DSGV-Temperatur: Was passiert und was ist noch nicht passiert ...

(Di Andrea Puligheddu)
27 / 11 / 18

Seit der vollständigen Anwendung der DSGVO, der europäischen Gesetzgebung zum Schutz personenbezogener Daten, sind sechs Monate vergangen.

Die Auswirkungen, die die Verordnung (an die sich öffentliche und private Stellen seit 2016, dem Jahr ihres Inkrafttretens, anpassen mussten), sind jetzt bekannt, insbesondere im Hinblick auf das Sicherheitsmanagement: der verordnungsorientierte Ansatz des letzten Gesetzgebung (Kontroll-Liste einzuhaltende Mindestmaßnahmen, geeignete Maßnahmen und Similia) gibt einem Ansatz Platz risikobasiert, nach dem der Datencontroller und der Datenprozessor "geeignete technische und organisatorische Maßnahmen einleiten, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wobei dem Stand der Technik und den Durchführungskosten sowie der Art, dem Zweck, dem Kontext und dem Zweck der Verarbeitung sowie dem Gefahr der unterschiedlichen Wahrscheinlichkeit und Schwere der Rechte und Freiheiten natürlicher Personen".

Es ist jedoch angebracht, nach dieser ersten Anwendungsperiode zu fragen, was sich wirklich geändert hat und welche "Temperatur" in Europa und allgemeiner in der übrigen Welt hinsichtlich des Schutzes personenbezogener Daten wahrgenommen wird.

Genau in Bezug auf dieses letzte Profil muss gesagt werden, dass die DSGVO tatsächlich indirekt eine der Erwartungen erfüllt, für die sie geboren wurde, nämlich die Schaffung eines weltweit gemeinsamen Standards. Zahlreiche Drittländer verglichen mit denen der Union, selbst wenn sie versuchen, ihre Regulierungspolitik gegen die Macht der Vereinigten Staaten und Chinas hinsichtlich des mit der Welt der Technologie und des Internets verbundenen Marktes zu erhöhen, haben Regulierungsansätze angeregt, die sich an der EU orientieren GDPR oder in einigen Fällen vollständig darauf parametriert.

Auch unter den OTT, die "übertrieben", Es gibt diejenigen, die - wahrscheinlich aus Gründen der Geschäftsstrategie - der Ansicht waren, dass sie sich öffentlich auf eine" bundesstaatliche "DSDPR für die USA berufen und die Vertraulichkeit als ein grundlegendes Menschenrecht bekräftigen würden (ein Faktor, der häufig vergessen wird) ) und nicht noch ein weiteres Element der Person, die monetarisiert werden soll.

Es gibt andere Aspekte, die aus technischen und standortbedingten Gründen nicht in Betracht gezogen werden können: Bewusstseinsbildung, Dialog zum Thema Informationssicherheit, Schulung und Reorganisation von Geschäftsprozessen sind nur einige der Aspekte, für die Die DSGVO hat auf nationaler und europäischer Ebene Inspiration geliefert. Im Vergleich zu den letzten zwanzig Jahren - teilweise oder teilweise totale Immobilität - ändert sich das Szenario tatsächlich.

Es lohnt sich jedoch, jetzt einige Worte unter dem zweiten Profil zu verwenden, das heißt mit anderen Worten: Was fehlt?

Die schlechte Nachricht ist in der Tat, dass das, was wir gerade gesehen haben, noch lange nicht genug ist. Es fehlt etwas, und zwar - vor allem in Italien - weit mehr als etwas.

Ohne sich zu sehr mit dem Problem zu beschäftigen und die mit anderen Experten auf diesem Gebiet ausgetauschten Ideen fortzusetzen, ist eine sehr genaue Situation für sechs Monate unverändert geblieben: Das Fehlen einer ernsthaften Sicherheitskultur sowohl auf politischer als auch auf Managementebene.

Der letzte symbolische Fall dieser Abwesenheit - in gewisser Weise gleichzeitig unangenehm und beunruhigend - war der vor einigen Tagen (Artikel lesen), als der Verstoß gegen 500 Tausend zertifizierte E-Mail-Konten erfolgte, von denen einige (etwa 9 Tausend) zu Beamten gehörten und viele andere (etwa 98 Tausend) mit dem Interministeriellen Ausschuss für die Sicherheit der Republik verbunden waren. Die Nachrichten haben einen kurzen Aufschrei erzielt, einige Aktionen, die ich als prähistorisch und üblich bezeichnen würde ("Kennwort ändern"), und einige Antworten (einige, die ausgesprochen fehl am Platz sind, nur ironisch) und dann allmählich zu dem Vergessen zurückkehren, für das die Nachrichten historisch gedacht sind Tatsachen - auch schwerwiegende - zu Fragen der Vertraulichkeit von Informationen und der Sicherheit derselben.

Ohne auf die Verdienste einzugehen und offensichtlich diejenigen zu verlassen, die die wichtigen Untersuchungen verdanken, die hoffentlich diese Tatsache erreichen werden, sind viele andere Worte nicht erforderlich, um den Zustand der ernsten Unsicherheit in Italien zu beschreiben: Diejenigen, die sich mit der Sicherheitsfrage befassen, haben dies häufig "Hände gebunden" durch jahrelange Versäumnisse und Mängel, und dies ist sicherlich nicht der Zeitpunkt von Beschuldigungen, sofern sie als legitim bezeichnet werden können.

Was hier jedoch fehlt (trotz eines starken Instruments in Bezug auf hierarchisch-normative Bestimmungen wie der DSGVO), was wir in diesen sechs Monaten nicht gesehen haben und worauf wir nicht hoffen, ist zum Wohle des ganzen Landes und Sein öffentliches und unternehmerisches Sozialgefüge besteht darin, dass die zuständigen Behörden zum Thema die Betreiber in diesem Sektor unterstützen und angemessen schulen und sicherstellen, dass die (in Anbetracht der kritischen Situation wirklich minimalen) Standards der Rechenschaftspflicht und des Risikomanagements festgelegt werden Nach dem Gesetz werden sie uneingeschränkt geachtet, interagieren und befehlen - soweit angebracht - die Sanktionen und Reaktionen, die beschlossen wurden, dass die Verordnung sie selbst anerkennt.

In diesem Land ist eine groß angelegte Operation in Bezug auf die Schulungs- und Sicherheitskultur durchzuführen. Wenn der Start wegen mangelndem Verständnis für das Thema weiter verschoben wird, führt dies zu einer immer stärkeren Trennung zwischen der Realität und der Wahrnehmung des Themas in Italien Bis sich diese Distanz trotz uns selbst so weit entwickelt, dass sie die Regel darstellt, auch und vor allem in Bezug auf das übrige Europa. Abschließend sei daran erinnert, dass das Ganze insgesamt noch dazu beiträgt, dass keine konkreten und geführten Investitionen im Sicherheitsbereich in ein industrielles Gefüge erforderlich sind, das Informationen meist ohne ausreichende Mittel handhaben muss völlig wertvoll und stark verwundbar auf völlig willkürliche und improvisierte Weise.

Ein paar Worte: Wir müssen anfangen, sich zu verändern, und auch dringend.

(Foto: Web / US Air Force)