Azi dimineata aflu ca trei bucuresteni au fost retinuti pentru santaj - au cerut 300 000 de euro unei clinici private pentru a nu dezvalui datele sustrase din sistemul ei informatic. Cazul nu ar avea, probabil, prea multa atentie din partea mea daca nu ar fi legat de un subiect pe care tocmai l-am prezentat saptamana trecuta la conferinta IDC: notificarea privind incalcarea securitatii procesarii datelor cu caracter personal.
Ipoteza e destul de simpla: pe masura ce ne tehnologizam din ce in ce mai mult, producem sau colectam din ce in ce mai multe date. Unele cu caracter personal. Unele sensibile (cum sunt cele legate de starea de sanatate). Si cum colectarea este deseori legata de o administrare proasta a acestora si de multe ori de lipsa asigurarii unor standarde minime de securitate, din cind in cind se intampla ceea ce nu vrem sa se intample: datele se pierd sau sunt expuse tertilor.
Cum situatia a inceput sa devina deja enervanta pentru autoritati s-a decis ca trebuie implementata o solutie legislativa. In Uniunea Europeana prima obligatie in acest sens este deja cuprinsa in pachetul telecom (mai precis Directiva 136/2009/EC) care impune o obligatie de notficare in cazurile de acest gen:
În cazul unei încălcări a securității datelor cu caracter personal, furnizorul serviciilor de comunicații electronice destinate publicului notifică, fără întârzieri nejustificate, autoritatea națională competentă cu privire la respectiva încălcare.
Atunci când încălcarea securității datelor cu caracter personal ar putea aduce atingere datelor cu caracter personal și vieții private ale unui abonat sau ale unei persoane, furnizorul notifică respectiva încălcare, fără întârzieri nejustificate, abonatului sau persoanei.
Textul directivei explica si ce se intelege prin aceste incalcari:
“încălcările privind securitatea datelor cu caracter personal” înseamnă încălcarea securității având ca rezultat distrugerea accidentală sau ilegală, pierderea, alterarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod în legătură cu furnizarea de servicii de comunicații electronice destinate publicului (…)
Directiva trebuie implementata si in Romania (teoretic pina la sfarsitul lui mai), doar ca deocamdata nu avem niciun proiect pe segmentul legat de date personale (dupa cum aminteam in ianuarie 2011).
Oricum, chiar daca deocamdata obligatia de notificare va fi doar pentru operatorii de comunicatii electronice, in curind aceasta va fi cel mai probabil extinsa prin revizuirea directivei privind protectia datelor cu caracter personal.
Pentru cei interesati de subiect, raportul ENISA pe tema data breach notification este obligatoriu de citit !
In opinia mea, aceasta masura legislativa are un mare potential de a indrepta lucrurile de la ignorare a securitatii datelor personale la o atentie binecuvenita. Doar ca in functie de cum este implementata, este la fel de posibil ca aceasta sa aiba efecte adverse, de exemplu prin prea multe notificari trimise catre autoritate sau abonati.
Pentru ca scopul dispozitiei nu este neaparat un Name and Shame, ci obtinerea unei securitati adecvate si respectarea unor bune practici in domeniu. Care deocamdata lipsesc cu desavarsire in practica.
Mai jos si prezentarea mea de care faceam vorbire: