GDPR explicitat (9): Data protection by design and by default

AU MAI RĂMAS 246 de zile!

În cadrul GDPR, aveți obligația generală de a implementa măsuri tehnice și organizatorice care să arate că ați luat în considerare și că integrați protecția datelor în activitățile dvs. de procesare. Confidențialitatea prin design este o abordare care a fost de mult timp și va fi întotdeauna o cerință implicită a principiilor pe care toți operatorii de date personale și le asumă în mod constant.  

“Design is a funny word. Some people think design is how it looks. But of course, if you dig deeper, it’s really how it works.”  Steve Jobs

Ce este “confidențialitatea prin design”?

Confidențialitatea prin design este o abordare a proiectelor care promovează respectarea vieții private și protecția datelor încă de la început, de la proiectarea bazelor de date și a sistemelor de calcul. Din nefericire, în practică s-a văzut că aceste  aspecte sunt de cele mai multe ori asumate ca o gândire ulterioară sau ignorate cu totul. Deși această abordare nu a fost o cerință esențială a Legii privind protecția datelor, prin includerea sa distinctă în noul Regulament, ea va ajuta organizațiile să își respecte obligațiile care le revin în temeiul legislației.

GDPR încurajează organizațiile să se asigure că protecția vieții private și a datelor reprezintă un element-cheie în primele etape ale oricărui proiect și apoi pe tot parcursul ciclului său de viață. Iată câteva exemple:

  • crearea de noi sisteme IT pentru stocarea sau accesarea datelor cu caracter personal;
  • elaborarea de reguli, politici sau strategii care au implicații asupra vieții private;
  • lansarea unei inițiative de partajare a datelor;
  • folosirea seturilor de date pentru alte scopuri, decât cele avute în vedere inițial.

Beneficiile adoptării unei abordări “confidențialitate prin design”

O abordare privind confidențialitatea prin design este în primul rând un instrument esențial în reducerea riscurilor de confidențialitate și de construire a încrederii. Designul proiectelor, proceselor, produselor sau sistemelor plecând de la premisa asigurării confidențialității încă de la început poate aduce beneficii care includ:

  • Problemele potențiale sunt identificate într-un stadiu incipient, când abordarea acestora va fi adesea mai simplă și mai puțin costisitoare;
  • Creșterea gradului de conștientizare a vieții private și a protecției datelor într-o organizație;
  • Organizațiile sunt mult mai probabil să-și îndeplinească obligațiile legale și mai puțin susceptibile de a încălca Legea privind protecția datelor;
  • Este puțin probabil ca acțiunile să fie invazive și să aibă un impact negativ asupra persoanelor.

”Ținând seama de stadiul actual al tehnicii, costul implementării și natura, scopul, contextul și scopurile prelucrării, precum și riscurile de variație a probabilității și gravității drepturilor și libertăților persoanelor fizice create de procesare, controlorul atât în momentul determinării mijloacelor de procesare, cât și în momentul procesării propriu-zise, pun în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, care sunt concepute pentru a pune în aplicare principiile de protecție a datelor, cum ar fi minimizarea datelor, o manieră eficientă și integrarea garanțiilor necesare în prelucrare pentru a îndeplini cerințele prezentului regulament și pentru a proteja drepturile persoanelor vizate.” GDPR, Articolul 25, Alineatul 1.

Conform Articolului 25, operatorii trebuie să adopte măsuri tehnice și organizatorice adecvate pentru a se asigura că, în mod implicit, sunt prelucrate numai datele cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Această obligație se aplică:

  • cantității de date cu caracter personal colectate
  • amplorii prelucrării acestora;
  • perioadei de stocare asumate;
  • accesibilității datelor personale.

Astfel de măsuri trebuie să garanteze în mod special faptul că, în mod prestabilit, datele cu caracter personal nu sunt accesibile fără intervenția unei persoanei fizice unui număr nedeterminat de persoane fizice. Cu alte cuvinte, toți operatorii trebuie să adopte reguli clare, bazate pe politici  de acces la datele cu caracter personal.

Nimic nou sub soare

Ceea ce se știe destul de puțin este că ”Privacy by Design” este un concept care a fost dezvoltat încă de la sfârșitul anilor ’90 de către dr. Ann Cavoukian – comisar pentru informare și protecția vieții private din Ontario, Canada. Confidențialitatea prin design avansează opinia că viitorul vieții private nu poate fi asigurat numai prin respectarea legislației și a cadrelor de reglementare. Asigurarea confidențialității trebuie să devină un mod de funcționare implicit al unei organizații. Cadrul “Confidențialitatea prin design” folosește o abordare caracterizată prin măsuri proactive mai degrabă decât reactive. Ea anticipează și împiedică evenimentele invazive de confidențialitate înainte ca acestea să se întâmple. Confidențialitatea prin design nu așteaptă să se materializeze riscurile de confidențialitate și nici nu oferă remedii pentru soluționarea încălcărilor vieții private după ce au avut loc. Ci are ca scop prevenirea apariției acestora. Pe scurt, confidențialitatea prin design vine înainte de fapte, nu după.

