dati personali e cybersecurity per strutture sanitarie pubbliche e private, enti di ricerca, società farmaceutiche e di medical device.
Si occupa della conformità di organizzazioni e progetti innovativi di health tech alle normative in materia di data protection e sicurezza delle infrastrutture digitali, e fornisce assistenza nell’implementazione dei relativi modelli di governance.
È referente del Dipartimento Privacy dello Studio Legale Stefanelli&Stefanelli.
Laureata in Giurisprudenza presso l’Università di Bologna con il massimo dei voti, ha conseguito il Dottorato di ricerca in Diritto e Nuove Tecnologie presso il CIRSFID (Università di Bologna) dove ha svolto attività di ricerca come Assegnista e ricoperto il ruolo di Tutor didattico del Master in Trattamento dei dati personali e Privacy Officer.
Ha conseguito presso l’Università degli Studi di Milano Statale i Corsi di perfezionamento in “Data Protection and Data Governance: la Cybersecurity”, “Big data, Artificial Intelligence e Piattaforme”, “Coding for Lawyers e Legal Tech: Programmazione per giuristi, Smart Contract e Legal Design” e “Criminalità informatica e Investigazioni digitali: il fattore umano”.
È stata Cultrice della materia in Informatica Giuridica e in Medicina Legale presso la Scuola di Giurisprudenza dell’Università di Bologna, titolare del Modulo didattico “Regulatory and economic aspects” (SSD IUS/10) del Master in Innovation in eXtended Reality (MIXR) dell’Università di Bologna A.A. 2019/2020 e Peer reviewer del Journal of Medical Ethics – British Medical Journal.
Ha svolto docenze in Corsi di Dottorato di ricerca, Master universitari e Corsi di Laurea in varie Università italiane, ha partecipato a roundtable presso il Joint Research Centre della Commissione Europea ed è stata relatrice in conferenze e convegni dedicati a temi di diritto, salute e tecnologia.
È autrice di pubblicazioni su riviste scientifiche e volumi collettanei, oltre che di contributi di carattere divulgativo.
È Socio Fondatore e Vice Presidente dell’Associazione italiana di Stampa 3D in Medicina - IDBN (Italian Digital Biomanufacturing Network) e componente del Comitato scientifico della I e II edizione del relativo Congresso Nazionale.
Con il D.Lgs. 18/2024, che recepisce la Direttiva NIS2, strutture sanitarie e aziende del settore life sciences sono entrate a pieno titolo nel perimetro dei soggetti essenziali o importanti in materia di cybersicurezza. Tra gli obblighi più rilevanti figura la predisposizione di una procedura strutturata per la gestione degli incidenti informatici. Vediamo come redigerla correttamente.
La domanda che riceviamo più spesso non è più "Cos'è la NIS2?", ma un ben più urgente "Da dove inizio?". Per un'azienda che rientra nel perimetro della Direttiva, l'adeguamento è – come la compliance alla normativa sulla data protection – un processo di analisi tecnica e legale e di redazione documentale che richiede mesi. Il nuovo quadro normativo introduce obblighi stringenti di cybersecurity, trasformando la sicurezza dell'informazione in un imperativo gestionale e legale. Per strutture sanitarie, aziende del settore medicale e enti di ricerca, la compliance non è più opzionale né procrastinabile. Di seguito, si riporta la roadmap tecnico-giuridica necessaria per avviare il processo di conformità.