El GDPR está por llegar, la nueva legislación de privacidad: qué cambiará y qué impacto tendrá en la seguridad de las personas

(Para Andrea Puligheddu)
26/01/18

El 25 May 2018 será directamente aplicable en todos los países de la UE al nuevo Reglamento de la UE 2016 / 679. Este es un verdadero punto de inflexión histórica en términos de protección de datos personales, destinado a garantizar una mayor seguridad de los derechos y las libertades de las personas. A la espera de ver los frutos reales, se presentarán algunas "píldoras" de las que se inspirará para reflexiones adicionales sobre las interrelaciones entre la protección de datos personales y la seguridad.

El Reglamento, como se mencionó, introducirá diferentes reglas y obligaciones, dirigidas tanto al sector público como al privado. Además de una mayor claridad y simplicidad en términos de información y consentimiento, el intento del Reglamento (también llamado GDPR, Reglamento General de Protección de Datos) será garantizar una mayor protección a todos los ciudadanos de la Unión, aunque será posible que cada Estado se adapte de forma independiente a los contenidos del Reglamento. La ventaja de esta nueva legislación es que surge junto con otro instrumento, la denominada Directiva PNR (n. 680/2016) sobre las autoridades competentes a efectos de prevención, investigación, detección y persecución de delitos o ejecución de sanciones penales, orientadas a promover la circulación de datos personales entre las autoridades de seguridad. Una vez más la institución asignada para llevar a cabo esta tarea será el Garante de Privacidad, que se convierte en una verdadera Autoridad Nacional de Supervisión. En este sentido, no es de extrañar el reciente protocolo suscrito entre la Autoridad y el DIS en el marco de una mayor seguridad para la República (v.link). Ahora veamos juntos los puntos clave de 5 de la nueva legislación, que ciertamente impactarán, con las atenuaciones y peculiaridades necesarias, también para el Sistema de Defensa:

1) Introdujo el concepto de "responsabilidad" del propietario (Responsabilidad)

Con el GDPR, se requiere el controlador de datos (la persona física o jurídica que solo o junto con otros determina los propósitos y las herramientas del procesamiento de datos personales) para dar un paso hacia una mayor responsabilidad hacia los sujetos de datos (los sujetos a a los que se refieren los datos personales procesados). En particular, el Controlador de Datos está obligado a documentar todas las opciones, activas u omisivas, con respecto a las actividades de procesamiento: las decisiones relacionadas con la seguridad de los datos, la preservación, la protección de los derechos de los interesados ​​y el análisis de datos se incluyen en esta lógica. riesgos para los derechos y libertades del individuo, a fin de generar un mecanismo de recompensa hacia los titulares virtuosos sobre estos temas y penalizar con mayor grado de responsabilidad a los titulares más descuidados.

2) Obligación de informar a la Autoridad en caso de violación de datos personales (violación de datos)

El GDPR introduce la obligación de comunicar las infracciones de datos personales a todos los controladores de datos personales de procesamiento de datos. Incluso los organismos públicos, además de las empresas, deben notificar con prontitud al garante de cualquier violación de los datos personales de las partes interesadas. Tenga en cuenta que para la "violación de datos personales", las regulaciones significa una violación de la seguridad que provoque la destrucción accidental o ilícita, la pérdida, alteración, divulgación o acceso no autorizado a los datos personales transmitidos, almacenados o de otra manera tratada. Ni que decir tiene que incluso el simple acceso y la visualización corresponden pacíficamente a una violación de datos, mientras que para las acciones con menos impacto, como el escaneo de puertos, no hay indicaciones específicas hasta la fecha. Entre las prescripciones previstas en el art. 34 la GDPR, la norma de referencia en la violación de datos, que forma un período de notificación de 72h desde el momento en que el titular tenga conocimiento de la infracción, dentro de los cuales deben ser comunicados violación específica de la Autoridad: en casos graves , esta obligación también se extenderá a aquellos involucrados en el procesamiento.

