Ce trebuie să înțelegem prin ”Data protection by design and by default”?

Opinii (de , October 6, 2017)

Iată un concept nou integrat în GDPR, dar destul de controversat, nu atât prin claritatea demersului – confidențialitatea se află în centrul tuturor politicilor de procesare a datelor personale, cât prin ambiguitatea punerii în practică, respectiv a tehnicilor și procedurilor ce trebuie abordate, înainte – nu după.

Ce este “confidențialitatea prin design”?

Confidențialitatea prin design este o abordare a proiectelor care promovează respectarea vieții private și protecția datelor încă de la început. Din nefericire, aceste aspecte sunt de cele mai multe ori asumate ca o gândire ulterioară sau ignorate cu totul. Deși această abordare nu a fost o cerință a Directivei 46/ 95 , în noul Regulament UE 679-2016 ea va ajuta organizațiile să își respecte obligațiile care le revin în temeiul legislației.

GDPR încurajează organizațiile să se asigure că protecția vieții private și a datelor reprezintă un element-cheie în primele etape ale oricărui proiect și apoi pe tot parcursul ciclului său de viață. Exemple de astfel de proiecte sunt:

  • Implementarea de noi sisteme IT pentru stocarea sau accesarea datelor cu caracter personal;
  • elaborarea politici sau strategii care au implicații asupra vieții private;
  • lansarea unei inițiative de partajare a datelor;
  • folosirea datelor în alte scopuri decât cele inițiale.

Există un istoric

Ceea ce puțini știu este că ”Privacy by Design” este un concept care a fost dezvoltat încă de la sfârșitul anilor ’90 de către dr. Ann Cavoukian – comisarul pentru informare și protecția vieții private din Ontario, Canada. Confidențialitatea prin design avansează opinia că viitorul vieții private nu poate fi asigurat numai prin respectarea legislației și a cadrelor de reglementare, ci mai degrabă, asigurarea confidențialității trebuie să devină un mod de funcționare implicit al unei organizații.

Conceptul “Confidențialitatea prin design” folosește o abordare caracterizată prin măsuri proactive mai degrabă decât reactive. Ea anticipează și împiedică evenimentele invazive de confidențialitate înainte ca acestea să se întâmple. Nu așteaptă să se materializeze riscurile de confidențialitate și nici nu oferă remedii pentru soluționarea încălcărilor vieții private după ce au avut loc – ci are ca scop prevenirea apariției acestora.

7 principii fundamentale

Obiectivele de confidențialitate prin design – asigurarea protecției vieții private și obținerea controlului personal asupra informațiilor proprii și, pentru organizații, obținerea unui avantaj competitiv durabil – pot fi realizate prin adoptarea celor 7 Principii Fundamentale ale conceptului ”Privacy by Design”:

  1. Proactiv nu Reactiv – adică prevenire nu remediere. Se anticipează și se previn evenimentele invazive de confidențialitate înainte ca acestea să se întâmple;
  2. Abordare implicită – se urmărește asigurarea unui nivel maxim de confidențialitate, asigurând protecția automată a datelor cu caracter personal în orice sistem IT sau practică de afaceri;
  3. Încorporată în design – prin incorporarea în proiectarea și arhitectura sistemelor informatice și a practicilor de afaceri, confidențialitatea devine o componentă esențială a funcțiilor de bază, parte integrantă a sistemului;
  4. Funcționalitatea completă – urmărește să adapteze toate interesele și obiectivele legitime într-o manieră profitabilă cu însumare pozitivă, nu printr-o abordare care pleacă de la valoarea zero, în cazul în care se fac compromisuri inutile;
  5. Securitatea end-to-end – protecția completă pe întreg ciclul de viață. Toate datele sunt păstrate în siguranță și apoi distruse în siguranță la sfârșitul procesului, în timp util;
  6. Vizibilitate și transparență – indiferent de practica comercială sau tehnologia implicată, sunt respectate toate promisiunile și obiectivele menționate, care pot fi supuse verificării independente;
  7. Respectarea confidențialității utilizatorilor – arhitecții și operatorii trebuie să protejeze interesele individului, plasând confidențialitatea individului în centrul oricărui sistem informatic.

Beneficiile adoptării unei abordări “confidențialitate prin design”

Pe scurt, confidențialitatea prin design vine înainte de fapt, nu după. Aceste au fost premisele pentru care Comisia Europeană a ales să incorporeze conceptul de ”Privacy by Design” sub forma Articolului 25 din GDPR.

Designul proiectelor, proceselor, produselor sau a sistemelor, pornind de la premisa de intimitate și confidențialitate, poate duce la beneficii care includ:

  • Problemele potențiale sunt identificate într-un stadiu incipient, când abordarea acestora va fi mai simplă și mai puțin costisitoare;
  • Creșterea gradului de conștientizare a vieții private și a protecției datelor într-o organizație;
  • Organizațiilor le este mai ușor să-și îndeplinească obligațiile legale, reducând riscurile legate de nerespectarea legislației privitoare la protecția datelor;
  • Scade considerabil probabilitatea ca acțiunile să fie invazive și să aibă un impact negativ asupra deținătorilor de date personale.

Tehnici folosite la protecția datelor prin design și implicit

Conform Articolului 25 din GDPR, operatorii de date personale au obligația de a implementa măsuri tehnice și organizatorice adecvate, precum:

  • Alegerea doar a datelor strict necesare pentru scopul procesării;
  • Optimizarea cantității de date colectate, în funcție de amploarea prelucrării;
  • Stabilirea perioadei minim necesare pentru depozitarea datelor;
  • Nivelul de accesibilitate la aceste date: stabilirea de norme și proceduri clare privitoare la personalul implicat;

Aplicarea unor tehnici precum pseudonimizarea, anonimizarea și minimizarea frecvent folosite în protecția datelor prin design.


Tags:

Trackbacks

Leave a Trackback