(Andrea Puligheddu) Novo evropsko zakonodavstvo koje se odnosi na zaštitu ličnih podataka je pred nama, a s njim se inovira i čitav sistem privatnosti koji je trenutno na snazi u evropskim zemljama. Iako se već neko vrijeme odvijaju manje ili više autoritativne intervencije u vezi sa tumačenjem nekih uvedenih inovacija (Registar tretmana, Procjena uticaja na zaštitu ličnih podataka, Službenik za zaštitu podataka itd.) dio - potpuno nepripremljen ni za osnovne dokumentarne i organizacijske obaveze koje su na snazi - prema Zakonu o privatnosti - već dvadeset godina. To potvrđuju rezultati istraživanja Senzinga, kalifornijske IT kompanije, pod nazivom "Pronalaženje nestale karike u skladu sa GDPR-om", prema kojem polovina (43%) kompanija u Italiji od uzorka hiljada kompanija ona se proglašava "uznemirenom", dok nekoliko drugih pokazuje jednostavan i uznemirujući nedostatak znanja o obvezama i kaznama koje proizlaze iz nepoštivanja GDPR-a. Koji je, među mnogima, profil koji se u ovim okolnostima pojavljuje kao najkritičniji i najcjenjeniji? Odgovor je, naravno, jednostavan: zbog sigurnosti obrađenih ličnih podataka.
Nije dovoljno pročitati hronične vesti o kršenju javnosti i kritičnih infrastruktura (telefonija, bolnica, transporta, energije, itd.) Kako bi se dokazali postojeći rizici. Nacionalna poslovna struktura rizikuje raspoređivanje, još jednom, vrijednost koju generišu lični podaci obrađeni samo i isključivo zbog nedostatka svijesti i nedostatka odgovornosti. Izgubiti, bez izrade naučno-fantastičnih apokalipsa, verovatno će se na kraju baviti (ljudi na koje se odnose lični podaci) koji su se suočili sa nedostatkom sigurnosti mogli bi biti nesvesni predmet kompresije njihovih prava i njihovih sloboda. U tom smislu, u odnosu na bezbednosnu stranu, GDPR (ovo je akronim opštih propisa o zaštiti podataka) predlaže u čl. 32 potpuna promena mentaliteta, pravi kulturni prekidač. Navedeno je da: Uzimajući u obzir stanje tehnike i troškove implementacije, kao i prirodu, predmet, kontekst i svrhu tretmana, kao i rizik od promjene vjerovatnoće i ozbiljnosti za prava i slobode fizičkim licima, kontroloru i kontroloru će se uspostaviti odgovarajuće tehničke i organizacione mjere kako bi se obezbedio nivo sigurnosti koji odgovara riziku koji uključuje, inter alia, gdje je to prikladno:
a) pseudonizaciju i šifrovanje ličnih podataka;
b) sposobnost trajnog osiguranja poverljivosti, integriteta, dostupnosti i otpornosti sistema i usluga obrade;
c) mogućnost brzog vraćanja raspoloživosti i pristupa ličnih podataka u slučaju fizičkog ili tehničkog incidenta;
d) proceduru za testiranje, provjeru i redovno ocjenjivanje efikasnosti tehničkih i organizacionih mjera kako bi se garantovala sigurnost liječenja.
Uredbom se tada identificira pristup bezbednosti kao pravi trenutak vlasništva nad vlasnikom (u skladu sa principom odgovornosti prema članu 25) i namjerava dati pravu spužvu pojednostavljenom metodu koju su više puta usvojile kompanije (takođe od određenog strateškog značaja) da se u pogledu prevencije rizika odnose samo na standardnu provjeru ili samo na minimalne mere koje su prisutne u ALL-u. B zakonske uredbe br. 196 / 2003, prethodni Kod privatnosti.
Ovim aktom GDPR sigurno ne namjerava priopćiti da sigurnosne mjere koje su do sada utvrđene regulatornim i para-regulatornim aktima (poput onih sankcioniranih AGID smjernicama za javnu upravu) moraju nestati: upravo suprotno, svrha Uredbe je generiranje proaktivnosti vlasnika, koji sebe smatra nagrađivanjem u skladu s mehanizmom diktiranim gore spomenutim principom odgovornosti. U tom smislu, Uredba predlaže četiri kriterija koja se uzimaju kao primjer i usvajaju samo ako je potrebno. Posebno se predlaže da se razmotri usvajanje tehnika pseudonimizacije s obzirom na obrađene lične podatke (postupak koji osigurava da se podaci pohranjuju u formatu koji ne identificira određenog pojedinca bez upotrebe dodatnih informacija), povjerljivost, integritet, dostupnost i otpornost sistema i usluga tretmana, usvojiti sisteme za oporavak od katastrofe i pretpostaviti periodične ispitne postupke kako bi se provjerila efikasnost usvojenih mjera sigurnosti. Na ovaj način, GDPR osmišljava stvarni sigurnosni proces, koji može garantovati razuman fokus sigurnosti za vlasnika. Štaviše, standard dalje precizira da se „pri procjeni adekvatnog nivoa sigurnosti posebno uzimaju u obzir rizici koje predstavlja obrada koji posebno proizlaze iz uništavanja, gubitka, modifikacije, neovlaštenog otkrivanja ili pristupa, u slučajan ili nezakonit način, na lične podatke koji se prenose, čuvaju ili obrađuju na drugi način. Pridržavanje odobrenog kodeksa ponašanja iz člana 40. ili odobrenog mehanizma za ovjeru iz člana 42. može se koristiti kao element za dokazivanje usklađenosti sa zahtjevima iz stava 1. ovog člana ".
Stoga su neophodne procjene specifičnih rizika, parametrirane na sinergiji s drugim odredbama obuhvaćenim GDPR-om, poput kršenja podataka, kodeksa ponašanja, nezakonite obrade ličnih podataka i mehanizama certificiranja. I na kraju, navedena je širina prednjeg dijela koji treba definirati - iako je bio intuitivan: "Upravljač podataka i obrađivač podataka osiguravaju da svi koji djeluju pod njihovom nadležnošću i imaju pristup osobnim podacima ne obrađuju takve podatke ako nisu upućen na to od strane kontrolora podataka, osim ako to zahtijeva zakon Unije ili država članica ". Deus ex machina cijelog ciklusa je prirodno vlasnik i u tom smislu, do novog razvoja koji diktiraju prakse i tumačenja koja će se slijediti, ova je odredba ponovo u skladu s načelom odgovornosti i ima za cilj spriječiti dio lanca opskrbe ranjiv je u pogledu sigurnosti.
Ostala su mnoga otvorena pitanja: koje su odgovarajuće mere bezbednosti? Koji standardi se svakom nosiocu treba ponoviti kako bi se osigurala usklađenost u sektoru sigurnosti? Koje najbolje prakse?
Nekoliko dana pre primene Uredbe, ovi ostaju otvorena pitanja koja dovode u pitanje i strateške sektore za produktivnost zemlje i MSP.