(von Andrea Puligheddu) Die neue europäische Gesetzgebung zum Schutz personenbezogener Daten steht vor der Tür, und damit wird das gesamte derzeit in europäischen Ländern geltende Datenschutzsystem innoviert. Obwohl seit einiger Zeit mehr oder weniger maßgebliche Eingriffe in Bezug auf die Auslegung einiger eingeführter Neuerungen vorgenommen wurden (Behandlungsregister, Bewertung der Auswirkungen auf den Schutz personenbezogener Daten, Datenschutzbeauftragter usw.), sind die Gremien heute - größtenteils Teil - völlig unvorbereitet, selbst in Bezug auf grundlegende dokumentarische und organisatorische Verpflichtungen, die bereits seit zwanzig Jahren im Rahmen des Datenschutzgesetzes in Kraft sind. Dies wird durch die Ergebnisse einer Untersuchung des kalifornischen IT-Unternehmens Senzing mit dem Titel "Finding The Missing Link in GDPR Compliance" bestätigt, wonach die Hälfte (43%) der Unternehmen in Italien aus einer Stichprobe von Tausenden von Unternehmen besteht Sie erklärt sich für "alarmiert", während einige andere einen einfachen und beunruhigenden Mangel an Wissen über die Verpflichtungen und Sanktionen nachweisen, die sich aus der Nichteinhaltung der DSGVO ergeben. Was ist unter vielen das Profil, das sich unter diesen Umständen als das kritischste und am meisten unterschätzte herausstellt? Die Antwort ist natürlich einfach: die der Sicherheit der verarbeiteten personenbezogenen Daten.
Es genügt nicht, die chronischen Nachrichten über die Verletzung der öffentlichen und para-öffentlichen kritischen Infrastrukturen (Telefonie, Krankenhäuser, Verkehr, Energie usw.) zu lesen, um ein bestehendes Risiko nachzuweisen. Das nationale Gefüge der Unternehmen birgt die Gefahr, dass der Wert, der durch die Verarbeitung personenbezogener Daten entsteht, wieder aufgehoben wird und einzig und allein auf mangelndes Bewusstsein und fehlende Rechenschaftspflicht zurückzuführen ist. Zu verlieren, ohne Science-Fiction-Apokalypsen zu entwerfen, wird wahrscheinlich am Ende (die Menschen, auf die die persönlichen Daten Bezug nehmen), die mit einem Mangel an Sicherheit konfrontiert sind, der unbewusste Gegenstand der Verdichtung ihrer Rechte und ihrer Freiheiten sein. In diesem Sinne, in Bezug auf die Sicherheitsseite, schlägt die DSGVO (dies ist das Akronym der Datenschutz-Grundverordnung) in der Kunst. 32 eine komplette Veränderung der Mentalität, ein echter Kulturwechsel. Es wird präzisiert, dass: unter Berücksichtigung des Stands der Technik und der Kosten der Durchführung sowie der Art, des Gegenstands, des Kontexts und des Zwecks der Behandlung sowie des Risikos einer unterschiedlichen Wahrscheinlichkeit und Schwere der Rechte und Freiheiten von natürliche Personen müssen der für die Verarbeitung Verantwortliche und der für die Verarbeitung Verantwortliche geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, das unter anderem Folgendes umfasst:
a) Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme und -dienste dauerhaft zu gewährleisten;
c) die Möglichkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Ereignisses unverzüglich wiederherzustellen;
d) ein Verfahren zur Überprüfung, Überprüfung und regelmäßigen Beurteilung der Wirksamkeit technischer und organisatorischer Maßnahmen, um die Sicherheit der Behandlung zu gewährleisten.
Mit der Verordnung wird somit den Sicherheitsansatz als in Echtzeit an den Eigentümer Übertragung von Verantwortung (im Einklang mit dem Grundsatz der Rechenschaftspflicht in der Kunst. 25) und beabsichtigt, eine echte Chance zu geben, den vereinfachenden Ansatz auszulöschen oft von Firmen angenommen (auch von bestimmter strategischer Bedeutung), die sich in Bezug auf die Risikoprävention auf die bloße Standardprüfung oder nur die in der ALL vorhandenen Mindestmaßnahmen beziehen. B des Gesetzesdekrets Nr. 196 / 2003, der vorherige Datenschutzcode.
