(por Andrea Puligheddu) La nueva legislación europea relativa a la protección de datos personales está sobre nosotros, y con ella se está innovando todo el sistema de privacidad actualmente vigente en los países europeos. Aunque desde hace algún tiempo se vienen realizando intervenciones más o menos autorizadas en cuanto a la interpretación que se debe dar a algunas innovaciones introducidas (Registro de tratamientos, Evaluación del impacto en la protección de datos personales, Delegado de Protección de Datos, etc.) parte - completamente desprevenido incluso en obligaciones documentales y organizativas básicas ya vigentes - bajo el Código de Privacidad - desde hace veinte años. Esto se ve confirmado por los resultados de una investigación realizada por Senzing, una empresa de TI de California, titulada "Encontrar el eslabón perdido en el cumplimiento de GDPR", según la cual la mitad (43%) de las empresas en Italia de una muestra de miles de empresas se declara "alarmada", mientras que varios otros demuestran un simple e inquietante desconocimiento sobre las obligaciones y sanciones derivadas del incumplimiento del RGPD. ¿Cuál es, entre muchos, el perfil que emerge como el más crítico y subestimado en estas circunstancias? Por supuesto, la respuesta es sencilla: la de la seguridad de los datos personales tratados.
No es suficiente leer las noticias crónicas de la brecha con el público y las infraestructuras para-públicas críticas (telefonía, hospitales, transporte, energía, etc.) para evidenciar un riesgo existente. El tejido empresarial nacional corre el riesgo de dispersar, una vez más, el valor generado por los datos personales procesados única y exclusivamente por falta de conocimiento y falta de responsabilidad. Los perdedores, sin llamar la ciencia apocalipsis tecnológico, se arriesgan a ser en última instancia en cuestión (personas a las que se refieren los datos personales) que se enfrentan a la falta de seguridad podría ser objeto inconsciente de la compresión de sus derechos y libertades. En este sentido, con referencia al lado de la seguridad, el GDPR (este es el acrónimo del Reglamento General de Protección de Datos) propone en el art. 32 un cambio completo de mentalidad, un verdadero cambio cultural. Se especifica en hecho de que: Teniendo en cuenta el estado de la técnica y los costes de aplicación, así como la naturaleza, del objeto, el contexto y el propósito del tratamiento, así como el riesgo de variación de la probabilidad y la severidad de los derechos y las libertades de las personas físicas, el responsable del tratamiento y el responsable del tratamiento adoptarán las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, que incluirá, entre otras cosas, en su caso:
a) seudonimización y encriptación de datos personales;
b) la capacidad de asegurar de forma permanente la confidencialidad, integridad, disponibilidad y resistencia de los sistemas y servicios de procesamiento;
c) la capacidad de restablecer rápidamente la disponibilidad y el acceso de los datos personales en caso de un incidente físico o técnico;
d) un procedimiento para probar, verificar y evaluar periódicamente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Así pues, el Reglamento establece el enfoque de la seguridad como en tiempo real para el propietario Empoderamiento (en consonancia con el principio de la rendición de cuentas en el arte. 25) y tiene la intención de darle una oportunidad real para acabar con el enfoque simplista menudo adoptada por las empresas (también de cierta importancia estratégica) y para la prevención de riesgos se basan en meras normas de verificación o medidas sólo mínimas presentes en el Todo. B del Decreto Legislativo n. 196 / 2003, el código de privacidad anterior.
Con esta ley, la GDPR ciertamente no pretende comunicar que las medidas de seguridad identificadas hasta ahora por actos regulatorios y parareguladores (como las sancionadas por las Directrices AGID para Administraciones Públicas) deban desaparecer: al contrario, la finalidad del Reglamento. es generar una proactividad del Titular, quien se considera gratificante según el mecanismo que dicta el principio de responsabilidad antes mencionado. En este sentido, el Reglamento propone cuatro criterios para ser tomados como ejemplo y adoptados solo si es necesario. En particular, se sugiere considerar la adopción de técnicas de seudonimización con respecto a los datos personales procesados (proceso que asegura que los datos se almacenan en un formato que no identifica directamente a un individuo específico sin el uso de información adicional), la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de tratamiento, adoptar sistemas de recuperación ante desastres e hipotetizar procedimientos de prueba periódica para verificar la eficiencia de las medidas de seguridad adoptadas. De esta forma, el GDPR diseña un proceso de seguridad real, capaz de garantizar un enfoque de seguridad razonable para el propietario. Además, la norma pasa a precisar que "en la evaluación del nivel adecuado de seguridad se tienen especialmente en cuenta los riesgos que presenta el tratamiento que se derivan en particular de la destrucción, pérdida, modificación, divulgación o acceso no autorizado, en particular de manera accidental o ilegal, a los datos personales transmitidos, almacenados o procesados de otra manera. La adhesión a un código de conducta aprobado a que se refiere el artículo 40 o un mecanismo de certificación aprobado a que se refiere el artículo 42 podrá utilizarse como elemento para demostrar el cumplimiento de los requisitos a que se refiere el párrafo 1 del presente artículo ".
Por tanto, son necesarias evaluaciones sobre riesgos específicos, parametrizados en sinergias con otras disposiciones cubiertas por el RGPD como la violación de datos, códigos de conducta, tratamiento ilícito de datos personales y mecanismos de certificación. Por último, se especifica el ancho del frente a definir, aunque fue intuitivo: "El controlador de datos y el procesador de datos se aseguran de que cualquier persona que actúe bajo su autoridad y tenga acceso a los datos personales no procese dichos datos si no es así lo indique el responsable del tratamiento, a menos que así lo exija la legislación de la Unión o de los Estados miembros ". El deus ex machina de todo el ciclo es naturalmente titular y en este sentido, a la espera de nuevos desarrollos dictados por las prácticas e interpretaciones que se sucederán, esta disposición vuelve a ser coherente con el principio de rendición de cuentas y tiene como objetivo evitar una parte de la cadena de suministro es vulnerable en términos de seguridad.
Quedan muchas preguntas abiertas: ¿cuáles son las medidas de seguridad adecuadas? ¿Qué estándares debe rehacer cada titular para garantizar el cumplimiento en el sector de la seguridad? ¿Qué mejores prácticas?
Unos días antes de la aplicabilidad del Reglamento, estas siguen siendo preguntas abiertas que cuestionan tanto a los sectores estratégicos para la productividad del país como a las PYME.