3) Protecciones específicas para los datos personales de los afectados por tratamientos basados ​​en decisiones automatizadas

Con el nuevo Reglamento, el interesado debe tener derecho a no ser sometido a una decisión que pueda incluir una medida que evalúe aspectos personales relacionados con él, que se base únicamente en un tratamiento automatizado y que produzca efectos jurídicos que le afecten o afecten. de manera análoga en su persona. Este tratamiento incluye la "elaboración de perfiles", que consiste en una forma de tratamiento automatizado de datos personales que evalúa aspectos personales que conciernen a una persona física, en particular con el fin de analizar o predecir aspectos relacionados con el desempeño profesional, situación económica, salud, preferencias o intereses personales, confiabilidad o comportamiento, ubicación o movimientos del interesado, cuando esto produzca efectos legales que le incumban o afecten de manera similar de manera significativa a su persona. No obstante, deben permitirse decisiones basadas en dicho tratamiento, incluida la elaboración de perfiles, si así lo establece expresamente la legislación de la Unión o de los Estados miembros a los que está sujeto el responsable del tratamiento, incluso con fines de seguimiento y prevención del fraude. y la evasión fiscal de acuerdo con los reglamentos, normas y recomendaciones de las instituciones de la Unión o de los organismos nacionales de supervisión y para garantizar la seguridad y fiabilidad de un servicio prestado por el responsable del tratamiento, o si es necesario para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento, o si el interesado ha dado su consentimiento explícito. En cualquier caso, dicho procesamiento debe estar sujeto a las salvaguardas adecuadas, que deben incluir información específica al interesado y el derecho a obtener la intervención humana, a expresar su opinión, a obtener una explicación de la decisión tomada después de dicha evaluación y a desafiar la decisión. Esta medida no debe afectar a un menor. Tenga en cuenta que esta suposición también y sobre todo sería cierta con referencia a las posibles decisiones que una IA (Inteligencia Artificial) podría tomar para evaluar, por ejemplo, la seguridad de un lugar o el peligro de un individuo (sabemos que hoy, algoritmos como esta dirigida a prevenir el crimen - cd Pre-Crimen - son realidad).

4) Obligación de realizar una evaluación de impacto en la protección de datos personales (DPIA)

Está previsto en el art. 35 del Reglamento de la exigencia de los titulares o gestores de llevar a cabo una evaluación del impacto sobre la protección de datos personales, llamado (Protección de Datos de Evaluación de Impacto) "DPIA", cuyo objetivo es mapear los riesgos -respetar se contempla para un tratamiento- derechos y libertades de los interesados. DPIA es un procedimiento particularmente complejo, con especificaciones técnicas extremadamente estrictas. Debe completarse cuando un tipo de tratamiento, donde prevé en particular el uso de nuevas tecnologías, teniendo en cuenta la naturaleza, el objeto, el contexto y los fines del tratamiento, puede presentar un alto riesgo para los derechos y libertades de las personas físicas . Una evaluación única también puede examinar un conjunto de tratamientos similares que presentan riesgos similares. Hay varios casos de DPIA obligatorio, los cuatro impactan en términos de protección de la seguridad pública:

(a) cuando se lleva a cabo una evaluación sistemática y completa de los aspectos personales relacionados con las personas físicas, basados ​​en el procesamiento automatizado, incluida la elaboración de perfiles, y en los que se basan las decisiones que tienen efectos jurídicos o afectan significativamente a dichas personas;

b) cuando se trata, a gran escala, de categorías particulares de datos personales (por ejemplo, sobre salud, opiniones políticas, convicciones religiosas, etc.) o datos judiciales

(c) cuando se lleva a cabo una vigilancia sistemática a gran escala de un área de acceso público.

5) presentó oficialmente la nueva figura del Oficial de Protección de Datos (DPO)

Finalmente, el Reglamento introduce la nueva figura del DPO, Delegado de Protección de Datos. Se trata a todos los efectos de un responsable de la protección de datos (también traducido al italiano) que, entre sus tareas, tiene que garantizar la corrección - en términos de privacidad - la seguridad de los datos constante y actualizada y el cumplimiento de Entidad / Empresa del RGPD.

Tenga en cuenta que, para los organismos públicos, esta cifra es obligatoria y debe poder informar directamente a la cumbre de gestión.

(foto: US DoD)