Cîți dintre noi și-ar cumpără un autoturism dacă ar ști că este construit așa după cum se dezvoltă software-ul? Dar o casă? Cum ar fi dacă nici un producător din exemplele de mai sus nu ar plăti pentru „utilizatorului„ pentru erorile/greșelile existente în produs?

Nu știu ca pînă la momentul promulgării GDPR să fi apărut o altă cerință care să impună securitatea datelor personale „by design and by default„. Cred că nu va trece mult timp și vom avea cerințe care să vizeze nu doar securitatea datelor personale ci a tuturor datelor: „security by design and by default„. Deocamdată, cam toți termenii de licențiere software conțin aceeași exprimare: „use on your own risk„.

atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine, pune în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele prezentului regulament și a proteja drepturile persoanelor vizate.

(2)   Operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Respectiva obligație se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare și accesibilității lor. În special, astfel de măsuri asigură că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane.

Cerința de mai sus poate fi reformulată astfel: organizațiile trebuie să construiască securitatea datelor personale direct în tehnologie/aplicație/sistem, practicile de lucru încă din faza de proiectare:

Atunci când elaborează, proiectează, selectează și utilizează aplicații, servicii și produse care se bazează pe prelucrarea datelor cu caracter personal sau care prelucrează date cu caracter personal pentru a-și îndeplini rolul, producătorii acestor produse și furnizorii acestor servicii și aplicații ar trebui să fie încurajați să aibă în vedere dreptul la protecția datelor la momentul elaborării și proiectării unor astfel de produse, servicii și aplicații și, ținând cont de stadiul actual al dezvoltării, să se asigure că operatorii și persoanele împuternicite de operatori sunt în măsură să își îndeplinească obligațiile referitoare la protecția datelor. Principiul protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor ar trebui să fie luate în considerare și în contextul licitațiilor publice.

După cum am spus mai sus, pînă la momentul GDPR nu a existat o astfel de cerință transpusă într-o reglementare. S-a regăsit doar la nivel de cadre de referință sau bune practici/principii chiar din anii 90.

Vă aduceți aminte de „1984„ de George Orwell? Dacă acceptăm că „protecția datelor personale„/privacy a murit, ar trebui să acceptăm că libertatea individuală a murit. Este doar un mit susținerea că „protecția datelor personale este o piedică în calea dezvoltării„.