Despre Art. 25 din GDPR am mai scris că este un fel de „cuiul lui Pepelea„. S-a întîmplat să finalizez, împreună cu partenerul meu de suferință Valy Greavu, o nouă implementare a machetei pe care am dezvoltat-o în SharePoint (Publicitate: pentru un grup financiar din top 10).

În timp ce mă apropiam de finalizarea proiectului, am căzut din nou pe gînduri în legătură cu minunatul Art. 25.

(1) Având în vedere stadiul actual al tehnologiei, costurile implementării, și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine, pune în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele prezentului regulament și a proteja drepturile persoanelor vizate.

(2)   Operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării.

De fapt, frămîntarea mea a plecat de la o discuție despre ….amenzi :). Pentru că prin Art. 83(4)(a) se menționează că dacă nu se pun în practică măsurile de la Art. 25 și 32….se poate lua amendă 🙂

Scurtă paranteză. Cînd avem în vedere „conformitatea„ ne întîlnim cu două categorii de cerințe:

• reglementări care precizează CE trebuie făcut- descriu acțiuni care ar trebui (sau nu ar trebui) să fie realizate și definesc obiectivele care trebuie realizate.
• reglementări care, pe lîngă CE trebuie făcut, precizează și CUM trebuie îndeplinite cerințele.

GDPR nu prea se încadrează în cea de a doua categorie, deși considerentele spun/exemplifică în unele cazuri și cum ar trebuie puse în practică anumite lucruri. Recunosc că din perspectivă tehnică nu îmi este clar care ar fi „măsurile tehnice adecvate„. Mă refer la acele măsuri pe care și o instanță le va considera adecvate.

Pseudonimizarea și minimizarea datelor intră în categoria „precum/cum ar fi/printre care„. Rezultă deci că nu sînt suficiente. Prin urmare, dacă facem data masking cu algoritmii proprietari din SGBD, nu prea este suficient….

(Testat o bază de date SQL Server cu 50k înregistări. 40 de interogări cu două INNER JOIN și un GROUP BY au durat…10 secunde)

Realitatea organizațiilor este însă alta decît ce este scris într-o lege/reglementare: majoritatea aplicațiilor sînt de „ieri„ nu de „mîine„. Cele mai multe sînt cumpărate, nu dezvoltate intern.

Dar Art. 25 impune ca organizațiile să pună în aplicare măsurile tehnice „în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine„. Rezultă deci că, indiferent de cînd este aplicația/sistemul, acele măsuri trebuie să existe.

Aștept cu foarte mare interes să apară decizii/cazuistică ale instanțelor pe subiectele din Art. 25. Am găsit foarte puțin scris despre subiectul „proporționalității„ măsurilor de securitate. În știrile despre amenzile aplicate pînă acum nu am identificat „riscurile„ la care au fost supuse persoanele vizate….

GDPR lasă la discreția operatorului identificarea și punerea în practică a măsurilor de securitate, ținînd cont de riscuri, costuri și dezvoltarea tehnologică. Pe de altă parte, din solicitările de clarificare ale ANSPDCP nu am identificat vreo cerință care să se refere la „evaluarea riscurilor„ realizată de operator…În lipsa unor referințe clare/precise, evaluarea legitimității acțiunilor este subiectivă.

Poate vom avea un ghid/opinie de la EDPB….