(Andrea Puligheddu tarafından) Kişisel verilerin korunmasına ilişkin yeni Avrupa mevzuatı üzerimizde ve onunla birlikte şu anda Avrupa ülkelerinde yürürlükte olan tüm gizlilik sistemi yenileniyor. Getirilen bazı yeniliklere (muamele kaydı, kişisel verilerin korunması üzerindeki etkinin değerlendirilmesi, Veri Koruma Görevlisi, vb.) Uygulanacak yorumla ilgili olarak bir süredir az ya da çok otoriter müdahaleler yapılıyor olsa da. Kısmen - halihazırda yürürlükte olan temel belgesel ve organizasyonel yükümlülüklerde bile - Gizlilik Yasası uyarınca - yirmi yıldır tamamen hazırlıksız. Bu, bir Kaliforniyalı BT şirketi olan Senzing tarafından yapılan ve "GDPR Uyumluluğunda Eksik Bağlantıyı Bulmak" başlıklı bir araştırmanın sonuçlarıyla doğrulanmıştır. Buna göre İtalya'daki şirketlerin yarısı (% 43), binlerce şirketten oluşan bir örneklemden Kendisini "alarma geçti" olarak ilan ederken, diğerleri GDPR'ye uyulmamasından kaynaklanan yükümlülükler ve cezalar hakkında basit ve rahatsız edici bir bilgi eksikliği sergiliyor. Pek çok kişi arasında, bu koşullarda en kritik ve hafife alınan profil nedir? Elbette cevap basit: işlenen kişisel verilerin güvenliği.
Mevcut bir riskin kanıtını vermek için ihlalin kronik haberlerini kamuya ve kamuya açık kritik altyapılara (telefon, hastane, ulaşım, enerji vb.) Okumak yeterli değildir. Ulusal iş kumaşı, bir kez daha, sadece işlenen kişisel veriler tarafından üretilen değeri ve yalnızca farkındalık eksikliği ve hesap verilebilirlik eksikliği nedeniyle dağılma riskine girer. kaybedenler, bilim teknolojik kıyamet çekmeden risk sonuçta hak ve özgürlüklerin sıkıştırma kasıtsız nesne olabilir güvensizlik karşıya (insanları kişisel verilerin bağlı olduğu kişiye) endişeleniyorlardı. Bu anlamda, güvenlik tarafı ile ilgili olarak, GSYİH (bu, Genel Veri Koruma Yönetmeliğinin kısaltmasıdır) sanatta öneridir. 32 tam bir zihniyet değişimi, gerçek bir kültürel değişim. Aslında belirtildiğinden: hesaba teknolojiyi ve uygulama maliyetlerini, hem de doğayı, nesnenin, bağlam ve tedavi amacını, hem de hak ve özgürlükleri için olasılığını ve şiddetini değiştirerek riskini alarak Doğal kişiler, kontrolör ve kontrolör, diğer hususların yanı sıra, uygun olan yerlerde, riske uygun bir güvenlik seviyesi sağlamak için uygun teknik ve organizasyonel önlemleri yerleştirmelidir:
a) kişisel verilerin taklit edilmesi ve şifrelenmesi;
b) işlem sistemlerinin ve hizmetlerinin gizliliği, bütünlüğü, kullanılabilirliği ve esnekliğini kalıcı olarak sağlama becerisi;
c) Fiziksel veya teknik bir olay durumunda kişisel verilerin kullanılabilirliğini ve erişimini derhal geri yükleme yeteneği;
d) tedavinin güvenliğini sağlamak için teknik ve organizasyonel önlemlerin etkinliğini test etmek, doğrulamak ve düzenli olarak değerlendirmek için bir prosedür.
Yönetmelik böylece (mad. 25 içinde sorumluluk ilkesi ile tutarlıdır) sahibi Güçlenme için gerçek zamanlı olarak güvenlik yaklaşımı kurar ve ona sık sık şirketleri tarafından benimsenen basit bir yaklaşım temizlemenin bir gerçek denemek niyetinde (Ayrıca bazı stratejik öneme sahip) ve risklerin önlenmesi için sadece onay standartları veya All mevcut çok az tedbirlere dayanmaktadır. Yasama Kararnamesi B 196 / 2003, önceki Gizlilik Kodu.