Mit diesem Gesetz will die DSGVO sicherlich nicht mitteilen, dass die Sicherheitsmaßnahmen, die bisher durch Regulierungs- und Para-Regulierungsgesetze (wie die in den AGID-Richtlinien für öffentliche Verwaltungen sanktionierten) festgelegt wurden, verschwinden müssen: im Gegenteil, der Zweck der Verordnung ist es, eine Proaktivität des Eigentümers zu erzeugen, der sich nach dem Mechanismus, der durch das oben genannte Prinzip der Rechenschaftspflicht vorgegeben ist, als lohnend betrachtet. In diesem Sinne schlägt die Verordnung vier Kriterien vor, die als Beispiel dienen und nur bei Bedarf übernommen werden sollen. Insbesondere wird empfohlen, die Einführung von Pseudonymisierungstechniken in Bezug auf die verarbeiteten personenbezogenen Daten in Betracht zu ziehen (Verfahren, das sicherstellt, dass die Daten in einem Format gespeichert werden, das eine bestimmte Person ohne die Verwendung zusätzlicher Informationen nicht direkt identifiziert). die Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit der Behandlungssysteme und -dienste, die Einführung von Disaster Recovery-Systemen und die Hypothese regelmäßiger Testverfahren, um die Effizienz der getroffenen Sicherheitsmaßnahmen zu überprüfen. Auf diese Weise entwirft die DSGVO einen echten Sicherheitsprozess, der dem Eigentümer einen angemessenen Sicherheitsfokus garantieren kann. Darüber hinaus legt der Standard fest, dass "bei der Beurteilung des angemessenen Sicherheitsniveaus die Risiken, die sich aus der Verarbeitung ergeben und insbesondere insbesondere aus der Zerstörung, dem Verlust, der Änderung, der unbefugten Offenlegung oder dem unbefugten Zugriff resultieren, besonders berücksichtigt werden." versehentlicher oder illegaler Weg zu personenbezogenen Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden. Die Einhaltung eines genehmigten Verhaltenskodex gemäß Artikel 40 oder eines genehmigten Zertifizierungsmechanismus gemäß Artikel 42 kann als Element zum Nachweis der Einhaltung der in Absatz 1 dieses Artikels genannten Anforderungen verwendet werden. “
Daher sind Bewertungen spezifischer Risiken erforderlich, die auf Synergien mit anderen Bestimmungen der DSGVO wie Datenschutzverletzungen, Verhaltenskodizes, rechtswidriger Verarbeitung personenbezogener Daten und Zertifizierungsmechanismen basieren. Zuletzt wird die Breite der zu definierenden Front festgelegt - obwohl dies intuitiv war: "Der Datenverantwortliche und der Datenverarbeiter stellen sicher, dass jeder, der unter seiner Autorität handelt und Zugriff auf personenbezogene Daten hat, diese Daten nicht verarbeitet, wenn dies nicht der Fall ist." vom für die Verarbeitung Verantwortlichen angewiesen, dies zu tun, es sei denn, das Recht der Union oder der Mitgliedstaaten schreibt dies vor ". Das Deus ex machina des gesamten Zyklus ist natürlich der Eigentümer, und in diesem Sinne steht diese Bestimmung in Erwartung neuer Entwicklungen, die durch die aufeinander folgenden Praktiken und Interpretationen diktiert werden, erneut im Einklang mit dem Grundsatz der Rechenschaftspflicht und zielt darauf ab, a zu verhindern Ein Teil der Lieferkette ist in Bezug auf die Sicherheit anfällig.
Viele offene Fragen bleiben offen: Was sind die geeigneten Sicherheitsmaßnahmen? Welche Standards muss jeder Halter wiederholen, um die Einhaltung im Sicherheitsbereich zu gewährleisten? Welche Best Practices?
Einige Tage vor der Anwendbarkeit der Verordnung bleiben diese Fragen offen und stellen sowohl die strategischen Sektoren für die Produktivität des Landes als auch die KMU in Frage.