Wie im vorherigen Artikel angegeben (mehr) Die neue europäische Gesetzgebung zum Schutz personenbezogener Daten steht vor der Tür und mit ihr wird das gesamte derzeit in den europäischen Ländern geltende Datenschutzsystem erneuert. Obwohl seit einiger Zeit mehr oder weniger maßgebliche Interventionen hinsichtlich der Auslegung einiger eingeführter Neuerungen stattfinden (Verzeichnis der Behandlungen, Folgenabschätzung zum Schutz personenbezogener Daten, Datenschutzbeauftragter usw.) Heute sind die Institutionen größtenteils völlig unvorbereitet, selbst auf grundlegende dokumentarische und organisatorische Erfüllungen, die bereits seit zwanzig Jahren im Rahmen des Datenschutzgesetzes in Kraft sind. Dies wird durch die Ergebnisse einer Untersuchung bestätigt, die von durchgeführt wurde Senzing, ein in Kalifornien ansässiges Computerunternehmen mit dem Titel „Das fehlende Glied in der DSGVO-Compliance finden„Demnach erklären sich aus einer Stichprobe von etwa Tausenden von Unternehmen die Hälfte (43 %) der Unternehmen in Italien als „alarmiert“, während mehrere andere einen einfachen und beunruhigenden Mangel an Wissen über die Verpflichtungen und Strafen zeigen, die sich aus der Nichteinhaltung der DSGVO ergeben. Welches der vielen Profile erweist sich unter diesen Umständen als das kritischste und unterschätzteste? Die Antwort ist natürlich einfach: die der Sicherheit der verarbeiteten personenbezogenen Daten.
Es reicht nicht aus, die mittlerweile chronischen Nachrichten über Verstöße gegen kritische öffentliche und halböffentliche Infrastrukturen (Telefon, Krankenhäuser, Verkehr, Energie usw.) zu lesen, um Hinweise auf ein bestehendes Risiko zu geben. Das nationale Wirtschaftsgefüge läuft Gefahr, erneut den Wert zu verschwenden, der durch die verarbeiteten personenbezogenen Daten entsteht, einzig und allein aufgrund mangelnden Bewusstseins und mangelnder Rechenschaftspflicht. Die Verlierer laufen, ohne die Science-Fiction der technologischen Apokalypse zu zeichnen, letztendlich Gefahr, die Interessenten zu sein (die Personen, auf die sich die personenbezogenen Daten beziehen), die angesichts mangelnder Sicherheit unbewusst das Objekt der Beschneidung ihrer Rechte und Freiheiten sein könnten. In diesem Sinne gilt in Bezug auf die Sicherheitsseite die DSGVO (dies ist die Abkürzung für Allgemeine Datenschutzverordnung) schlägt in der Kunst vor. 32 ein kompletter Mentalitätswechsel, ein echter wechseln kulturell. Tatsächlich wird Folgendes festgelegt: Unter Berücksichtigung des Stands der Technik und der Implementierungskosten sowie der Art, des Gegenstands, des Kontexts und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Datenverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, zu denen unter anderem gegebenenfalls Folgendes gehört:
a) Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste dauerhaft sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Unfalls umgehend wiederherzustellen;
d) ein Verfahren zur regelmäßigen Prüfung, Überprüfung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten.
Mit der Verordnung wird somit den Sicherheitsansatz als in Echtzeit an den Eigentümer Übertragung von Verantwortung (im Einklang mit dem Grundsatz der Rechenschaftspflicht in der Kunst. 25) und beabsichtigt, eine echte Chance zu geben, den vereinfachenden Ansatz auszulöschen oft von Firmen angenommen (auch von bestimmter strategischer Bedeutung), die sich in Bezug auf die Risikoprävention auf die bloße Standardprüfung oder nur die in der ALL vorhandenen Mindestmaßnahmen beziehen. B des Gesetzesdekrets Nr. 196 / 2003, der vorherige Datenschutzcode.
