Cam de cîtă tehnologie este nevoie pentru a asigura protecția datelor personale? Am scris protecția datelor și nu conformitatea cu GDPR :). Conformitatea va fi rezultatul protecției.

Simplu spus, facem o evaluare de riscuri și de acolo rezultă exact ce ne mai trebuie. Prin urmare, răspunsul la întrebarea de la început diferă de la caz la caz.

Doar că, și în cazul măsurilor tehnice, apare o problemă ce trebuie rezolvată: unele dintre soluții prelucrează date cu caracter personal și atunci inclusiv în aceste situații vom fi nevoiți să mai facem alte lucruri pe care GDPR le cere.

Considerentul 49 ne spune că protejarea unei rețele este un „interes legitim„:

„ Prelucrarea datelor cu caracter personal în măsura strict necesară și proporțională în scopul asigurării securității rețelelor și a informațiilor, și anume capacitatea unei rețele sau a unui sistem de informații de a face față, la un anumit nivel de încredere, evenimentelor accidentale sau acțiunilor ilegale sau rău intenționate care compromit disponibilitatea, autenticitatea, integritatea și confidențialitatea datelor cu caracter personal stocate sau transmise, precum și securitatea serviciilor conexe oferite de aceste rețele și sisteme, sau accesibile prin intermediul acestora, de către autoritățile publice, echipele de intervenție în caz de urgență informatică, echipele de intervenție în cazul producerii unor incidente care afectează securitatea informatică, furnizorii de rețele și servicii de comunicații electronice, precum și de către furnizorii de servicii și tehnologii de securitate, constituie un interes legitim al operatorului de date în cauză. Acesta ar putea include, de exemplu, prevenirea accesului neautorizat la rețelele de comunicații electronice și a difuzării de coduri dăunătoare și oprirea atacurilor de „blocare a serviciului”, precum și prevenirea daunelor aduse calculatoarelor și sistemelor de comunicații electronice. „

Exemplele date în Considerentul 49 se referă la „network access controls„, „antimalware„, „anti-DOS„. Nu există o clasificare standardizată a soluțiilor de securitate motiv pentru care imaginea de mai sus trebuie interpretată doar ca exemplu.

Dar am făcut evaluarea riscurilor și rezultă că avem nevoie și de o soluție de tip DLP – Data Loss/Leak Prevention. Acum 5 ani, cam pe vreme asta, cînd nu exista GDPR și L677 prezenta interes mai puțin decît cine stă pe canapeaua lui Măruță, scriam articolul acesta. (mi-au murit lăudătorii…). Acum adaug doar că „privacy by design and by default„ cam înseamnă să ai obligatoriu un DLP în organizație…

Revin puțin la cele menționate în Considerentul 49. Confidențalitatea datelor o poți asigura și prin firewall, IDS, database protection rights management, data classification etc pînă la un anumit nivel.

În general, soluțiile de tip DLP prezintă următoarele caracteristici comune (listă non-exhaustivă):

• data discovery – scanează dispozitivele și identifică locul în care se află datele
  
• device control (restricționare utilizare dispozitive) – nu se blochează porturi ci dispozitivele neautorizate
• restricționarea folosirii datelor – blocarea sau restricționarea transferului datelor în afara organizației sau pe dispozitive neautorizate.

O soluție DLP analizează și clasifică automat, în timp real, conținutul transmis, utilizat sau stocat în formate și tipuri diferite: fișiere, email, mesagerie instant, postări în social media, formulare web, webmail, metadate….

Ca rezultat al arhitecturii și modului de funcționare, DLP-ul poate fi considerat ceva mai „intruziv„ pentru că îl asociem cu „data protection„ și cu „monitorizare continuă„. Care monitorizare nu se limitează doar la datele/fișierele organizației. (Am o politică prin care blochez copierea fișierelor cu CNP sau IBAN dar ca angajat vreau să trimit un document care conține CNP-ul personal și numărul cardului).

Concluzii:

• Pentru implementarea unei soluții DLP nu este necesar acordul persoanei vizate (angajatului).
• Temeiul juridic este atît interesul legitim al operatorului cît și obligativitatea „asigurării protecției datelor începând cu momentul conceperii și în mod implicit„
• Cerințele GDPR privind transparența, limitarea scopului, proporționalitatea prelucrăriilor dar și modul de funcționare a soluțiilor DLP conduc către obligativitatea realizării DPIA.