25 Mei 2018 akan langsung berlaku di semua negara UE, Peraturan UE 2016 / 679 yang baru. Ini adalah titik balik historis nyata dalam hal perlindungan data pribadi, yang bertujuan untuk menjamin keamanan yang lebih besar untuk hak dan kebebasan individu. Menunggu untuk melihat hasil konkret, beberapa "pil" akan disajikan dari mana untuk menarik inspirasi untuk refleksi lebih lanjut tentang hubungan timbal balik antara perlindungan data pribadi dan keamanan.
Peraturan tersebut, sebagaimana disebutkan, akan memperkenalkan berbagai aturan dan kewajiban, yang ditujukan kepada sektor publik dan swasta. Selain kejelasan dan kesederhanaan yang lebih besar dalam hal informasi dan persetujuan, upaya Regulasi (juga disebut GDPR, Peraturan Perlindungan Data Umum) akan memastikan perlindungan yang lebih besar bagi semua warga negara Perhimpunan, meskipun setiap Negara dapat beradaptasi secara independen terhadap isi Regulasi. Keuntungan dari undang-undang baru ini adalah untuk keluar bersama dengan instrumen lain, yang disebut Instruksi PNR (No. 680/2016) tentang otoritas yang berwenang untuk tujuan pencegahan, penyelidikan, deteksi dan penuntutan kejahatan atau eksekusi sanksi pidana, yang bertujuan untuk mempromosikan sirkulasi data pribadi antara Otoritas Keamanan. Sekali lagi, lembaga yang ditunjuk untuk melaksanakan tugas ini adalah Penjamin Privasi, yang menjadi Badan Pengawas Nasional yang sebenarnya. Dalam pengertian ini, protokol terbaru yang ditandatangani antara Otoritas dan DIS dalam konteks keamanan yang lebih besar untuk Republik tidak terduga (v.link). Sekarang mari kita simak bersama-sama poin-poin penting 5 dari undang-undang baru ini, yang pasti akan berdampak - dengan faktor-faktor dan kekhasan yang meringankan yang diperlukan - juga untuk Sistem Pertahanan:
1) Memperkenalkan konsep "tanggung jawab" Pemilik (Akuntabilitas)
Dengan GDPR, Pengontrol Data (orang alami atau badan hukum yang sendiri atau bersama-sama dengan orang lain menentukan tujuan dan alat pemrosesan data pribadi) diperlukan untuk mengambil langkah menuju akuntabilitas yang lebih besar di depan pihak yang berkepentingan (subjek yang akan merujuk pada data pribadi yang diproses). Khususnya, Pengontrol Data berkewajiban untuk mendokumentasikan semua pilihannya, aktif atau omissive, sehubungan dengan kegiatan pemrosesan: keputusan mengenai keamanan data, konservasi, perlindungan hak-hak subyek data dan analisis data dimasukkan dalam logika ini. risiko untuk hak dan kebebasan individu, sehingga menghasilkan mekanisme hadiah bagi pemilik yang saleh dalam masalah ini dan menghukum Pemilik yang lebih ceroboh dengan tingkat tanggung jawab yang lebih besar.
2) Kewajiban untuk melaporkan kepada Otoritas jika terjadi pelanggaran data pribadi (pelanggaran data)
GDPR memperkenalkan kewajiban untuk mengungkapkan pelanggaran data pribadi kepada semua pemegang pemrosesan data pribadi. Badan publik, selain perusahaan, harus segera memberi tahu Otoritas Penjamin atas setiap pelanggaran data pribadi pihak yang berkepentingan. Perhatikan bahwa untuk "pelanggaran data pribadi", Peraturan ini berarti pelanggaran keamanan yang secara tidak sengaja atau ilegal melibatkan penghancuran, kehilangan, modifikasi, pengungkapan yang tidak sah atau akses ke data pribadi yang dikirimkan, disimpan atau sebaliknya. diperlakukan. Karena itu tidak perlu dikatakan bahwa bahkan akses dan tampilan semata-mata sesuai dengan pelanggaran data, sementara untuk tindakan yang kurang berdampak - seperti misalnya pemindaian port - tidak ada indikasi spesifik seperti saat ini. Di antara resep yang disediakan untuk bidang ini. 34 GDPR, standar referensi tentang pelanggaran data, termasuk tenggat waktu pemberitahuan 72h sejak saat Pemilik mengetahui pelanggaran, di mana diperlukan spesifikasi pelanggaran tertentu untuk dikomunikasikan kepada Otoritas: dalam kasus yang paling serius , kewajiban ini juga akan diperpanjang untuk mereka yang tertarik dalam pemrosesan.
