Como se indicó en el artículo anterior (más) la nueva legislación europea sobre la protección de los datos personales está a la vuelta de la esquina, y con ella se está innovando el sistema de privacidad completo actualmente en vigor en los países europeos. Aunque ahora se han sucedido intervenciones más o menos autorizadas sobre la interpretación que debe otorgarse a algunas características nuevas introducidas (registro de tratamiento, evaluación de impacto sobre la protección de datos personales, Delegado de Protección de Datos etc.) Los Cuerpos se descubren hoy en día, en su mayor parte, completamente desprevenidos, incluso sobre requisitos documentales y organizativos básicos que ya están vigentes, según el Código de Privacidad, ahora durante veinte años. Afirmar esto son los resultados de una investigación realizada por Senzing, Empresa de informática californiana, titulada "Encontrar el eslabón perdido en el cumplimiento de GDPR"De acuerdo con lo que en una muestra incluida en el orden de miles de empresas, la mitad (43%) de las empresas en Italia se declaran"alarmado", Mientras que varios otros demuestran una simple e inquietante falta de conocimiento sobre las obligaciones y sanciones resultantes del incumplimiento de la GDPR. ¿Cuál es, entre muchos otros, el perfil que emerge como el más crítico y menospreciado en estas circunstancias? Naturalmente, la respuesta es simple: la de la seguridad de los datos personales procesados.
No se limite a leer la noticia ahora violación crónica de la infraestructura pública y para-público crítico (telefonía, hospitales, transporte, energía, etc.) para dar evidencia de un riesgo existente. El empresarial nacional que pueda dispersarse, una vez más, el valor generado por los datos personales tratados pura y simplemente a una falta de conciencia y la falta de rendición de cuentas. Los perdedores, sin llamar la ciencia apocalipsis tecnológico, se arriesgan a ser en última instancia en cuestión (personas a las que se refieren los datos personales) que se enfrentan a la falta de seguridad podría ser objeto inconsciente de la compresión de sus derechos y libertades. En este sentido, con referencia al lado de la seguridad, el GDPR (este es el acrónimo de Reglamento General de Protección de Datos) propone en el art. 32 un cambio completo de mentalidad, uno real cambiar culturales. De hecho, se especifica que: Teniendo en cuenta el estado del arte y los costos de implementación, así como la naturaleza, el objeto, el contexto y el propósito del procesamiento, así como el riesgo de variar la probabilidad y seriedad de los derechos y libertades de las personas, el titular el tratamiento y el responsable del tratamiento aplicarán las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, que incluirá, entre otras cosas, en su caso:
a) seudonimización y encriptación de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de procesamiento de forma permanente;
c) la capacidad de restaurar rápidamente la disponibilidad y el acceso a los datos personales en caso de un incidente físico o técnico;
d) un procedimiento de ensayo, verificación y evaluación periódica de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Así pues, el Reglamento establece el enfoque de la seguridad como en tiempo real para el propietario Empoderamiento (en consonancia con el principio de la rendición de cuentas en el arte. 25) y tiene la intención de darle una oportunidad real para acabar con el enfoque simplista menudo adoptada por las empresas (también de cierta importancia estratégica) y para la prevención de riesgos se basan en meras normas de verificación o medidas sólo mínimas presentes en el Todo. B del Decreto Legislativo n. 196 / 2003, el código de privacidad anterior.
Con este acto, la GDPR ciertamente no pretende comunicar que las medidas de seguridad identificadas hasta ahora por actos normativos y paranormativos (como los establecidos por las Directrices AGID para las Administraciones Públicas) deben desaparecer: por el contrario, el objetivo del Reglamento. es generar una proactividad del propietario, que se considera gratificante según el mecanismo dictado por el principio de responsabilidad mencionado anteriormente. En este sentido, el Reglamento propone cuatro criterios para ser tomados en un ejemplo y adoptados solo si corresponde. En particular, se sugiere considerar la adopción de técnicas de seudonimización con respecto a los datos personales procesados (un proceso que garantiza que los datos se almacenen en un formato que no identifica directamente a un individuo específico sin el uso de información adicional), para asegurar en un confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, adoptar sistemas de recuperación de desastres e hipotetizar procedimientos de prueba periódicos para verificar la eficacia de las medidas de seguridad adoptadas. De esta forma, el GDPR dibuja un verdadero proceso de seguridad, capaz de garantizar un razonable enfoque de seguridad en nombre del propietario. Además, la norma continúa al especificar que "Al evaluar el nivel apropiado de seguridad, se tendrán especialmente en cuenta los riesgos presentados por el procesamiento que resulten, en particular, de la destrucción, pérdida, modificación, divulgación no autorizada o acceso, de manera accidental o ilegal, a datos personales transmitidos, almacenados o procesados de otra manera. El cumplimiento de un código de conducta aprobado a que se refiere el Artículo 40 o un mecanismo de certificación aprobado a que se refiere el Artículo 42 puede utilizarse como un elemento para demostrar el cumplimiento de los requisitos del párrafo 1 de este Artículo. "
Por lo tanto, se requieren evaluaciones de riesgo específicas, basadas en sinergias con otras disposiciones cubiertas por el GDPR, tales como violaciones de datos, códigos de conducta, procesamiento ilícito de datos personales y mecanismos de certificación. Finalmente, se especifica, aunque fue intuitivo, que el ancho del frente es el perímetro: "El controlador y el controlador garantizarán que quien actúe bajo su autoridad y tenga acceso a los datos personales no procese tales datos a menos que así se lo indique el controlador, a menos que la legislación de la Unión así lo exija o Estados miembros ". Il deus ex machina de todo el ciclo es, por supuesto, el propietario y en este sentido, a la espera de nuevos desarrollos dictados por las prácticas e interpretaciones que siguen, este pronóstico vuelve a ser coherente con el principio de responsabilidad y pretende evitar una parte de la cadena de suministro vulnerable en seguridad.
Quedan muchas preguntas abiertas: ¿cuáles son las medidas de seguridad adecuadas? ¿Qué estándares debe rehacer cada titular para garantizar el cumplimiento en el sector de la seguridad? ¿Qué mejores prácticas?
Unos días antes de la aplicabilidad del Reglamento, estas siguen siendo preguntas abiertas que cuestionan tanto a los sectores estratégicos para la productividad del país como a las PYME.
