Textul de referință:

Regulamentul General privind protecția datelor: Art. 32 Securitatea prelucrării, Art. 33 Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal, Art. 34 Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal

Orientările WP250rev.01 privind notificarea încălcării securității datelor cu caracter personal  în temeiul Regulamentului 2016/679

Scurtă distincție dintre noțiunea de „securitate” încorporată de standardul ISO 27001 și noțiunea de „securitate” încorporată de Regulamentul General privind protecția datelor

Pentru eficiența conformității cu GDPR trebuie să existe prin prisma articolului 32 din Regulament măsuri tehnice și organizatorice care să asigure „un nivel corespunzător de securitate asociat acestui risc” la care sunt expuse datele cu caracter personal. Este important de înțeles că ne referim la Riscul încălcării „securității datelor cu caracter personal”, iar nu la riscul încălcării „securității unor sisteme”, chiar dacă există o legătură puternică între cele două noțiuni, ori de câte ori este vorba de prelucrarea unor date cu caracter personal.

Subliniem următoarele aspecte:

standardul internațional în domeniul securității ISO 27001 nu acoperă inclusiv securitatea la care se referă articolul 32 din Regulament. ISO 27001 are legătură cu toate sistemele care conțin informații indiferent că acestea sunt date cu caracter personal sau nu, în timp ce în cazul „securității” la care se referă GDPR în centrul problemei se găsește dorința de a proteja datele cu caracter personal ale unei persoane fizice, pentru a-i proteja în final drepturile acesteia.

– raportul logic, real, dintre cele două noțiuni este doar de întrepătrundere, deoarece „securitatea datelor cu caracter personal” se întinde nu doar asupra securității unor sisteme care conțin date cu caracter personal ci și asupra oricăror prelucrări de date cu caracter personal, realizate prin acțiuni sau inacțiuni, neconforme cu principiile de prelucrare prevăzute de articolul 5 din GDPR. Tocmai din acest motiv în Orientările privind notificarea încălcării securității datelor cu caracter personal  în temeiul Regulamentului 2016/679 elaborate de Grupul de Lucru art. 29 se precizează că „Trebuie remarcat faptul că un incident de securitate nu se limitează la modelele de amenințare în care o organizație este atacată dintr-o sursă externă, ci include incidente cauzate de prelucrarea internă care încalcă principiile de securitate.”(nota de subsol 13).

Câteva aspecte practice care rezultă din diferențierea dintre standardul ISO 27001 și standardul de protecție a datelor cu caracter personal

Regulamentul 2016/679 pretinde pentru atingerea scopurilor sale conformitatea operatorilor de date/împuterniciților operatorilor de date cu prevederile sale, inclusiv să adopte măsuri organizatorice și tehnice (amintite juridic în mod distinct sub forma unei obligații stabilite la articolul 32 din GDPR) care să asigure respectarea principiilor sale. Aceasta înseamnă că acesta are o concepție preventivă(inclusiv, asigurată prin aplicarea de amenzi în caz de nerespectare!). Corelând articolul 32 din GDPR cu Orientările GL 27 nr. 250.01 rev. în materia încălcărilor de securitate, rezultă fără îndoială că noțiunile de „incident de securitate”, „breșă de securitate” sau „încălcare a securității” nu se vor suprapune niciodată cu aceleași sintagme utilizate în standardul ISO 27001. Din acest motiv, sub aspect practic, operatorii de date adoptând măsuri tehnice și organizatorice pentru conformitate cu Regulamentul 2016/679 trebuie să distingă cât mai clar între noțiunile utilizate, deoarece consecințele absenței unei distincții reprezintă în inter se o „neconformitate” cu GDPR.

Spre exemplu, o organizație trebuie să aibă un plan de răspuns la incidente de securitate din perspectiva standardului ISO 27001 și un plan de reacție la incidente de securitate din perspectiva GDPR. O astfel de distincție poate servi mult la ușurarea muncii și rapiditatea reacției ori de câte ori se ivește un incident de securitate din perspectiva ISO 27001, dar acesta nu constituie incident de securitate din perspectiva Regulamentului 2016/679 și a datelor cu caracter personal.

Cum se poate realiza o astfel de distincție? Cheia metodologică pentru realizarea distincției este modalitatea de abordare: atunci când ne referim la „securitate” din punct de vedere al ISO 27001 abordarea problematicii se face din perspectiva suportului concret al informațiilor, independent de forma fizică sau incorporală pe care o are un asemenea suport, în timp ce abordarea aceleiași noțiuni, raportat la GDPR, trebuie realizată dintr-o perspectivă exclusiv juridică. ISO 27001 reprezintă doar unul dintre mijloace, pe când cel de-al doilea reprezintă un scop în sine.

Vorbind de securitate juridică a dreptului la protecția datelor cu caracter personal, ni se dezvăluie întreaga arie a tuturor riscurilor la adresa libertăților și drepturilor unei persoane fizice, drepturi și libertăți care ar putea fi afectate prin intermediul unei prelucrări de date cu caracter personal într-o manieră injustă.

Una dintre consecințele practice ale acestei distincții constă în aceea că Obligația de notificare a Autorității naționale de supraveghere a prelucrărilor de date cu caracter personal se activează doar în cazul încălcărilor asupra datelor cu caracter personal, iar nu în mod necesar atunci când ne confruntăm cu o încălcare a securității datelor prevăzută în standardul ISO 27001.

