(Andrea Pulighedduによる)個人データの保護に関する新しいヨーロッパの法律が私たちにあり、それによってヨーロッパ諸国で現在施行されているプライバシーシステム全体が革新されています。 導入されたいくつかの革新(治療の登録、個人データの保護への影響の評価、データ保護責任者など)に応じた解釈に関して、多かれ少なかれ権威ある介入がしばらくの間行われてきました。一部-プライバシーコードの下で-すでに施行されている基本的な文書および組織の義務についても、43年間完全に準備ができていません。 これは、カリフォルニアのIT企業であるSenzingが実施した「GDPRコンプライアンスのミッシングリンクの発見」というタイトルの調査結果によって確認されています。これによると、イタリアの企業の半数(XNUMX%)が数千の企業のサンプルから彼女は自分自身を「警戒している」と宣言しますが、他の何人かは、GDPRへの違反に起因する義務と罰則についての単純で不穏な知識の欠如を示しています。 多くの中で、これらの状況で最も重要で過小評価されているプロファイルは何ですか? もちろん、答えは簡単です。処理される個人データのセキュリティです。
既存のリスクの証拠を得るために、違法行為に関する慢性的なニュースを公衆および公共の重要なインフラストラクチャ(電話、病院、輸送、エネルギーなど)に読み込むだけでは不十分です。 国家のビジネス・ファブリックは、個人データが処理した価値のみを処理し、意識の欠如と説明責任の欠如のためにのみ、リスクを分散します。 科学小説の黙示録を設計しないで失うことは、セキュリティの欠如に直面した最終的な懸念(個人データが参照する人々)が、権利と自由の圧縮の無意識な目的となる可能性が高い。 この意味で、セキュリティ面を参照すると、GDPR(これは一般データ保護規制の頭字語である)は、技術分野で提案されている。 32は、真の文化的スイッチであるメンタリティの完全な変化です。 それは以下のように指定されている:治療の性質、目的、背景、目的、ならびに権利と自由のために変化する可能性と深刻さのリスクを考慮して、最先端の技術と実施コストを考慮するコントローラおよびコントローラは、リスクに適切なレベルのセキュリティを確保するための適切な技術的および組織的措置を講じなければならない。
a)個人データの匿名化および暗号化。
b)処理システム及びサービスの機密性、完全性、可用性及び回復力を恒久的に確保する能力。
c)物理的または技術的事件が発生した場合に、迅速に個人データの可用性とアクセスを回復する能力。
d)治療の安全を保証するために、技術的および組織的措置の有効性をテストし、検証し、定期的に評価するための手順。
規制は、このように(芸術。25における説明責任の原則と一致)所有者のエンパワーメントにリアルタイムなどのセキュリティアプローチを確立し、それを多くの場合、企業によって採用された単純なアプローチを一掃するために、実際のショットをしようとしますリスク予防に関しては、単なる標準的な検査またはALLに存在する最小限の尺度のみを参照する(特定の戦略的重要性もある)。 立法令のB。 196 / 2003、以前のプライバシーコード。
この法律により、GDPRは確かに、規制および準規範的行為(AGID行政ガイドラインによって認可されたものなど)によってこれまでに特定されたセキュリティ対策が消滅しなければならないことを伝えることを意図していません。前述の説明責任の原則によって指示されたメカニズムに従って自分自身が報われると考える所有者の積極性を生み出すことです。 この意味で、規則は、例として取り上げられ、必要な場合にのみ採用される40つの基準を提案しています。 特に、処理される個人データ(追加情報を使用せずに特定の個人を直接識別しない形式でデータが保存されることを保証するプロセス)に関して、仮名化手法の採用を検討することをお勧めします。治療システムとサービスの機密性、完全性、可用性、および回復力は、災害復旧システムを採用し、採用されたセキュリティ対策の効率を検証するために定期的なテスト手順を仮定します。 このようにして、GDPRは実際のセキュリティプロセスを設計し、所有者に合理的なセキュリティの焦点を保証することができます。 さらに、この規格では、「適切なレベルのセキュリティを評価する際に、特に破壊、紛失、変更、不正な開示またはアクセスに起因する処理によって提示されるリスクが特別に考慮されます。送信、保存、またはその他の方法で処理された個人データへの偶発的または違法な方法。 第42条で言及されている承認された行動規範または第1条で言及されている承認された認証メカニズムの順守は、本条の第XNUMX項で言及されている要件への準拠を示す要素として使用できます。
したがって、特定のリスクに関する評価が必要であり、データ侵害、行動規範、個人データの違法な処理、認証メカニズムなど、GDPRの対象となる他の規定との相乗効果に基づいてパラメータ化されます。 最後に、定義する前面の幅を指定します。これは直感的でしたが、「データコントローラーとデータプロセッサーは、権限の下で行動し、個人データにアクセスできる人が、そうでない場合はそのようなデータを処理しないようにします。連合または加盟国の法律によって要求されない限り、データ管理者によってそうするように指示された。 サイクル全体のdeusex machinaは当然のことながら所有者であり、この意味で、相互に続く慣行と解釈によって決定される新しい開発が保留されている間、この規定は再び説明責任の原則と一致し、サプライチェーンの一部は、セキュリティの観点から脆弱です。
適切なセキュリティ対策は何ですか? セキュリティ部門でのコンプライアンスを確実にするために、各所有者はどの基準をやり直す必要がありますか? どのようなベストプラクティス?
規制の適用可能性の数日前には、これらは、国の生産性と中小企業の戦略分野の両方に疑問を投げかけている未解決の問題である。