(Андреа Пулигедду) Новое европейское законодательство о защите личных данных находится на нас, и вместе с ним обновляется вся система конфиденциальности, действующая в настоящее время в европейских странах. Хотя в течение некоторого времени проводятся более или менее авторитетные вмешательства в отношении интерпретации некоторых введенных нововведений (Реестр обработок, Оценка воздействия на защиту личных данных, Сотрудник по защите данных и т. Д.) часть - совершенно неподготовленная даже к основным документальным и организационным обязательствам, которые уже действуют - в соответствии с Кодексом конфиденциальности - вот уже двадцать лет. Это подтверждают результаты исследования, проведенного калифорнийской ИТ-компанией Senzing под названием «Поиск недостающего звена в соблюдении GDPR», согласно которому половина (43%) компаний в Италии из выборки из тысяч компаний она заявляет, что «встревожена», в то время как несколько других демонстрируют простое и тревожное незнание об обязательствах и штрафах, вытекающих из несоблюдения GDPR. Какой профиль среди многих оказывается наиболее критичным и недооцененным в этих обстоятельствах? Конечно, ответ прост: безопасность обрабатываемых персональных данных.
Недостаточно читать хронические известия о нарушениях общественным и пара-общественным критическим инфраструктурам (телефония, больницы, транспорт, энергетика и т. Д.), Чтобы свидетельствовать о существующем риске. Национальная бизнес-структура рискует еще раз рассредоточить ценность, порожденную только обработанными персональными данными, и исключительно за недостаточную осведомленность и отсутствие подотчетности. Потерять, не конструируя фантастические апокалипсисы, скорее всего, будут в конечном счете затронуты (люди, к которым относятся персональные данные), которые столкнулись с отсутствием безопасности, могут быть бессознательным объектом сжатия их прав и их свобод. В этом смысле, со ссылкой на сторону безопасности, GDPR (это аббревиатура общего правила защиты данных) предлагает в ст. 32 - полное изменение менталитета, настоящий культурный переключатель. Указывается, что: принимая во внимание современное состояние и стоимость реализации, а также характер, объект, контекст и цель лечения, а также риск различной вероятности и серьезности прав и свобод человека физические лица, контролер и контролер должны ввести соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего рискам, которые включают, в частности, в соответствующих случаях:
а) псевдонификация и шифрование персональных данных;
b) способность обеспечить на постоянной основе конфиденциальность, целостность, доступность и устойчивость систем обработки и услуг;
c) возможность оперативно восстановить доступность и доступ к персональным данным в случае физического или технического инцидента;
d) процедура проверки, проверки и регулярной оценки эффективности технических и организационных мер в целях обеспечения безопасности лечения.
Затем в Положении определяется подход к безопасности как реальный момент владения собственником (в соответствии с принципом подотчетности в соответствии со статьей 25) и намеревается дать реальную губку упрощенному методу, неоднократно принятому компаниями (также имеющих определенное стратегическое значение), что в отношении предотвращения рисков относятся к простой стандартной проверке или только к минимальным мерам, присутствующим во ВСЕХ. B законодательного декрета n. 196 / 2003, предыдущий код конфиденциальности.
Этим законом GDPR, безусловно, не намерен сообщать, что меры безопасности, определенные до сих пор нормативными и паранормативными актами (например, санкционированные Руководящими принципами AGID для государственного управления), должны исчезнуть: напротив, цель Регламента заключается в создании проактивности Владельца, который считает себя вознаграждением в соответствии с механизмом, продиктованным вышеупомянутым принципом подотчетности. В этом смысле Регламент предлагает четыре критерия, которые могут быть взяты в качестве примера и приняты только в случае необходимости. В частности, предлагается рассмотреть возможность применения методов псевдонимизации в отношении обрабатываемых персональных данных (процесс, который гарантирует, что данные хранятся в формате, который напрямую не идентифицирует конкретного человека без использования дополнительной информации), конфиденциальность, целостность, доступность и отказоустойчивость систем и услуг лечения, принять системы аварийного восстановления и выдвинуть гипотезу о процедурах периодического тестирования для проверки эффективности принятых мер безопасности. Таким образом, GDPR разрабатывает реальный процесс безопасности, способный гарантировать разумную безопасность для владельца. Кроме того, в стандарте уточняется, что «при оценке адекватного уровня безопасности особое внимание уделяется рискам, связанным с обработкой, которые возникают, в частности, из уничтожения, потери, модификации, несанкционированного раскрытия или доступа в случайным или незаконным способом передачи, хранения или обработки персональных данных. Соблюдение утвержденного кодекса поведения, указанного в статье 40, или утвержденного механизма сертификации, указанного в статье 42, может использоваться в качестве элемента для демонстрации соответствия требованиям, указанным в пункте 1 настоящей статьи ".
Следовательно, необходимы оценки конкретных рисков, параметризованные по синергии с другими положениями GDPR, такими как нарушение данных, кодексы поведения, незаконная обработка персональных данных и механизмы сертификации. Наконец, указывается ширина лицевой стороны, которая должна быть определена, хотя это было интуитивно понятно: «Контроллер данных и обработчик данных гарантируют, что кто-либо, действующий под их руководством и имеющий доступ к персональным данным, не обработает такие данные, если они поручено сделать это контролером данных, если это не требуется по закону Союза или государств-членов ". Deus ex machina всего цикла, естественно, является владельцем, и в этом смысле, в ожидании новых событий, продиктованных практиками и интерпретациями, которые будут следовать друг за другом, это положение снова соответствует принципу подотчетности и направлено на предотвращение Часть цепочки поставок уязвима с точки зрения безопасности.
Осталось много открытых вопросов: каковы надлежащие меры безопасности? Какие стандарты необходимо выполнять каждому держателю для обеспечения соблюдения в секторе безопасности? Какие лучшие практики?
За несколько дней до применения Правил они остаются открытыми вопросами, которые ставят под вопрос как стратегические секторы для производительности страны, так и МСП.