Seriozitatea, claritatea și mai ales larga capacitate de adopție a programului Privacy by Design a determinat Comisia Europeană să îl încorporeze ca abordare în Regulamentul general privind protecția datelor. Respectând această abordare, procesatorii de date și proiectanții de sisteme informatice pot să își elaboreze ofertele prin minimizarea datelor colectate și alegerea celor mai eficiente setări de protecție a datelor. Prin respectarea puternicului principiu al limitării scopului. Se garantează faptul că vor fi prelucrate numai datele necesare pentru furnizarea unui serviciu.

Cele 7 principii fundamentale ale confidențialității prin design

De la adoptarea acestei rezoluții internaționale, cele 7 principii fundamentale ale confidențialității prin design au fost traduse în 31 de limbi oficiale și s-au dovedit  o resursă valoroasă pentru organizații din întreaga lume..  Obiectivele de confidențialitate prin design – asigurarea protecției vieții private și obținerea controlului personal asupra informațiilor proprii și, pentru organizații, obținerea unui avantaj competitiv durabil – pot fi realizate prin respectarea celor 7 Principii Fundamentale:

  1. Proactiv nu Reactiv – Adică prevenire, nu remediu. Abordarea privind confidențialitatea prin design se caracterizează prin măsuri proactive mai degrabă decât reactive. Ea anticipează și împiedică evenimentele invazive de confidențialitate, înainte ca acestea să se întâmple. Confidențialitatea prin design nu așteaptă să se materializeze riscurile de confidențialitate și nici nu oferă remedii pentru soluționarea încălcărilor vieții private după ce acestea au avut loc. Are ca scop prevenirea apariției acestora. Pe scurt, confidențialitatea prin design vine înainte de fapte, nu după;
  2. Confidențialitatea ca setare implicită – Singurele care ne pot face să putem fi siguri de un lucru sunt regulile implicite! Confidențialitatea prin design urmărește să asigure un nivel maxim de confidențialitate, asigurând protecția automată a datelor cu caracter personal în orice sistem IT sau practică de afaceri. Dacă un individ nu face nimic, intimitatea lui rămâne în continuare intactă. Nu este necesară nicio acțiune din partea individului pentru a-și proteja confidențialitatea – aceasta este implicit protejată de sistem;
  3. Confidențialitatea încorporată în design – Astfel confidențialitatea este încorporată în designul și arhitectura sistemelor informatice și a practicilor de afaceri. Nu este poziționată ca un add-on. Doar așa confidențialitatea devine o componentă esențială a funcțiilor de bază furnizate. Confidențialitatea este parte integrantă a sistemului, fără a diminua funcționalitatea;
  4. Funcționalitatea completă – Se urmărește o adaptare a tuturor intereselor și obiectivelor legitime într-o manieră profitabilă de tip ”sumă pozitivă”, nu printr-o abordare de tip ”rezultat cumulat zero”, în cazul în care sunt adoptate compromisuri inutile. Confidențialitatea prin design evită pretenția unor dihotomii false, cum ar fi confidențialitatea vs. securitatea – demonstrând că este posibil să obținem
  5. Securitatea end-to-end – protecția completă, pe toată durata ciclului de viață. Confidențialitatea prin proiect, care a fost încorporată în sistem înainte de primirea primului element de informație, se extinde în mod sigur pe întreaga durată de viață a datelor implicate – garantând intimitate, de la început până la sfârșit. Acest lucru ne asigură că toate datele sunt păstrate în siguranță și apoi distruse în siguranță la sfârșitul procesului, în timp util.
  6. Vizibilitate și transparență – Confidențialitatea prin design urmărește să asigure toate părțile interesate că, indiferent de practica comercială sau tehnologia implicată, funcționează în conformitate cu promisiunile și obiectivele menționate, supuse verificării independente. Componentele și operațiunile sale rămân vizibile și transparente, atât pentru utilizatori, cât și pentru furnizori. Cu alte cuvinte ”Crede și ține minte, dar nu uita să și verifici…”
  7. Respectarea confidențialității utilizatorilor – Mai presus de toate, confidențialitatea prin proiectare cere arhitecților și operatorilor să protejeze interesele individului, oferind astfel de măsuri care susțin implicațiile puternice de confidențialitate, recomandă notificarea corespunzătoare și respectarea opțiunilor cele mai prietenoase pentru utilizator. Țineți-l pe utilizator de partea voastră.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready! În următorul material ne vom ocupa de instrumentele de autoevaluare privitoare la conformitatea cu GDPR

Articole anterioare:

 

Advertisements

About Radu Crahmaliuc
Independent IT&C analyst, GDPR advisor, digital transformation & Cloud computing evangelist, start-ups developer, freelancer, storyteller, events moderator & keynote speaker

One Response to GDPR explicitat (9): Data protection by design and by default

  1. Pingback: GDPR explicitat (10): Importanța evaluărilor de impact (DPIA) | cloud☁mania

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: