(av Andrea Puligheddu) Den nya europeiska lagstiftningen om skydd av personuppgifter är över oss och med det förnyas hela det integritetssystem som för närvarande är i kraft i europeiska länder. Även om mer eller mindre auktoritativa insatser har ägt rum under en längre tid beträffande tolkningen av vissa införda innovationer (register över behandlingar, utvärdering av inverkan på skyddet av personuppgifter, dataskyddsombud etc.), är organen idag - för det mesta del - helt oförberedd även på grundläggande dokumentära och organisatoriska skyldigheter som redan gäller - enligt sekretesslagen - i tjugo år nu. Detta bekräftas av resultaten från en undersökning utförd av Senzing, ett kaliforniskt IT-företag med titeln "Finding The Missing Link in GDPR Compliance", enligt vilken hälften (43%) av företagen i Italien av ett urval av tusentals företag hon förklarar sig "orolig", medan flera andra visar en enkel och störande brist på kunskap om skyldigheterna och sanktionerna till följd av bristande efterlevnad av GDPR. Vad är bland många den profil som framstår som den mest kritiska och underskattade under dessa omständigheter? Naturligtvis är svaret enkelt: säkerheten för de personuppgifter som behandlas.
Det är inte tillräckligt att läsa den nu kroniska nyheten om överträdelserna mot kritisk offentlig och paralegal infrastruktur (telefoni, sjukhus, transport, energi etc.) för att bevisa en befintlig risk. Det nationella företagstyget riskerar att sprida igen värdet av personuppgifter som behandlas enbart och enbart för bristande medvetenhet och brist på ansvar. Att förlora, utan att designa tekniska apokalypser, riskerar att de i sista hand är de intresserade parterna (de personer som personuppgifterna hänvisar till) som kan utsättas för en brist på säkerhet, kan vara det omedvetna föremålet för komprimeringen av deras rättigheter och deras friheter. I detta avseende, med hänvisning till säkerhetsaspekten, föreslår GDPR (denna akronym för Allmänna databeskyddsförordningen) inom tekniken. 32 en komplett mental förändring, en riktig kulturomkopplare. Det anges faktiskt att: Med hänsyn till den senaste tekniken och genomförandekostnaderna samt arten, syftet, sammanhanget och syftet med behandlingen, liksom risken för olika sannolikheter och allvar för rättigheterna och friheterna hos fysiska personer, den registeransvarige och den registeransvarige inrättar tillräckliga tekniska och organisatoriska åtgärder för att garantera en tillräcklig säkerhetsnivå för risken, vilket bland annat inbegriper, i förekommande fall,
a) pseudonymisering och kryptering av personuppgifter
b) förmågan att säkerställa konfidentialitet, integritet, tillgänglighet och elasticitet hos bearbetningssystem och -tjänster på permanent basis,
c) Möjligheten att omedelbart återställa tillgången och tillgången till personuppgifter i händelse av fysisk eller teknisk olycka.
d) Ett förfarande för att testa, verifiera och regelbundet utvärdera effektiviteten av de tekniska och organisatoriska åtgärderna för att garantera säkerheten i behandlingen.
Förordningen identifierar därför säkerhetssättet som ett verkligt ögonblick av ägarens ansvar (i enlighet med principen om ansvarsskyldighet enligt konst. 25) och avser att ge ett verkligt slag mot den förenklade metoden som flera gånger antagits av företagen (även av en viss strategisk betydelse) som hänvisar till blotta standardkontroller eller till de minimala åtgärder som finns i ALL. B i lagdekret nr. 196 / 2003, tidigare sekretesskod.
Med denna handling avser GDPR verkligen inte att kommunicera att de säkerhetsåtgärder som hittills identifierats av lagstiftning och para-regler (som de som sanktioneras av AGID-riktlinjerna för offentliga förvaltningar) måste försvinna: tvärtom, syftet med förordningen är att skapa en proaktivitet för ägaren, som anser sig givande enligt den mekanism som dikteras av principen om ansvarighet som nämns ovan. I denna mening föreslår förordningen fyra kriterier som ska tas som exempel och antas endast om det behövs. I synnerhet föreslås att man överväger antagandet av pseudonymiseringstekniker med avseende på de personuppgifter som behandlas (process som säkerställer att uppgifterna lagras i ett format som inte direkt identifierar en specifik individ utan användning av ytterligare information), sekretess, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och tjänsterna, anta katastrofåterställningssystem och antar periodiska testförfaranden för att verifiera effektiviteten hos de säkerhetsåtgärder som vidtagits. På detta sätt utformar GDPR en verklig säkerhetsprocess som kan garantera ett rimligt säkerhetsfokus för ägaren. Dessutom specificerar standarden att "vid bedömningen av adekvat säkerhetsnivå tas särskild hänsyn till de risker som uppstår vid behandlingen som särskilt härrör från förstörelse, förlust, ändring, obehörig avslöjande eller tillgång, oavsiktligt eller olagligt sätt, till överförda, lagrade eller på annat sätt behandlade personuppgifter. Överensstämmelse med en godkänd uppförandekod som avses i artikel 40 eller en godkänd certifieringsmekanism som avses i artikel 42 kan användas som ett element för att visa att kraven uppfylls i punkt 1 i denna artikel. ”
Därför är bedömningar av specifika risker nödvändiga, parametrerade på synergier med andra bestämmelser som omfattas av GDPR, såsom dataintrång, uppförandekoder, olaglig behandling av personuppgifter och certifieringsmekanismer. Slutligen specificeras bredden på fronten som ska definieras - även om den var intuitiv: "Datakontrollanten och databehandlaren ser till att alla som agerar under deras myndighet och har tillgång till personuppgifter inte behandlar sådana uppgifter om de inte är uppmanas att göra detta av den registeransvarige, såvida det inte krävs enligt unionens eller medlemsstaternas lagstiftning. " Deus ex machina under hela cykeln är naturligtvis ägaren och i denna mening, i väntan på ny utveckling som dikteras av de metoder och tolkningar som kommer att följa varandra, är denna bestämmelse återigen förenlig med principen om ansvarsskyldighet och syftar till att förhindra en en del av försörjningskedjan är sårbar när det gäller säkerhet.
Många öppna frågor kvarstår: vad är lämpliga säkerhetsåtgärder? Vilka standarder behöver varje ägare göra för att garantera överensstämmelse i säkerhetsfältet? Vilka bästa praxis?
Några dagar efter tillämpningen av förordningen är dessa fortfarande öppna frågor som ifrågasätter både de strategiska sektorerna för landets produktivitet och små och medelstora företag.