(por Andrea Puligheddu) A nova legislação europeia em matéria de protecção de dados pessoais está sobre nós e, com ela, todo o sistema de privacidade em vigor nos países europeus está a ser inovado. Embora já se realizem intervenções mais ou menos autoritárias há já algum tempo no que diz respeito à interpretação a dar a algumas inovações introduzidas (Registo de tratamentos, Avaliação do impacto na protecção de dados pessoais, Responsável pela Protecção de Dados, etc.) parte - completamente despreparado mesmo sobre as obrigações documentais e organizacionais básicas já em vigor - sob o Código de Privacidade - há vinte anos. Isso é confirmado pelos resultados de uma pesquisa conduzida pela Senzing, uma empresa de TI da Califórnia, intitulada "Finding The Missing Link in GDPR Compliance", segundo a qual metade (43%) das empresas na Itália em uma amostra de milhares de empresas declara-se "alarmada", enquanto várias outras demonstram um simples e preocupante desconhecimento das obrigações e sanções decorrentes do não cumprimento do RGPD. Qual é, entre tantos, o perfil que surge como o mais crítico e subestimado nessas circunstâncias? Claro, a resposta é simples: a da segurança dos dados pessoais processados.
Não é suficiente ler as notícias crônicas da violação das infraestruturas públicas e parapúblicas (telefonia, hospitais, transportes, energia, etc.) para evidenciar um risco existente. O tecido empresarial nacional arrisca-se a dispersar, mais uma vez, o valor gerado pelos dados pessoais processados apenas e unicamente por falta de consciência e falta de responsabilização. Perder, sem projetar apocalipses de ficção científica, é provável que sejam, em última análise, preocupados (as pessoas a quem os dados pessoais se referem) que enfrentam uma falta de segurança, podem ser o objeto inconsciente da compressão de seus direitos e liberdades. Neste sentido, com referência ao lado da segurança, o GDPR (este é o acrônimo de Regulamento Geral de Proteção de Dados) propõe no art. 32 uma mudança completa de mentalidade, uma mudança cultural real. É especificado que: Tendo em conta o estado da arte e os custos de implementação, bem como a natureza, objeto, contexto e finalidade do tratamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades de As pessoas singulares, o responsável pelo tratamento e o responsável pelo tratamento devem instituir medidas técnicas e organizativas adequadas para garantir um nível de segurança adequado ao risco, que inclua, nomeadamente, quando adequado:
a) pseudonimização e encriptação de dados pessoais;
b) a capacidade de assegurar de forma permanente a confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços de processamento;
c) a capacidade de restaurar prontamente a disponibilidade e o acesso de dados pessoais no caso de um incidente físico ou técnico;
d) um procedimento para testar, verificar e avaliar regularmente a eficácia das medidas técnicas e organizacionais, a fim de garantir a segurança do tratamento.
O regulamento identifica então a abordagem da segurança como um momento real de propriedade do proprietário (coerente com o princípio da responsabilidade nos termos do artigo 25) e pretende dar uma verdadeira esponja ao método simplista adotado repetidamente pelas empresas. (também de certa importância estratégica) que, no que diz respeito à prevenção de riscos, se refere a um mero check padrão ou apenas às medidas mínimas presentes na LSA. B do Decreto Legislativo n. 196 / 2003, o código de privacidade anterior.
Com este ato, o GDPR certamente não pretende comunicar que as medidas de segurança até agora identificadas por atos regulatórios e para-regulatórios (como as sancionadas pelas Diretrizes da AGID para Administrações Públicas) devem desaparecer: pelo contrário, a finalidade do Regulamento é gerar uma proatividade do Proprietário, que se considera gratificante de acordo com o mecanismo ditado pelo referido princípio da responsabilidade. Nesse sentido, o regulamento propõe quatro critérios a serem tomados como exemplo e adotados apenas se necessário. Em particular, sugere-se considerar a adoção de técnicas de pseudonimização em relação aos dados pessoais processados (processo que garante que os dados sejam armazenados em um formato que não identifique diretamente um indivíduo específico sem o uso de informações adicionais), a confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços de tratamento, adotar sistemas de recuperação de desastres e hipotetizar procedimentos de testes periódicos para verificar a eficácia das medidas de segurança adotadas. Desta forma, o GDPR projeta um processo de segurança real, capaz de garantir um foco de segurança razoável para o proprietário. Além disso, a norma passa a especificar que "na avaliação do nível adequado de segurança, são considerados especialmente os riscos apresentados pelo processamento que derivam, em particular, da destruição, perda, modificação, divulgação não autorizada ou acesso, em particular forma acidental ou ilegal de dados pessoais transmitidos, armazenados ou processados de outra forma. A adesão a um código de conduta aprovado referido no artigo 40.º ou a um mecanismo de certificação aprovado referido no artigo 42.º pode ser utilizado como um elemento para demonstrar o cumprimento dos requisitos referidos no n.º 1 do presente artigo ”.
Portanto, são necessárias avaliações sobre riscos específicos, parametrizados em sinergias com outras disposições cobertas pelo GDPR, como violação de dados, códigos de conduta, processamento ilegal de dados pessoais e mecanismos de certificação. Por último, é especificada a largura da frente a ser definida - embora seja intuitivo: "O controlador de dados e o processador de dados garantem que qualquer pessoa que atue sob sua autoridade e tenha acesso aos dados pessoais não processe esses dados se não o for instruída para o fazer pelo responsável pelo tratamento dos dados, a menos que a legislação da União ou dos Estados-Membros o exija ". O deus ex machina de todo o ciclo é naturalmente o dono e, neste sentido, enquanto se aguardam novos desenvolvimentos ditados pelas práticas e interpretações que se sucedem, esta disposição é mais uma vez consistente com o princípio da responsabilização e visa prevenir uma parte da cadeia de abastecimento é vulnerável em termos de segurança.
Muitas perguntas abertas permanecem: quais são as medidas de segurança apropriadas? Quais padrões cada proprietário precisa refazer para garantir a conformidade no setor de segurança? Quais as melhores práticas?
Poucos dias antes da aplicação do regulamento, estas continuam a ser questões em aberto que questionam tanto os sectores estratégicos para a produtividade do país como as PME.