(de Andrea Puligheddu) Noua legislație europeană referitoare la protecția datelor cu caracter personal este pe noi, iar odată cu aceasta se inovează întregul sistem de confidențialitate în prezent în vigoare în țările europene. Deși intervenții mai mult sau mai puțin autoritare au loc de ceva timp în ceea ce privește interpretarea care trebuie acordată unor inovații introduse (Registrul tratamentelor, Evaluarea impactului asupra protecției datelor cu caracter personal, Responsabil cu protecția datelor etc.), Organismele sunt astăzi - în cea mai mare parte - complet nepregătite chiar și pentru obligațiile documentare și organizaționale de bază deja în vigoare - conform Codului de confidențialitate - de douăzeci de ani încoace. Acest lucru este confirmat de rezultatele unei cercetări efectuate de Senzing, o companie IT din California, intitulată „Finding the Missing Link in GDPR Compliance”, conform căreia jumătate (43%) dintre companiile din Italia dintr-un eșantion de mii de companii ea se declară „alarmată”, în timp ce alte câteva demonstrează o simplă și tulburătoare lipsă de cunoștințe despre obligațiile și sancțiunile rezultate din nerespectarea GDPR. Care este, printre mulți, profilul care apare ca fiind cel mai critic și subestimat în aceste circumstanțe? Desigur, răspunsul este simplu: cel al securității datelor cu caracter personal prelucrate.
Nu este suficient să citiți acum știrile cronice privind încălcările infrastructurilor publice și para-publice critice (telefonie, spitale, transporturi, energie etc.) pentru a da dovada unui risc existent. Țesătura antreprenorială națională riscă să disperseze, încă o dată, valoarea generată de datele cu caracter personal prelucrate exclusiv din cauza lipsei de conștientizare și a lipsei de responsabilitate. În cele din urmă, fără a atrage apocalipse tehnologice de știință-ficțiune, riscă să fie în cele din urmă părțile interesate (persoanele la care se referă datele cu caracter personal) care, confruntate cu o lipsă de securitate, ar putea fi obiectul neintenționat al comprimării drepturilor lor și libertăți. În acest sens, cu referire la partea de securitate, GDPR (acesta este acronimul Regulamentului general privind protecția datelor) propune în art. 32 o schimbare completă a mentalității, un adevărat schimb cultural. De fapt, se specifică că: Ținând cont de stadiul tehnicii și de costurile de implementare, precum și de natura, obiectul, contextul și scopul prelucrării, precum și riscul de a varia probabilitatea și gravitatea drepturilor și libertățile persoanelor fizice, operatorul de date și procesatorul de date pun în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adecvat riscului, care includ, printre altele, acolo unde este cazul:
a) pseudonimizarea și criptarea datelor cu caracter personal;
b) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și reziliența sistemelor și serviciilor de procesare în mod permanent;
c) capacitatea de a restabili prompt disponibilitatea și accesul la datele cu caracter personal în cazul unui incident fizic sau tehnic;
d) o procedură de testare, verificare și evaluare regulată a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
Prin urmare, Regulamentul identifică abordarea siguranței ca un moment real de împuternicire a proprietarului (în concordanță cu principiul responsabilității menționat la articolul 25) și intenționează să dea o lovitură reală de burete metodei simpliste adoptate în mod repetat de companii (de asemenea, cu o anumită importanță strategică) care, în ceea ce privește prevenirea riscurilor, se referă la simple verificări standard sau doar la măsurile minime conținute în ALL. B din Decretul legislativ nr. 196/2003, Codul de confidențialitate anterior.
Cu acest act, GDPR nu intenționează cu siguranță să comunice că măsurile de securitate identificate până acum prin acte de reglementare și para-reglementare (cum ar fi cele sancționate de Orientările AGID pentru administrațiile publice) trebuie să dispară: dimpotrivă, scopul Regulamentul urmează să genereze o proactivitate a Proprietarului, care se consideră recompensat în conformitate cu mecanismul dictat de principiul responsabilității menționat mai sus. În acest sens, regulamentul propune patru criterii care trebuie luate ca exemplu și adoptate numai dacă este necesar. În special, se sugerează luarea în considerare a adoptării tehnicilor de pseudonimizare cu privire la datele cu caracter personal prelucrate (proces care asigură stocarea datelor într-un format care nu identifică în mod direct o anumită persoană fără utilizarea informațiilor suplimentare), confidențialitatea , integritatea, disponibilitatea și reziliența sistemelor și serviciilor de tratament, adoptă sisteme de recuperare în caz de dezastru și fac ipoteze proceduri periodice de testare pentru a verifica eficiența măsurilor de securitate adoptate. În acest fel, GDPR proiectează un proces real de securitate, capabil să garanteze o concentrare rezonabilă de securitate proprietarului. Mai mult, standardul continuă să precizeze că „la evaluarea nivelului adecvat de securitate, se ține seama în mod special de riscurile prezentate de prelucrare care derivă în special din distrugerea, pierderea, modificarea, divulgarea sau accesul neautorizat, în special accidental sau în mod ilegal, către datele personale transmise, stocate sau prelucrate în alt mod. Respectarea unui cod de conduită aprobat menționat la articolul 40 sau a unui mecanism de certificare aprobat menționat la articolul 42 poate fi utilizat ca element pentru a demonstra conformitatea cu cerințele menționate la alineatul (1) din prezentul articol ".
Prin urmare, sunt necesare evaluări ale riscurilor specifice, parametrizate în funcție de sinergiile cu alte prevederi acoperite de GDPR, cum ar fi încălcarea datelor, codurile de conduită, prelucrarea ilegală a datelor cu caracter personal și mecanismele de certificare. În sfârșit, este specificată lățimea frontului care urmează a fi definit - deși a fost intuitiv: „Operatorul de date și procesorul de date se asigură că oricine acționează sub autoritatea lor și are acces la date cu caracter personal nu procesează astfel de date dacă nu este instruit să face acest lucru de către operatorul de date, cu excepția cazului în care legislația Uniunii sau a statelor membre o impune ". Deus ex machina al întregului ciclu este în mod natural proprietarul și în acest sens, în așteptarea unor noi evoluții dictate de practicile și interpretările care se vor succeda, această prevedere este încă o dată în concordanță cu principiul responsabilității și își propune să prevină o parte din lanțul de aprovizionare este vulnerabil din punct de vedere al securității.
Rămân multe întrebări deschise: care sunt măsurile de securitate adecvate? La ce standarde trebuie să se refere fiecare proprietar pentru a asigura conformitatea în domeniul securității? Ce bune practici?
La câteva zile după aplicabilitatea regulamentului, rămân deschise aceste întrebări care interogă atât sectoarele strategice pentru productivitatea țării, cât și IMM-urile.