(Андреа Пулигхедду) Ново европско законодавство које се односи на заштиту личних података је пред нама, а са њим се иновира и читав систем приватности који је тренутно на снази у европским земљама. Иако се већ неко време одвијају мање или више ауторитативне интервенције у вези са тумачењем неких уведених новина (Регистар лечења, Процена утицаја на заштиту личних података, Службеник за заштиту података итд.) део - потпуно неприпремљен ни за основне документарне и организационе обавезе које су на снази - према Закону о приватности - већ двадесет година. То потврђују резултати истраживања које је спровела Сензинг, калифорнијска ИТ компанија, под називом „Проналажење нестале везе у складу са ГДПР-ом“, према којем половина (43%) компанија у Италији од узорка хиљада компанија она се проглашава "узнемиреном", док неколико других показује једноставан и узнемирујући недостатак знања о обавезама и казнама које проистичу из непоштовања ГДПР-а. Који је, међу многима, профил који се у овим околностима појављује као најкритичнији и најцењенији? Одговор је наравно једноставан: безбедност обрађених личних података.
Није довољно читати сада већ хроничне вести о кршењу јавне и парајавне критичне инфраструктуре (телефоније, болница, транспорта, енергетике, итд.) Да би се показало постојање ризика. Национално предузетничко ткиво ризикује да још једном расеје вредност коју генеришу лични подаци који се обрађују искључиво и искључиво због недостатка свести и недостатка одговорности. На крају, без цртања технолошке апокалипсе научне фантастике, ризикују да у коначници буду заинтересоване стране (људи на које се односе лични подаци) које би, суочене са недостатком сигурности, могле бити несвесни предмет компресије њихових права и слобода. У том смислу, у односу на безбедносну страну, ГДПР (ово је акроним Опште уредбе о заштити података) предлаже у чл. 32 потпуна промена менталитета, прави културни преокрет. У ствари, прецизирано је да: Узимајући у обзир стање технике и трошкове примене, као и природу, предмет, контекст и сврху обраде, као и ризик од променљиве вероватноће и тежине за права и слободе физичка лица, контролор података и обрађивач података успостављају одговарајуће техничке и организационе мере како би се осигурао ниво безбедности који одговара ризику, а који укључују, између осталог, где је то применљиво:
а) псеудонимизација и шифровање личних података;
б) способност да се трајно осигура поверљивост, интегритет, доступност и еластичност система и услуга обраде;
ц) могућност брзог враћања доступности и приступа личним подацима у случају физичког или техничког инцидента;
д) поступак испитивања, верификације и редовне процене ефикасности техничких и организационих мера како би се загарантовала сигурност обраде.
Стога Уредба идентификује приступ безбедности као стварни тренутак оснаживања власника (у складу са принципом одговорности из члана 25) и намерава да пружи прави потез сунђером поједностављеној методи коју су компаније више пута усвојиле (такође од одређеног стратешког значаја) који се, у погледу спречавања ризика, односе на пуке стандардне провере или само на минималне мере садржане у СВЕ. Б законске уредбе бр. 196/2003, претходни Законик о приватности.
Овим актом ГДПР сигурно не намерава да саопшти да мере безбедности које су до сада идентификоване регулаторним и пара-регулаторним актима (попут оних санкционисаних АГИД смерницама за јавну управу) морају нестати: напротив, сврха Уредбе је генерисање проактивности власника, који себе сматра награђивањем у складу са механизмом диктираним горе поменутим принципом одговорности. У том смислу, Уредба предлаже четири критеријума која треба узети за пример и усвојити само ако је потребно. Посебно се предлаже да се размотри усвајање техника псеудонимизације у односу на обрађене личне податке (поступак који осигурава да се подаци чувају у формату који не идентификује одређеног појединца без употребе додатних информација), поверљивост, интегритет, доступност и отпорност система и услуга лечења, усвојити системе за опоравак од катастрофе и претпоставити периодичне поступке испитивања како би се верификовала ефикасност усвојених мера безбедности. На овај начин, ГДПР дизајнира стварни безбедносни процес, способан да гарантује разуман фокус безбедности за власника. Штавише, стандард даље прецизира да „при процени адекватног нивоа сигурности посебно се узимају у обзир ризици које представља обрада који посебно потичу од уништавања, губитка, модификације, неовлашћеног откривања или приступа, посебно случајан или незаконит начин, на личне податке који се преносе, чувају или обрађују на други начин. Придржавање одобреног кодекса понашања из члана 40. или одобреног механизма за сертификацију из члана 42. може се користити као елемент за доказивање усаглашености са захтевима из става 1. овог члана “.
Због тога су неопходне процене специфичних ризика, параметарске у синергији са другим одредбама обухваћеним ГДПР-ом, попут кршења података, кодекса понашања, незаконите обраде личних података и механизама сертификације. На крају, наведена је ширина фронта који треба дефинисати - иако је била интуитивна: „Контролор података и процесор података осигуравају да свако ко делује под њиховом надлежношћу и има приступ личним подацима не обрађује такве податке ако то није које је за то наложио контролор података, осим ако то захтева закон Уније или држава чланица “. Деус ек мацхина читавог циклуса је природно власник и у том смислу, до новог развоја који диктирају праксе и тумачења која ће се низати, ова одредба је поново у складу са принципом одговорности и има за циљ спречавање део ланца снабдевања је рањив у погледу безбедности.
Остаје много отворених питања: које су одговарајуће мере безбедности? На које стандарде се сваки власник мора позивати како би осигурао усклађеност у пољу безбедности? Које најбоље праксе?
Неколико дана након применљивости Уредбе, ова питања остају отворена која испитују и стратешке секторе за продуктивност земље и МСП.