O altă consecință practică este că atunci când definim termenii în cadrul politicilor de securitate sau planurilor de reacție la incidente de securitate, nu utilizăm aceleași înțelesuri. Spre exemplu, incidentul de securitate prin prisma ISO 27001 este definit dintr-o perspectivă care exclude voința umană, pe când standardul de protecție a datelor cu caracter personal este centrat complet pe voința umană sau absența acesteia. De aceea, în timp ce ISO 27001 definește Evenimentul din domeniul securității informației drept „Un eveniment din domeniul securității informației indică faptul că în securitatea unui sistem, a unui serviciu sau a unei rețele s-ar putea deschide o breșă sau că această securitate ar putea fi compromisă. Acest gen de eveniment poate indica și faptul că politica de securitate a informației ar putea fi încălcată ori ca o protecție ar putea eșua”, complet diferit este înțelesul termenului „eveniment” din punct de vedere tradițional juridic: categorie de fapte juridice, care se produc independent de voința omului și de care legea leagă anumite efecte juridice. Spre exemplu: nașterea, moartea, inundația, trăsnetul, viitura etc.” Atunci când definim termenii în politica de reacție la încălcarea datelor cu caracter personal, este util să definim din această perspectivă noțiunea de Eveniment, mai ales că această noțiune influențează asupra stabilirii gradului de responsabilitate în ceea ce privește protecția datelor cu caracter personal: este diferită responsabilitatea atunci când datele cu caracter personal sunt încălcate în urma unui eveniment în raport cu aceea a încălcării lor datorită unui aspect care ține de voința unei persoane juridice sau fizice.

Față de cele amintite mai sus, apare din nou o problemă: confuzia dintre noțiunile de eveniment atunci când ne referim la securitatea informației și eveniment privind securitatea datelor cu caracter personal! Această confuzie conduce la o apreciere greșită în legătură cu obligația de notificare a ANSPDCP și, totodată, în legătură cu procesul tehnologic care ar trebui declanșat de operatorul de date/împuternicitul acestuia pentru a investiga dacă ne găsim sau nu în prezența unei încălcări a securității datelor cu caracter personal. Trecând la exemple și concluzii: nu orice eveniment din securitatea sistemelor constituie un incident de securitate a datelor cu caracter personal, astfel că mecanismul de analiză trebuie să evidențieze modul de reacție oricând este vorba de un eveniment din securitatea sistemelor care creează riscuri la adresa datelor cu caracter personal și, totodată, trebuie să evidențieze când evenimentul respectiv constituie un eveniment din punct de vedere juridic și când constituie un rezultat al acțiunii voluntare sau involuntare a unei persoane fizice.

Noțiunea „incident de securitate” și controversele asupra acestei noțiuni.

În accepțiunea ISO 27001, incidentele de securitate se bazează pe evenimente, a căror înțeles nu se stabilește din perspectiva absenței cauzale a voinței umane, astfel că ele trebuie tratate fără nicio distincție. Din perspectiva GDPR, incidentele de securitate generează, pe palierul rolului atribuit de legislația europeană, conformitatea în raport cu obligația notificării Autorității de supraveghere. Acest rol este unul, în special preventiv, iar nu sancționator. Autoritatea poate lămuri operatorul asupra posibilelor riscuri la adresa datelor cu caracter personal sau poate decide măsuri imediate cu privire la tratarea riscurilor. Acesta este unul dintre motivele pentru care nu trebuie confundată noțiunea „incident de securitate” din perspectiva ISO  și tehnică 27001 cu aceea de „incident de securitate” din perspectiva Regulamentul 2016/679. Este motivul pentru care propunem următoarea definiție a incidentelor de securitate la adresa datelor cu caracter personal:

„Incidentele de securitate sunt acele situații în care datele cu caracter personal nu sunt în mod necesar afectate, dar ar putea fi, însă există un potențial ridicat de risc, fie datorită unei acțiuni/inacțiuni umane, voluntare sau involuntare, fie datorită unui eveniment”

Din perspectiva unei atare definiții, nu toate incidentele de securitate din domeniul ISO 27001 trebuie raportate în cadrul planului de răspuns la incidente de securitate pretins de GDPR ca măsură organizatorică, deoarece inter alia ar impieta și îngreuna managementul resurselor umane dintr-o organizație și managementul organizației în sine. Cu toate acestea, planul de răspuns la încălcări ale datelor cu caracter personal trebuie să cuprindă procese și mecanisme de verificare și auditare a unor „evenimente de securitate” în înțelesul ISO 27001 care ar putea fi calificate drept „incidente de securitate a datelor cu caracter personal”. Spre exemplu, o defecțiune tehnică la un terminal informatic conduce la decizia operatorului de date de a înlocui respectivul dispozitiv cu unul nou; terminalul înlocuit ar putea să conțină date cu caracter personal nesalvate niciunde altundeva sau ar putea să nu conțină asemenea date ori să conțină exclusiv date care au fost salvate printr-o politică de back-up. În funcție de asemenea aspecte, „evenimentul de securitate” în înțelesul ISO 27001 poate fi sau nu calificat „incident de securitate” în înțelesul GDPR. Circumstanțele care pot genera o astfel de calificare sunt numeroase, ceea ce este important din punct de vedere practic este să existe un filtru de evaluare a evenimentelor de securitate a informației, filtru care să permită identificarea, preîntâmpinarea ori, după caz, reacția adecvată la posibile incidente de securitate a datelor cu caracter personal, respectiv încălcări ale datelor cu caracter personal. Un asemenea filtru se realizează printr-o comunicare adecvată și chiar procedurală între persoana responsabilă cu securitatea informației din cadrul unui operator și persoana care are atribuții de protecție a datelor cu caracter personal ori, dacă există, responsabilul cu protecția datelor din cadrul operatorului. Întotdeauna este necesar să existe o bună pregătire și specializare a acestora, astfel încât se poată identifica rapid o situație care are potențial de risc ridicat asupra securității datelor cu caracter personal.

Conf. univ. dr. Nicolae-Dragoş Ploeșteanu