前の記事で示したように(より多くの)個人データの保護に関する新しいヨーロッパの法律が制定され、それに伴い、現在ヨーロッパ諸国で施行されているプライバシーシステム全体が革新されています。 しばらくの間、導入されたいくつかの革新に対応する解釈に関して、多かれ少なかれ信頼できる介入が行われてきましたが(治療記録、個人データの保護に関する影響評価、 データ保護オフィサー など)身体は今日発見されました-ほとんどの場合-すでに施行されている基本的な文書と組織の要件でさえ完全に準備されていません-プライバシーコードの下で-今XNUMX年間。 これは、によって行われた研究の結果によって確認されました センツィング、「GDPRコンプライアンスでミッシングリンクを見つける「何千もの企業に含まれるサンプルによると、イタリアの企業の半分(43%)が自分自身を宣言している」驚いた「他にも、GDPRに準拠していないために生じる義務や罰則について、単純で憂慮すべき知識がないことを示している人もいます。 多くの中で、これらの状況で最も重要で過小評価されているプロファイルはどれですか? もちろん、答えは簡単です。処理される個人データのセキュリティです。
既存のリスクの証拠を提供するために、公共および準公共の重要インフラ(テレフォニー、病院、輸送、エネルギーなど)に対する違反の現在の慢性的なニュースを読むだけでは十分ではありません。 国の起業家組織は、個人データによって生成された価値を、意識の欠如と責任の欠如のためだけに、また単にそれだけで分散させる危険を冒しています。 サイエンスフィクションの技術的な終末論を描かずに失うことには、セキュリティの欠如に直面し、自分の権利と自由の圧縮に気づかないかもしれない最終的に利害関係者(個人データが参照する人々)になるリスクがあります。 この意味で、セキュリティの側面を参照すると、GDPR(これは 一般的なデータ保護規則)アートに提案します。 32精神の完全な変化、実際の変化 スイッチ 文化。 以下が指定されています。 所有者、所有者の権利と自由の可能性と深刻さを変化させるリスクだけでなく、処理の性質、目的、状況、目的だけでなく、最先端の技術と実装コストを考慮に入れる適切な技術的および組織的対策を講じて、リスクに対する適切なレベルのセキュリティを確保します。
a)個人データの匿名化および暗号化。
b)処理システムおよびサービスの機密性、完全性、可用性、および回復力を永続的に保証する能力。
c)物理的または技術的な事故が発生した場合に、個人データの可用性とアクセスを迅速に復元する機能。
d)処理のセキュリティを保証するために、技術的および組織的対策の有効性をテスト、検証、および定期的に評価するための手順。
規制は、このように(芸術。25における説明責任の原則と一致)所有者のエンパワーメントにリアルタイムなどのセキュリティアプローチを確立し、それを多くの場合、企業によって採用された単純なアプローチを一掃するために、実際のショットをしようとしますリスク予防に関しては、単なる標準的な検査またはALLに存在する最小限の尺度のみを参照する(特定の戦略的重要性もある)。 立法令のB。 196 / 2003、以前のプライバシーコード。
この法律により、GDPRは、これまで規制および準規制行為によって特定されたセキュリティ対策(行政に関するAGIDガイドラインで制裁されたものなど)が消えなければならないことを伝えるつもりはありません。逆に、規制の目的データコントローラーのプロアクティブを生成することです。データコントローラーは、上記の責任の原則によって規定されたメカニズムに従って報酬と見なされます。 この意味で、規則はXNUMXつの基準を例として取り上げ、適切な場合にのみ採用することを提案しています。 特に、処理された個人データ(追加情報を使用せずに特定の個人を直接識別しない形式でデータを保存するプロセス)に関する仮名化手法の採用を検討し、根拠を確認することをお勧めします処理システムとサービスの永続的な機密性、完全性、可用性、回復力、災害復旧システムの採用、定期的なテスト手順の仮説を立てて、採用されたセキュリティ対策の効率を検証します。 このようにして、GDPRは実際のセキュリティプロセスを設計し、妥当なプロセスを保証できます。 セキュリティの焦点 所有者に。 さらに、ルールは、 「適切なレベルのセキュリティを評価する際、特に破壊、損失、変更、不正な開示またはアクセスから偶発的または違法に、治療に起因するリスクに特別な考慮が払われます送信、保存、またはその他の方法で処理された個人データ。 第40条で言及されている承認された行動規範または第42条で言及されている承認された認証メカニズムの遵守は、この記事の段落1で言及されている要件の遵守を示すための要素として使用できます。
したがって、特定のリスクの評価が必要であり、データ侵害、行動規範、個人データの違法な取り扱い、認証メカニズムなど、GDPRの他の規定との相乗効果でパラメーター化されます。 最後に、定義する正面の幅を指定します-直感的でしたが、「データ管理者とデータ処理者は、その権限の下で行動し、個人データにアクセスできる人が、データ管理者からの指示がない限り、そのようなデータを処理しないようにします。加盟諸国 "。 Il デウスエクスマキナ サイクル全体の自然に所有者であり、この意味で、相互に続く慣行と解釈によって決定される新しい開発が保留されている間、この予測はアカウンタビリティの原則と再び一致し、サプライチェーンの一部になるのを防ぐことを目的としていますセキュリティの脆弱性。
適切なセキュリティ対策は何ですか? セキュリティ部門でのコンプライアンスを確実にするために、各所有者はどの基準をやり直す必要がありますか? どのようなベストプラクティス?
規制の適用可能性の数日前には、これらは、国の生産性と中小企業の戦略分野の両方に疑問を投げかけている未解決の問題である。
