טמפרטורת ה- GDPR: מה קורה ומה לא קרה עדיין ...

(של אנדריאה פוליגדה)
27/11/18

שישה חודשים חלפו מאז יישום מלא של GDPR, החקיקה האירופית על הגנה על נתונים אישיים.

השפעותיה של ההוראה (שעליה נאלצו הגופים הציבוריים והפרטיים להסתגל מאז 2016, שנת כניסתו לתוקף) ידועים כיום, במיוחד בכל הנוגע לניהול בטיחות: הגישה המכוונת של האחרון חקיקה (רשימה של צעדים מינימליים להיות מכובד, אמצעים מתאימים et similia) מפנה את מקומו לגישה מבוסס סיכון, לפיו בקר הנתונים ומעבד הנתונים "ליישם אמצעים טכניים וארגוניים מתאימים על מנת להבטיח רמת בטיחות מתאימה לסיכון, תוך התחשבות במצב העלויות של אמנות וביצוע, וכן את אופיו, מטרתו, הקשרו ותכליתו של העיבוד, וכן סיכון של הסתברות ורצינות משתנים לזכויות ולחירויות של אנשים טבעיים".

עם זאת, לאחר תקופת יישום ראשונה זו, ראוי לשאול את עצמנו מה באמת השתנה ומהי "הטמפרטורה" הנתפסת באירופה - ובאופן כללי יותר בשאר העולם - ביחס לנושא הגנת המידע האישי.

דווקא ביחס לפרופיל האחרון, יש לומר שהתמ"ג משיג בעקיפין את אחת הציפיות שעליהן הוא נולד, דהיינו, להיות תקן משותף גלובלי. מדינות שלישיות רבות יותר בברית, אפילו עבור גיששה כדי להגביר את רמת הכללים שלהם נגד הכוח הפוליטי-אסטרטגי לארצות הברית וסין במונחים הקשורים בעולם הטכנולוגיה בשוק האינטרנט, נקטו מסלולים רגולטוריים השראה תוצר מקומי גולמי או במקרים מסוימים פרמטרית מלאה על זה.

גם בין OTT, את "מעל הפסגה", יש מי שהחליטו - ככל הנראה גם מסיבות הקשורות לאסטרטגיה עסקית - להפעיל בפומבי GDPR" פדרלי "עבור ארה"ב, ובאשר מחדש את החיסיון כזכות אדם בסיסית (גורם שלעתים קרובות נוטה להישכח ) ולא כמרכיב נוסף של האדם שיש לייצר רווחים ממנו.

ישנם היבטים אחרים, אשר מסיבות טכניות האתר, זה לא אפשרי או שימושי כדי להתמודד עם זה השתקפות קטנה: מודעות, דיאלוג בנושא אבטחת מידע, הכשרה רה-ארגון של תהליכים עסקיים הם רק חלק מהיבטים אשר עבורם התמ"ג נתן השראה ברמה הלאומית והאירופית. לעומת עשרים השנים האחרונות - חלקית או בחלק מהמקרים אי-תנועה - התסריט משתנה.

כדאי, עם זאת, לבלות כמה מילים עכשיו תחת הפרופיל השני, כלומר במילים אחרות: מה חסר?

החדשות הרעות הן אכן מה שראינו זה עתה רחוק למדי. משהו חסר, ואכן - במיוחד באיטליה - הרבה יותר מאשר משהו.

מבלי להסתובב יותר מדי בבעיה ולחדש את הרעיונות המשותפים עם מומחים אחרים בתחום, במשך שישה חודשים, המצב המדויק נותר ללא שינוי: היעדר מוחלט של תרבות ביטחונית רצינית הן ברמה המדינית והן ברמה הניהולית.

המקרה הסמלי האחרון של היעדר זה - במובנים מסוימים, מטריד ומביך בעת ובעונה אחת - היה זה שהתרחש לפני כמה ימים (קרא מאמר), כאשר נחשפה ההפרה של 500 אלף חשבונות דואר אלקטרוני מוסמכים, חלקם (כ- 9) השייכים לשופטים ורבים אחרים (כ- 98) הקשורים לוועדה הבין-משרדית לביטחון הרפובליקה. אחרי החדשות התחולל מהומה קצרה, כמה פעולות שאגדיר פרהיסטוריות ומקובלות ("שינוי סיסמה") ותשובות (חלקן, במקומם בהחלט, אירוניות בלבד) ואז חוזרות בהדרגה לשכחה שאליה נועדו החדשות וההיסטוריה. עובדות - אפילו חמורות - בנושאי סודיות המידע וביטחונו.

מבלי להיכנס לגופם ומן הראוי להשאיר את מי שחייבים את החקירות החשובות שיגיעו לעובדה זו, אין צורך במילים רבות אחרות כדי לתאר את מצב האי-ודאות החמור באיטליה: לאלה העוסקים בנושא הביטחוני יש לעתים קרובות "ידיים קשורות" על ידי שנים של מחדלים וחסרונות, וזה בהחלט לא הזמן של האשמות, בתנאי שהם יכולים להיות אמר להיות לגיטימי.

כאן, לעומת זאת, מה שחסר (למרות כלי חזק תחת הפרופיל ההיררכי-רגולטורי כגון ה- GDPR), מה שלא ראינו בששת החודשים הללו ומה אנו לא מפסיקים לקוות שיקרה לטובת כל המדינה ושל המדינה המרקם החברתי, הציבורי והיזמי שלה הוא שהרשויות המוסמכות בנושא תומכות ומכשירות את מפעילי המגזר ומבטיחות כי הסטנדרטים (מינימליים באמת, בהתחשב במצב הקריטי בו אנו נמצאים) של אחריות וגישה לסיכונים שנקבעו. התקנה מכובדת במלואה, מקיימת אינטראקציה ומטילה - במידת הצורך - את הסנקציות והתגובות המוחלטות בהן מכירה התקנה עצמה.

יש לבצע פעולה רחבת היקף במדינה בתחום האימון והתרבות הבטיחותית, והמשך דחיית השקתה בגלל חוסר הבנה בנושא יוביל לפער הולך וגדל בין המציאות לתפיסת הנושא באיטליה. , עד שלמרות עצמנו - הפער הזה נהיה כל כך גדול שיהווה את השלטון, גם ובעיקר ביחס לשאר אירופה. לבסוף, כדאי לזכור כי היעדר מוחלט של השקעות בטון ומודרכות בבטיחות ביחס למרקם תעשייתי שרובו מוצא עצמו צריך להתמודד - ללא כספים מספקים - תורם להחמרת התמונה כולה. בעלי ערך גבוה ופגיעות חזקה באופן שרירותי ומאולתר לחלוטין.

כמה מילים: אנחנו צריכים להתחיל לשנות, וגם בדחיפות.

(צילום: אינטרנט / חיל האוויר האמריקני)