(Andrea Puligheddu) Nadchodzi nowe europejskie prawodawstwo dotyczące ochrony danych osobowych, a wraz z nim cały system ochrony prywatności obowiązujący obecnie w krajach europejskich jest unowocześniany. Chociaż od pewnego czasu podejmowane są mniej lub bardziej autorytatywne interwencje dotyczące interpretacji, jaką należy nadać niektórym wprowadzonym innowacjom (Rejestr zabiegów, Ocena wpływu na ochronę danych osobowych, Inspektor ochrony danych itp.) część - zupełnie nieprzygotowana nawet na podstawowe obowiązki dokumentacyjne i organizacyjne obowiązujące już - na podstawie Kodeksu Prywatności - od dwudziestu lat. Potwierdzają to wyniki badania przeprowadzonego przez Senzing, kalifornijską firmę informatyczną „Finding The Missing Link in RODO”, zgodnie z którym połowa (43%) włoskich firm z próby tysięcy firm deklaruje, że jest „zaniepokojona”, a kilka innych wykazuje prosty i niepokojący brak wiedzy na temat obowiązków i sankcji wynikających z nieprzestrzegania RODO. Który z wielu profili okazuje się najbardziej krytyczny i niedoceniany w tych okolicznościach? Oczywiście odpowiedź jest prosta: chodzi o bezpieczeństwo przetwarzanych danych osobowych.
Nie wystarczy odczytać chroniczną wiadomość o naruszeniu dla publicznej i parapublicznej infrastruktury krytycznej (telefonia, szpitale, transport, energia itp.), Aby wykazać istnienie istniejącego ryzyka. Krajowa struktura biznesowa może ponownie rozproszyć wartość generowaną przez przetwarzane dane osobowe wyłącznie z powodu braku świadomości i braku odpowiedzialności. Przegrani, bez wyciągania sci apokalipsę technologicznego, ryzyko jest ostatecznie zainteresowana (osoby, których dotyczą dane osobowe), którzy napotykają na brak zabezpieczenia mógłby być mimowolnym przedmiotem kompresji ich praw i wolności. W tym sensie, w odniesieniu do strony bezpieczeństwa, PKBR (jest to skrót od ogólnego rozporządzenia o ochronie danych) proponuje w art. 32 to kompletna zmiana mentalności, prawdziwa zmiana kulturowa. Jest on określony w tym, że: Biorąc pod uwagę obecny stan wiedzy i kosztów wdrożenia, jak również charakter, obiektu, kontekst i cel leczenia, jak również ryzyko różnej prawdopodobieństwa i dotkliwości dla praw i wolności osoby fizyczne, administrator i administrator wprowadzają odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa stosownego do ryzyka, obejmującego między innymi, w stosownych przypadkach:
a) pseudonimizacja i szyfrowanie danych osobowych;
b) zdolność stałego zapewniania poufności, integralności, dostępności i odporności systemów przetwarzania i usług;
c) zdolność do szybkiego przywracania dostępności i dostępu do danych osobowych w przypadku incydentu fizycznego lub technicznego;
d) procedurę testowania, sprawdzania i regularnej oceny skuteczności środków technicznych i organizacyjnych w celu zagwarantowania bezpieczeństwa leczenia.
Rozporządzenie ustanawia zatem podejście zabezpieczeń jak w czasie rzeczywistym do właściciela upodmiotowienia (zgodnie z zasadą odpowiedzialności w art. 25) i zamierza nadać mu prawdziwy strzał wymazać uproszczone podejście często przyjmowane przez firmy (również o pewnym znaczeniu strategicznym), które w odniesieniu do zapobiegania ryzyku odnoszą się jedynie do kontroli standardowej lub tylko minimalnych środków obecnych w WSZYSTKIM. B dekretu ustawodawczego n. 196 / 2003, poprzedni kod prywatności.
Z tym aktem, PKBR pewno nie zamierza komunikować się, że środki bezpieczeństwa dotychczas zidentyfikowane poprzez działania regulacyjne i para-prawne (takie jak te ustanowione przez AGID wytycznych dla administracji publicznej) powinny zniknąć: wręcz przeciwnie, cel Regulaminu jest generowanie proaktywności właściciela, która jest uważana za satysfakcjonującą zgodnie z mechanizmem podyktowanym zasadą odpowiedzialności wspomnianą powyżej. W tym sensie rozporządzenie proponuje cztery kryteria, które należy przyjąć w ramach przykładu i przyjąć tylko w razie potrzeby. W szczególności zaleca się rozważyć przyjęcie Pseudonimizacja technicznego w odniesieniu do danych osobowych przetwarzanych (procesu, który zapewnia, że dane są przechowywane w formacie, który nie jest bezpośrednio zidentyfikować konkretną osobę bez użycia dodatkowych informacji), stanowią podstawę stałą poufność, integralność, dostępność i odporność systemów i usług leczniczych, przyjmowanie systemów odzyskiwania po awarii i hipotezy dotyczące okresowych procedur testowania w celu weryfikacji skuteczności przyjętych środków bezpieczeństwa. W ten sposób GDPR wyznacza prawdziwy proces bezpieczeństwa, który jest w stanie zagwarantować rozsądną koncentrację na bezpieczeństwie ze strony właściciela. Ponadto, reguły wychodzi na określenie, że „w celu oceny właściwego poziomu bezpieczeństwa jest brany pod uwagę w szczególności zagrożeń wynikających z obróbki, w wyniku szczególności przed zniszczeniem, utratą nieautoryzowanym ujawnieniem lub udostępnieniem w sposób przypadkowy lub niezgodny z prawem, do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób. Przestrzeganie uzgodnionej kodeksu postępowania, o którym mowa w art 40 lub zatwierdzonego mechanizmu certyfikacji określona w art 42 może być stosowany jako element w celu wykazania zgodności z wymaganiami, o których mowa w ustępie niniejszego artykułu 1”.
Dlatego wymagane są szczegółowe oceny ryzyka w oparciu o synergie z innymi przepisami objętymi RBP, takimi jak naruszenia danych, kodeksy postępowania, nielegalne przetwarzanie danych osobowych i mechanizmy certyfikacji. Na koniec określono amplitudę frontu, który należy zdefiniować - choć jest to zrozumiałe: "Administrator danych i administrator zapewniają, że każdy podmiot działający pod ich zwierzchnictwem i posiadający dostęp do danych osobowych nie przetwarza takich danych, jeśli nie jest to możliwe. poinstruowany, aby zrobił to administrator danych, chyba że wymaga tego prawo Unii lub państwa członkowskiego. " Deus ex machina z całego cyklu jest oczywiście właścicielem i w tym sensie, czekając na nowe zmiany, podyktowane praktykami i interpretacjami, które następują po sobie, prognoza ta jest ponownie spójna z zasadą odpowiedzialności i ma na celu zapobieganie część łańcucha dostaw jest podatna na zagrożenia.
Pozostaje wiele otwartych pytań: jakie są odpowiednie środki bezpieczeństwa? Jakie standardy musi wykonać każdy posiadacz, aby zapewnić zgodność w sektorze bezpieczeństwa? Jakie najlepsze praktyki?
Kilka dni przed stosowaniem rozporządzenia pozostają one kwestiami otwartymi, które kwestionują zarówno strategiczne sektory pod względem produktywności kraju, jak i MŚP.