25年2018月2016日に、新しいEU規則679/XNUMXがすべての欧州連合諸国に直接適用されます。 これは、個人の権利と自由のセキュリティを強化することを目的とした、個人データの保護の観点から見た真の歴史的転換点です。 具体的な結果が出るのを待つ間、個人データの保護とセキュリティの相互関係についてさらに考察するためのインスピレーションを引き出すためのいくつかの「ピル」が提示されます。
前述のように、この規則は、公的部門と民間部門の両方を対象としたさまざまな規則と義務を導入します。 情報と同意に関するより明確で単純なことに加えて、規則の試み(別名GDPR、 一般的なデータ保護規則)各州が規則の内容に独立して適応することは可能ですが、連合のすべての市民の保護を強化することです。 この新しい法律の利点は、犯罪の防止、調査、検出、訴追、または刑事制裁の実行を目的とした管轄当局に関する別の文書、いわゆるPNR指令(n。680/ 2016)と一緒に出されることです。セキュリティ当局間の個人データの流通。 この場合も、このタスクを実行するために任命された機関はプライバシー保証人になり、これが実際の国家監督機関になります。 この意味で、共和国のセキュリティ強化の枠組みの中で当局とDISの間で署名された最近の議定書は、予想外ではありません(v.link)。 ここで、新しい法律の5つの重要なポイントをまとめて見てみましょう。これらは、防衛システムにも影響を及ぼします。
1)所有者の「説明責任」の概念を導入しました(説明責任)
GDPRでは、データ管理者(単独で、または他の人と一緒に個人データの処理の目的とツールを決定する自然人または法定人)が、利害関係者(対象者)の前でより大きな説明責任に向けた一歩を踏み出すことを求めています。処理される個人データが参照する)。 特に、データ管理者は、処理活動に関して、積極的または不作為のすべての選択を文書化する義務があります。データのセキュリティ、保存、利害関係者の権利の保護、およびデータの分析に関する決定は、このロジックに含まれます。これらの問題について善良な所有者に報酬メカニズムを生み出し、最も不注意な所有者に大きな責任を負わせるために、個人の権利と自由に対するリスク。
2)個人データの侵害(データ侵害)が発生した場合に当局に報告する義務
GDPRは、個人データのすべてのデータ管理者の個人データの違反を通知する義務を導入します。 公的機関および企業は、利害関係者の個人データの違反について、保証機関に迅速に通知する必要があります。 「個人データの侵害」とは、偶発的または違法に送信、保存、またはその他の方法で送信、保存、またはその他の方法で個人データの破壊、紛失、変更、不正開示、またはアクセスを伴うセキュリティ違反を意味することに注意してください。扱われます。 したがって、言うまでもなく、単なるアクセスと視覚化でさえデータ侵害に平和的に対応しますが、ポートスキャンなどの影響の少ないアクションについては、現時点では具体的な兆候はありません。 アートに定められた規定の中で。 GDPRの34、データ違反に関する参照基準。データ管理者が違反に気付いた瞬間から72時間の通知期間を含み、その範囲内で違反の一部の仕様を当局に伝達する必要があります。最も深刻な場合、この義務はデータ主体にも拡大されます。
3)自動決定に基づく処理からのデータ主体の個人データに対する特定の保護手段
新しい規則では、利害関係者は、自動処理のみに基づいており、利害関係者に影響を与える法的効果を生み出す、利害関係者に関連する個人的側面を評価する措置を含む可能性のある決定を受けない権利を有する必要があります。彼の人に似た方法。 この治療には「プロファイリング」が含まれます。これは、特に職業上の業績、経済状況、健康に関する側面を分析または予測するために、自然人に関する個人的な側面を評価する個人データの自動処理の形式で構成されます。好みや個人的な興味、信頼性や行動、利害関係者の場所や動き。これにより、彼に関係する、または同様に彼の人に重大な影響を与える法的効果が生じます。 ただし、プロファイリングを含むこのような処理に基づく決定は、詐欺の監視および防止の目的を含め、データ管理者が従う連合または加盟国の法律によって明示的に規定されている場合は許可されるべきです。連合機関または国の監督機関の規制、基準および推奨事項に従い、データ管理者が提供するサービスの安全性と信頼性を保証するため、または結論に必要な場合、またはデータ主体とデータ管理者の間の契約の履行、またはデータ主体が明示的な同意を与えた場合。 いずれにせよ、そのような処理は、データ主体への特定の情報と人間の介入を取得する権利、意見を表明する権利、そのような評価後に達した決定の説明を取得する権利を含む適切な保護措置の対象となる必要があります。決定に異議を唱える。 この措置は未成年者に関係するべきではありません。 この仮定は、AI(人工知能)が場所の安全性や個人の危険性を評価するために取る可能性のある決定に関しても、とりわけ有効であることに注意してください(今日、これは犯罪を防ぐことを目的としています-cd 犯罪前 -現実です)。
4)個人データ保護影響評価(DPIA)を実施する義務
それは芸術で提供されています。 規則の35、個人データの保護に関する影響評価、いわゆる「DPIA」(データ保護影響評価)を実行するデータ管理者または管理者の義務。これは、治療に関して、予想されるリスクをマッピングすることを目的としています。データ主体の権利と自由。 DPIAは特に複雑な手順であり、非常に厳しい技術仕様があります。 処理の性質、目的、状況、目的を考えると、ある種の処理が特に新しいテクノロジーの使用を伴う場合、個人の権利と自由に高いリスクをもたらす可能性がある場合に実行する必要があります。 。 単一の評価では、同様の高いリスクを示す一連の同様の治療法を調べることもできます。 必須のDPIAにはいくつかのケースがあり、XNUMXつすべてが公共の安全を保護するという観点から影響を及ぼします。
a)プロファイリングを含む自動処理に基づいて、自然人に関連する個人的側面の体系的かつグローバルな評価が実行され、法的効果があるか、または同様に自然人に重大な影響を与える決定に基づいている場合。
b)特定のカテゴリーの個人データ(健康、政治的意見、宗教的信念など)または司法データの大規模な処理が行われる場合
c)一般の人々がアクセスできる地域の大規模な体系的監視が実施される場合。
5)データ保護責任者(DPO)の新しい人物を正式に紹介しました
最後に、規則はDPOの新しい人物であるデータ保護責任者を紹介します。 これは、データ保護の責任者(イタリア語にも翻訳されています)のすべての意図と目的に対して、彼のタスクの中で、プライバシーの観点から、一定の更新されたデータセキュリティとコンプライアンスの正確さを保証する必要があります。 GDPRに対するエンティティ/会社。
公的機関の場合、この数値は必須であり、トップマネジメントに直接報告できる必要があることに注意してください。
(写真:米国防総省)