3) Perlindungan khusus untuk data pribadi mereka yang terpengaruh oleh pemrosesan berdasarkan keputusan otomatis
Dengan Peraturan baru, pihak yang berkepentingan seharusnya memiliki hak untuk tidak dikenakan keputusan yang mungkin mencakup tindakan yang mengevaluasi aspek pribadi yang terkait dengannya, yang hanya didasarkan pada pemrosesan otomatis dan yang menghasilkan dampak hukum yang memengaruhi atau memengaruhinya. cara analog pada orangnya. Pemrosesan ini mencakup "pembuatan profil", yang terdiri dari bentuk pemrosesan otomatis data pribadi yang mengevaluasi aspek pribadi mengenai orang perorangan, khususnya untuk menganalisis atau memprediksi aspek yang berkaitan dengan kinerja profesional, situasi ekonomi, kesehatan, preferensi atau kepentingan pribadi, keandalan atau perilaku, lokasi atau pergerakan pihak yang berkepentingan, di mana hal ini menghasilkan akibat hukum yang menjadi perhatiannya atau secara signifikan memengaruhi pribadinya. Namun, keputusan atas dasar pemrosesan tersebut, termasuk pembuatan profil, harus diizinkan jika hal ini secara tegas diatur oleh hukum Uni atau Negara Anggota yang menjadi sasaran pengontrol data, termasuk untuk tujuan memantau dan mencegah penipuan. dan penggelapan pajak sesuai dengan peraturan, standar dan rekomendasi dari lembaga Union atau badan pengawas nasional dan untuk menjamin keamanan dan keandalan layanan yang disediakan oleh pengontrol data, atau jika diperlukan untuk kesimpulan atau pelaksanaan kontrak antara subjek data dan pengontrol data, atau jika subjek data telah memberikan persetujuan eksplisitnya. Bagaimanapun, pemrosesan tersebut harus tunduk pada pengamanan yang memadai, yang harus mencakup informasi spesifik untuk subjek data dan hak untuk mendapatkan campur tangan manusia, untuk mengungkapkan pendapat seseorang, untuk mendapatkan penjelasan tentang keputusan yang diambil setelah evaluasi tersebut dan untuk menantang keputusan tersebut. Tindakan ini tidak boleh menyangkut anak di bawah umur. Perhatikan bahwa asumsi ini juga akan dan di atas segalanya berlaku dengan mengacu pada kemungkinan keputusan yang dapat diambil oleh AI (Artificial Intelligence) untuk mengevaluasi - misalnya - keamanan tempat atau bahaya individu (kita tahu bahwa hari ini, algoritme seperti ini bertujuan untuk mencegah kejahatan - cd Pre-Kejahatan - mereka adalah kenyataan).
4) Kewajiban untuk melakukan penilaian dampak pada perlindungan data pribadi (DPIA)
Ini diramalkan dalam bidang ini. 35 dari Peraturan kewajiban bagi pemilik atau manajer untuk melakukan Penilaian Dampak pada perlindungan data pribadi, yang disebut "DPIA" (Penilaian Dampak Perlindungan Data), yang bertujuan memetakan risiko yang mungkin dipertimbangkan - sehubungan dengan perawatan - untuk hak dan kebebasan subyek data. DPIA adalah prosedur yang sangat kompleks, dengan spesifikasi teknis yang sangat ketat. Itu harus dilakukan ketika jenis perawatan, khususnya ketika melibatkan penggunaan teknologi baru, mengingat sifat, objek, konteks dan tujuan pemrosesan, dapat menghadirkan risiko tinggi untuk hak dan kebebasan individu. . Penilaian tunggal juga dapat memeriksa serangkaian perawatan serupa yang menghadirkan risiko tinggi yang serupa. Ada beberapa kasus DPIA wajib, keempatnya berdampak dalam hal melindungi keamanan publik:
a) ketika penilaian sistematis dan global terhadap aspek-aspek pribadi yang berkaitan dengan orang perseorangan dilakukan, berdasarkan pada pemrosesan otomatis, termasuk pembuatan profil, dan yang mendasari keputusan yang memiliki efek hukum atau memiliki dampak yang serupa pada orang alami tersebut;
b) ketika memproses, dalam skala besar, kategori khusus data pribadi (misalnya kesehatan, pendapat politik, kepercayaan agama, dll.) atau data peradilan dilakukan
c) ketika dilakukan pengawasan sistematis skala besar terhadap suatu wilayah yang dapat diakses oleh publik.
5) Secara resmi memperkenalkan sosok baru dari Data Protection Officer (DPO)
Terakhir, Regulasi memperkenalkan sosok baru DPO, Petugas Perlindungan Data. Ini untuk semua maksud dan tujuan orang yang bertanggung jawab atas perlindungan data (juga diterjemahkan ke dalam bahasa Italia) yang, di antara tugasnya, harus memastikan kebenaran - dalam hal privasi - keamanan dan kepatuhan data yang konstan dan diperbarui Entitas / Perusahaan ke GDPR.
Perhatikan bahwa, untuk badan publik, angka ini wajib dan harus dapat melaporkan langsung ke manajemen puncak.
(foto: US DoD)