Bu yasa ile GDPR, şimdiye kadar düzenleyici ve para-normatif düzenlemeler tarafından belirlenen güvenlik önlemlerinin (AGID Kamu İdareleri Yönergeleri tarafından yaptırılanlar gibi) ortadan kalkması gerektiğini kesinlikle bildirmek niyetinde değildir: Aksine, Yönetmeliğin amacı yukarıda belirtilen hesap verebilirlik ilkesinin dikte ettiği mekanizmaya göre kendisini ödüllendirdiğini düşünen Sahibinin proaktifliğini oluşturmaktır. Bu anlamda Yönetmelik, örnek alınacak ve ancak gerekli olması halinde benimsenecek dört kriter önermektedir. Özellikle, işlenen kişisel verilerle ilgili olarak takma isimlendirme tekniklerinin benimsenmesinin dikkate alınması önerilmektedir (verilerin, ek bilgi kullanılmadan belirli bir kişiyi doğrudan tanımlamayan bir formatta saklanmasını sağlayan süreç), arıtma sistemlerinin ve hizmetlerinin gizliliği, bütünlüğü, kullanılabilirliği ve esnekliği, felaket kurtarma sistemlerini benimsemek ve benimsenen güvenlik önlemlerinin etkinliğini doğrulamak için periyodik test prosedürlerini varsaymak. Bu şekilde, GDPR, mal sahibi için makul bir güvenlik odağını garanti edebilen gerçek bir güvenlik süreci tasarlar. Ayrıca standart, "yeterli güvenlik düzeyinin değerlendirilmesinde, özellikle imha, kayıp, değişiklik, yetkisiz ifşa veya erişimden kaynaklanan işleme tarafından sunulan risklerin özel olarak dikkate alındığını belirtmeye devam eder. iletilen, saklanan veya başka şekilde işlenen kişisel verilere yanlışlıkla veya yasa dışı yolla. 40. maddede atıfta bulunulan onaylanmış bir davranış kuralına veya 42. maddede atıfta bulunulan onaylanmış bir sertifikasyon mekanizmasına bağlılık, bu maddenin 1. paragrafında atıfta bulunulan şartlara uygunluğu gösteren bir unsur olarak kullanılabilir.
Bu nedenle, veri ihlali, davranış kuralları, kişisel verilerin hukuka aykırı olarak işlenmesi ve sertifikasyon mekanizmaları gibi GDPR kapsamındaki diğer hükümlerle sinerjilere göre parametrelendirilmiş belirli risklere ilişkin değerlendirmeler gereklidir. Son olarak, sezgisel olmasına rağmen, tanımlanacak cephenin genişliği belirtilir: "Veri kontrolörü ve veri işlemcisi, yetkileri altında hareket eden ve kişisel verilere erişimi olan herhangi birinin, değilse bu tür verileri işlememesini sağlar. Birlik veya Üye Devletlerin yasaları gerektirmedikçe, veri denetleyicisi tarafından bunu yapma talimatı verilmiştir ". Tüm döngünün deus ex machina'sı doğal olarak mal sahibidir ve bu anlamda birbirini takip edecek uygulama ve yorumların dikte ettiği yeni gelişmeleri bekleyerek, bu hüküm bir kez daha hesap verebilirlik ilkesiyle uyumludur ve tedarik zincirinin bir kısmı güvenlik açısından savunmasızdır.
Birçok açık soru var: Uygun güvenlik önlemleri nelerdir? Güvenlik sektöründeki mevzuata uyum sağlamak için her bir tutucunun hangi standartlara ihtiyacı vardır? En iyi uygulamalar hangileridir?
Tüzüğün uygulanabilirliğinden birkaç gün önce, bunlar hem ülkenin hem de KOBİ'lerin üretkenliği için stratejik sektörleri sorgulayan açık sorulardır.