Mit diesem Gesetz will die DSGVO sicherlich nicht mitteilen, dass die Sicherheitsmaßnahmen, die bisher durch regulatorische und paranormative Gesetze festgelegt wurden (wie etwa diejenigen, die durch die AgID-Richtlinien für öffentliche Verwaltungen sanktioniert werden), verschwinden müssen: Im Gegenteil, der Zweck der Verordnung besteht darin, eine Proaktivität des Datenverantwortlichen zu erzeugen, die gemäß dem Mechanismus, der durch das oben erwähnte Prinzip der Rechenschaftspflicht vorgegeben wird, als lohnend angesehen wird. In diesem Sinne schlägt die Verordnung vier Kriterien vor, die als Beispiel dienen und nur bei Bedarf übernommen werden sollen. Insbesondere wird empfohlen, die Einführung von Pseudonymisierungstechniken in Bezug auf die verarbeiteten personenbezogenen Daten in Betracht zu ziehen (Prozess, der dazu führt, dass Daten in einem Format gespeichert werden, das eine bestimmte Person ohne Verwendung zusätzlicher Informationen nicht direkt identifiziert), um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Behandlungssystemen und -diensten dauerhaft sicherzustellen, Notfallwiederherstellungssysteme einzuführen und regelmäßige Testverfahren zur Überprüfung der Wirksamkeit der ergriffenen Sicherheitsmaßnahmen zu entwickeln. Auf diese Weise gestaltet die DSGVO einen echten Sicherheitsprozess, der einen angemessenen Schutz gewährleisten kann Sicherheitsschwerpunkt in den Händen des Eigentümers. Darüber hinaus präzisiert das Gesetz dies „Bei der Beurteilung des angemessenen Sicherheitsniveaus werden insbesondere die mit der Verarbeitung verbundenen Risiken berücksichtigt, die sich insbesondere aus der Zerstörung, dem Verlust, der Änderung, der unbefugten Offenlegung oder dem unbefugten oder rechtswidrigen Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten ergeben. Die Einhaltung eines genehmigten Verhaltenskodex gemäß Artikel 40 oder eines genehmigten Zertifizierungsmechanismus gemäß Artikel 42 kann als Element zum Nachweis der Einhaltung der in Absatz 1 dieses Artikels genannten Anforderungen herangezogen werden.“
Daher sind Bewertungen spezifischer Risiken erforderlich, parametrisiert auf Synergien mit anderen von der DSGVO abgedeckten Bestimmungen, wie beispielsweise Datenschutzverletzungen, Verhaltenskodizes, rechtswidriger Verarbeitung personenbezogener Daten und Zertifizierungsmechanismen. Abschließend wird die Breite der abzugrenzenden Front angegeben – obwohl es intuitiv war: „Der Datenverantwortliche und der Datenverarbeiter stellen sicher, dass Personen, die unter ihrer Aufsicht handeln und Zugriff auf personenbezogene Daten haben, diese Daten nicht verarbeiten, es sei denn, sie werden vom Datenverantwortlichen dazu angewiesen, es sei denn, dies ist durch das Recht der Union oder des Mitgliedstaats vorgeschrieben. Il Deus ex machina des gesamten Kreislaufs ist natürlich der Eigentümer, und in diesem Sinne steht diese Bestimmung bis zu neuen Entwicklungen, die durch die aufeinander folgenden Praktiken und Interpretationen diktiert werden, erneut im Einklang mit dem Grundsatz der Rechenschaftspflicht und zielt darauf ab, zu verhindern, dass ein Teil der Lieferkette in Bezug auf die Sicherheit gefährdet wird.
Viele offene Fragen bleiben offen: Was sind die geeigneten Sicherheitsmaßnahmen? Welche Standards muss jeder Halter wiederholen, um die Einhaltung im Sicherheitsbereich zu gewährleisten? Welche Best Practices?
Einige Tage vor der Anwendbarkeit der Verordnung bleiben diese Fragen offen und stellen sowohl die strategischen Sektoren für die Produktivität des Landes als auch die KMU in Frage.
