Han pasado seis meses desde la aplicación completa del GDPR, la legislación europea sobre protección de datos personales.
Los impactos que el Reglamento (a los que han tenido que adaptarse los organismos públicos y privados desde 2016, año de su entrada en vigor) son ahora conocidos, en particular con respecto a la gestión de la seguridad: el enfoque preceptivo de la última legislación (lista de comprobación de medidas mínimas a respetar., medidas adecuadas et similia) da paso a un enfoque basado en el riesgo, según el cual el controlador de datos y el procesador de datos "implementar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta el estado de la técnica y los costos de implementación, así como la naturaleza, el propósito, el contexto y el propósito del procesamiento, así como la Riesgo de variar la probabilidad y la gravedad de los derechos y libertades de las personas físicas..
Sin embargo, tras este primer período de aplicación, conviene preguntarse qué ha cambiado realmente y cuál es la "temperatura" percibida en Europa y, más generalmente en el resto del mundo, con respecto al tema de la protección de datos personales.
Precisamente con respecto a este último perfil, debe decirse que el GDPR en realidad está logrando indirectamente una de las expectativas para las que nació, a saber, convertirse en un estándar compartido a nivel mundial. Numerosos terceros países en comparación con los de la Unión, incluso para tratar de aumentar el nivel de sus políticas regulatorias contra el poder de los Estados Unidos y China en términos del mercado vinculado al mundo de la tecnología y la web, han adoptado enfoques regulatorios inspirados en el GDPR o en algunos casos totalmente parametrizado en él.
Incluso entre el OTT, el "sobre la parte superior", Hay quienes han decidido, probablemente también por motivos relacionados con la estrategia empresarial, invocar públicamente un RGPD" federal "para EE. UU., Reafirmando la confidencialidad como un derecho humano fundamental (un factor que con demasiada frecuencia tiende a olvidarse ) y no como un elemento más de la persona a monetizar.
Hay otros aspectos que, por razones técnicas y de sitio, no es posible ni útil abordar esta pequeña reflexión: la concientización, el diálogo sobre el tema de la seguridad de la información, la capacitación y la reorganización de los procesos de negocios son solo algunos de los aspectos para los cuales GDPR ha proporcionado inspiración a nivel nacional y europeo. En comparación con los últimos veinte años, parcial o en algunos casos la inmovilidad total, el escenario está cambiando.
Vale la pena, sin embargo, pasar unas pocas palabras ahora en el segundo perfil, es decir, en otras palabras: ¿qué falta?
La mala noticia es que lo que acabamos de ver está lejos de ser suficiente. Falta algo, y de hecho, especialmente en Italia, mucho más que algo.
Sin cambiar demasiado el problema y reanudar las ideas compartidas con otros expertos en el campo, durante seis meses, la situación se mantuvo sin cambios: la falta total de una cultura seria de seguridad, tanto a nivel político como gerencial.
El último caso emblemático de esta ausencia, en cierto modo incómodo y desconcertante al mismo tiempo, fue el que ocurrió hace unos días (leer articulo), cuando se dio a conocer la violación de 500 mil cuentas de correo electrónico certificadas, algunas de las cuales (alrededor de 9 mil) pertenecen a magistrados y muchas otras (alrededor de 98 mil) vinculadas al Comité Interministerial para la seguridad de la República. La noticia fue seguida de un breve alboroto, unas acciones que yo definiría prehistóricas y habituales ("cambiar contraseña") y algunas respuestas (algunas, decididamente fuera de lugar, meramente irónicas) para luego volver paulatinamente al olvido al que están destinadas históricamente y las noticias. hechos, incluso graves, sobre los temas de confidencialidad de la información y su seguridad.
Sin entrar en los méritos y obviamente dejar a quienes deben las importantes investigaciones que se espera que logren este hecho, no se necesitan muchas otras palabras para describir el estado de gran incertidumbre en Italia: los que se ocupan del tema de seguridad a menudo tienen "Manos atadas" por años de omisiones y deficiencias, y ciertamente este no es el momento de las recriminaciones, siempre que se pueda decir que son legítimas.
Aquí, sin embargo, que lo que falta (a pesar de una herramienta fuerte bajo el perfil jerárquico-regulatorio como es el GDPR), lo que no hemos visto en estos seis meses y lo que no paramos de esperar suceda por el bien de todo el país y del su tejido social, público y empresarial, es que las Autoridades competentes en la materia apoyen y capaciten adecuadamente a los operadores del sector, y velen por que los estándares (realmente mínimos, dada la situación crítica en la que nos encontramos) de rendición de cuentas y abordaje de los riesgos planteados se respeta plenamente el reglamento, interactuando e imponiendo, en su caso, las sanciones y las respuestas decididas que el propio Reglamento reconoce.
Hay una operación a gran escala que se llevará a cabo en este país en el campo de la formación y la cultura de seguridad, y continuar posponiendo su lanzamiento por falta de comprensión del tema conducirá a una brecha cada vez mayor entre la realidad y la percepción del tema en Italia. , hasta que, a pesar de nosotros mismos, esta brecha se amplía tanto que constituye la regla, también y sobre todo con respecto al resto de Europa. Por último, conviene recordar que la ausencia total de inversiones concretas y orientadas en seguridad en relación con un tejido industrial que mayoritariamente se ve obligado a manejar -sin los fondos adecuados- contribuye a empeorar el panorama general. de alto valor y fuerte vulnerabilidad de forma completamente arbitraria e improvisada.
Unas pocas palabras: tenemos que empezar a cambiar, y también con urgencia.
(foto: web / Fuerza Aérea de EE. UU.)
