(由Andrea Puligheddu撰写)欧洲有关个人数据保护的新立法正在酝酿之中,欧洲国家当前有效的整个隐私系统正在不断创新。 尽管现在已经或多或少地进行了一些权威性的干预,以对引入的一些创新做出解释(处理记录,对个人数据保护的影响评估,数据保护官等)。部分-完全没有准备,即使是根据《隐私守则》已经有效43年的基本文件和组织义务。 加利福尼亚州IT公司Senzing进行的一项名为“寻找GDPR合规性缺失环节”的研究结果证实了这一点,根据该研究,在成千上万家公司样本中,意大利有一半(XNUMX%)的公司她宣称自己“已受到警告”,而另一些人则表现出对由于不遵守GDPR而产生的义务和处罚的简单而令人不安的知识缺乏。 在许多情况下,在这些情况下显得最为关键和低估的特征是什么? 当然,答案很简单:处理的个人数据的安全性。
仅仅阅读关于违反公众和公众关键基础设施(电话,医院,交通,能源等)的慢性新闻以证明存在风险是不够的。 国家商业结构风险再一次分散了仅处理个人数据产生的价值,仅仅是缺乏意识和缺乏责任感。 如果没有设计科幻小说的启示,最终可能最终担心的是(面临缺乏安全性的个人数据所指的人)可能是压缩其权利和自由的无意识对象。 从这个意义上讲,就安全方面而言,GDPR(这是通用数据保护法规的缩写)在艺术中提出。 32心态的彻底改变,真正的文化转换。 规定:考虑到最先进的技术水平和实施成本,以及治疗的性质,目标,背景和目的,以及治疗的权利和自由的可能性和严重性的风险自然人,管制人和管制人应制定适当的技术和组织措施,以确保适当的安全水平,其中包括酌情包括:
a)个人资料的假名和加密;
b)能够永久保证处理系统和服务的机密性,完整性,可用性和弹性;
c)在发生物理或技术事件时迅速恢复个人数据的可用性和访问能力;
d)测试,验证和定期评估技术和组织措施的有效性以确保治疗安全的程序。
因此,法规规定的安全方法为实时所有者授权(问责的艺术。25的原则是一致的),并打算给它的实拍全歼常常被企业所采用的简单的方法(同样具有一定的战略重要性),就风险防范而言,仅指标准检查或仅存在于全部范围内的最低限度措施。 B法令。 196 / 2003,以前的隐私代码。
通过该法案,GDPR无疑无意传达这样的信息:监管和准规范行为(例如,由AGID公共行政指南批准的措施)到目前为止所确定的安全措施必须消失:相反,该法规的目的是为了激发所有者的积极性,所有者认为自己是根据上述问责原则所规定的机制进行奖励的。 从这个意义上讲,该法规提出了四个标准作为示例,并仅在必要时采用。 特别是,建议考虑对处理的个人数据采用假名化技术(确保数据以不直接标识特定个人的格式存储的过程,而无需使用其他信息),处理系统和服务的机密性,完整性,可用性和弹性,采用灾难恢复系统并设定定期测试程序,以验证所采用安全措施的效率。 这样,GDPR设计了一个真实的安全流程,能够为所有者保证合理的安全重点。 此外,该标准还继续规定:“在评估适当的安全级别时,要特别考虑到处理所带来的风险,这些风险尤其来自于破坏,丢失,修改,未经授权的披露或访问,以偶然或非法的方式,将个人数据传输,存储或以其他方式处理。 遵守第40条所指的已批准的行为守则或第42条所指的经批准的认证机制可以用作证明符合本条第1款所述要求的要素。
因此,有必要对特定风险进行评估,并根据与GDPR涵盖的其他条款(例如数据泄露,行为准则,非法处理个人数据和认证机制)的协同作用进行参数化。 最后,指定了要定义的前部宽度-尽管很直观:“数据控制器和数据处理器确保任何在其权限下操作并有权访问个人数据的人都不会处理此类数据。除非国际电联或成员国的法律要求,否则数据控制者应指示这样做”。 整个周期中的实际问题自然是所有者,因此,在此之前,由于实践和解释所要求的新发展将彼此接pending而至,这一规定再次符合问责制,旨在防止供应链的一部分在安全性方面很脆弱。
许多未解决的问题仍然存在:什么是适当的安全措施? 每个持有者需要重做什么标准才能确保安全部门的合规性? 什么最佳实践?
在条例适用性的前几天,这些问题仍然是对国家和中小企业生产力的战略部门提出质疑的问题。