Să încep cu o primă concluzie pe care o dezvolt în continuare: GDPR este o reglementare necesară dar a apărut cînd „pacientul„ era deja în comă.

Dată(e)+Semnificație=Informație

Teoria despre care tot spun și scriu că este bună dacă, după ce o înțelegi, o aplici corespunzător spune așa:datele sînt niște”chestii” brute fără prea mare însemnătate pentru creierul nostru. „MM„ nu înseamnă nimic dacă nu spun și ”contextul”: ”județ” sau ”acronim” sau ”dulciuri”.

Adică așa cum spune teoria, dacă la o dată brută mai adăugăm o altă dată brută obținem o ”informație”. Dar nici acum nu am ajuns prea departe. Pentru a ști la ce este bună o informație avem nevoie de ”cunoaștere”, adică de….TEORIE :). Iar după ce stăpînești ”knowledge”-ul putem vorbi despre a ști/înțelepciune/”wisdom”. Teoria ne învață că dacă spun ”4427”„ și ”TVA” știu că este vorba despre ”taxa pe valoarea adăugată colectată” (alte date brute adăugate la alte date brute).

Trăim deja în zorii erei ”datificării”. Și pe măsură ce lumea va fi ma interconectată (și va fi cu siguranță) cantitatea de ”date brute” despre noi va crește semnificativ. În acest moment, pornind de la soldul contului 4427 pot identifica orice factură individuală de la orice client, mai repede și mai ușor decît în urmă cu 10-15 ani. Luînd ad literam definiția datelor personale din GDPR, astăzi orice dată are potențialul de a fi o dată cu caracter personal pentru că indirect se poate ajunge la orice persoană. ”Mîine” lucru ăsta va fi și mai clar și înseamnă că trebuie să declanșeze o formă de protecție.

Pentru a se determina dacă o persoană fizică este identificabilă, ar trebui să se ia în considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a persoanei fizice respective. Pentru a se determina dacă este probabil, în mod rezonabil, să fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui luați în considerare toți factorii obiectivi, precum costurile și intervalul de timp necesare pentru identificare, ținându-se seama atât de tehnologia disponibilă la momentul prelucrării, cât și de dezvoltarea tehnologicăv – Considerent 26 GDPR

Există securitate fără protecția datelor dar nu există protecția datelor fără securitate

Chiar și în cursul de la IAPP am regăsit această afirmație. Prima parte o consider a fi adevărată (a trebuit să o predau) doar dacă prin ”protecția datelor” înțelegem legislația care impune conformitatea iar prin ”securitate” doar tehnicisme. Și regăsim acest lucru în GDPR unde ”legalitatea” este tratată în extenso iar ”tehnicismele” aproape deloc….Și atunci este cît se poate de firesc ca managementul să se concentreze pe un singur determinant: legalitatea/conformitatea. Pentru că, în acest moment, avem legi care reglementează ”conformitatea” dar nu avem legi care reglementează ”securitatea”. Pe aceasta din urmă o regăsim în standarde/cadre de lucru/bune practici. Cu toate acestea, ești penalizat dacă se încalcă ”securitatea”. De aici și modul în care GDPR a ajuns să fie abordat: în cele mai multe cazuri via departamentele juridice și „documentații„.

Definiția din GDPR spune:

încălcarea securității datelor cu caracter personal înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea

”Încălcarea securității datelor” înseamnă o ”încălcare a securității” ????

Fără a nominaliza așa după cum sîntem învățați, definiția face referire de fapt la încălcare confidențialității, integrității și disponibilității. În opinia mea, cele două lucruri – securitatea informațiilor/IT și securitatea datelor personale – nu pot și nu trebuie să fie deloc separate. Acest lucru voi căuta să îl argumentez în continuare.

Managementul riscurilor

O soluție de IAM – Identity Access Management ce protejează? Dar o soluție de DB Protection? Dar EDR? Firewall? IPS?ATD?Cît sînt de diferite soluțiile/instrumentele prin care asigur ”protecția datelor” față de cele prin care asigur ”securitatea informațiilor”?

În vederea menținerii securității și a prevenirii prelucrărilor care încalcă prezentul regulament, operatorul sau persoana împuternicită de operator ar trebui să evalueze riscurile inerente prelucrării și să implementeze măsuri pentru atenuarea acestor riscuri – Considerent 83 GDPR

Dar ”securitatea informațiilor” exact asta înseamnă: administrarea riscurilor la adresa confidențialității,  integrității și disponibilității informațiilor folosind controale administrative,  fizice și tehnice.

Riscurile la adresa securității informațiilor nu pot fi eliminate. Ele pot fi doar reduse. Prin urmare, dacă fac așa cum mă învață teoria, adică management de riscuri, voi acoperi și ”datele cu caracter personal”. Pentru că acestea din urmă nu sînt într-un „borcan„ pe un raft din organizație. Sînt și ele fix acolo unde sînt și restul datelor. Și dacă, aplic corect definiția securității informațiilor atunci voi proteja și datele cu caracter personal.

Toate datele sînt personale

Îmi întăresc opinia. Orice dată are potențialul de mă identifica dacă are asociate semnificațiile corecte iar ”protecția datelor” nu trebuie sub nici o formă tratată separat de ”securitatea informațiilor”.

Nu știu cum va arăta viitorul, dar cred că încă nu este tîrziu să facem pasul de la ”litera legii” către ”spirit” discutînd mai mult cu cei din domeniul tehnic. Degeaba enunțăm definiții și paragrafe de lege dacă nu știm cum pot fi aplicate concret pentru a asigura securitatea informațiilor. Și poate așa organizațiile vor ajunge să fie, dacă nu ”conforme”, măcar ”aproape conforme”. Ransomware-ul cu care o organizația se pricopsește nu vizează ”date personale” și nici nu a fost proiectat pentru a încălca ”securitatea datelor cu caracter personal”. Cred…..