Mbrojtja e të dhënave personale në kohën e virusit Korona

15

Massimo Montanile
Përktheu: Monika Dervishi

Shumë njerëz, në këtë periudhë, ngrenë çështjen e bilancit mes privatësisë (Privacy) dhe shëndetit. Në mënyrë të sintetizuar, e drejta për mbrojtjen e të dhënave personale bie poshtë kundrejt atyre të shëndetit publik dhe individual të çdo qytetari, gjë që është shprehur në hartimin e ligjit evropian. Sipas kësaj, pasi të stabilizohet ligjshmëria, mbetet detyrimi i respektimit të GDPR-së (Rregulluesi i Përgjithshëm i Mbrojtjes të të Dhënave) që padyshim nuk shfuqizohet as në periudhë pandemie. Kjo është një pikë e rëndësishme, nga e cila varen ligjshmëria e trajtimeve, informacionit e masave të sigurisë që duhen ndërmarrë.

Vendimi për ‘lockdown’ apo izolim ka qenë patjetër vendimi më shtrëngues për sa i përket lirisë individuale. Lockdown-i është neologjizëm i futur kohët e fundit në gjuhën tonë. Përdorimi i këtij termi nis më 2013 dhe deri në 2020 është përdorur rrallë, sidomos në rastet e episodeve që kanë të bëjnë me situata emergjence lidhur me atentatet terroriste. Nga janari 2020, kjo fjalë ka  filluar të bëjë pjesë në përdorimin e përditshëm, për masat e marra për mos përhapjen e SARS-COV2-shit në Kinë e pastaj në Evropë.

Lockdown përmbysi plotësisht zakonet tona, rutinën tonë dhe pati ndikim të rëndësishëm. Fushëveprimi i tij, për mendimin tim, është akoma për t’u analizuar, pavarësisht nga vlerësimet e para pozitive apo negative që secili prej nesh mund të ketë përjetuar në mënyrën e vet. Masat shtrënguese, të marra deri para pak javësh më parë, na zhyten në një situatë të pajetuar më parë, përveç atë çka ka kaluar brezi i lindur para vitit 1945 (i ashtuquajturi Silent Generation).

Ndryshuan skemat operative të mënyrës tonë të të punuarit, me futjen e të ashtuquajturës puna online. Por nëse s nga njëra anë lockdown ishte rasti për t’u vënë në diskutim dhe për të gjetur kurajon për të braktisur “zonën e komoditetit” dhe për të kërkuar paradigma të tjera, nga ana tjetër nxori  në pah disa pabarazi që i atribuohen asaj që njihet si “digital divide” (ndarje digjitale) – hendekun ekzistues midis atyre që kanë mundësi efektive për të përdorur informacionet teknologjike (në veçanti kompjuter portabël, telefon të zgjuar, e internet) dhe atyre që janë përjashtuar pjesërisht ose tërësisht nga kjo mundësi. Lockdown ka thelluar këtë hendek.

Ndërmarrjet më të përgatitura u organizuan menjëherë, p.sh. duke pajisur çdo punonjës me gjithçka të nevojshme për të bërë të mundur punën nga shtëpia dhe në të njëjtën kohë duke fuqizuar VPN-në (Rrjetin Lokal Virtual) për të bërë të mundur zhvillimin e punës në kushte sigurie. Një mundim ky që u shpërblye mirë, sepse përgjithësisht bëri të mundur zhvillimin e aktivitetit në vazhdimësi me anë të punës onsite (në vend apo zyrë), të paktën me funksionimin e stafit. Një gatishmëri e tillë u menaxhua mirë vetëm nga ndërmarrjet që ishin organizuar nga ana strukturore  për menaxhimin e privatësisë, me procese, organizim e burime harmonike vepruese në fushën e SGP-së (Sistemeve të Menaxhimit të Privatësisë). Lockdown ka nxjerrë në pah figurën e DPO-së (mbrojtjes së shënimeve), për zhvillimin e mjeteve të nevojshme për një menaxhim korrekt të privatësisë në adoptimin e masave për të parandaluar përhapjen e SARS-COV2 nga kompania.

Me pak fjalë, ishte e nevojshme të rivlerësoheshin rreziqet e shkaktuara nga përditësimi i punës ‘smart’ me ‘run’ dedikuar analizës së rreziqeve. Jo vetëm sa i përket asaj që njihet si “Health & Safety” (Siguria dhe Shëndeti), por dhe mbi të gjitha sigurinë e informacioneve dhe të privatësisë. Analiza të tilla të rreziqeve kanë evidencuar një nivel më të lartë ekspozimi ndaj rreziqeve CIA (Konfidencialiteti, Integrimi, Disponueshmëria) të dhënave të përpunuara. Normalisht, përgjigja ka qene pajisja e punonjësve me mjete të nevojshme për të punuar nga shtëpia: PC të parakonfiguruara, ruter, udhëzime për një përdorim të drejtë të tyre, aktivizimin dhe fuqizimin e lidhjes VPN për lejimin e shkëmbimit të të dhënave në siguri të plotë.

Këto aspekte janë të përmbledhura saktë në ISO/IEC27001. Siç dihet, kërkesat, objektivat e kontrollit dhe kontrolli i ISO/IEC27001, kohët e fundit janë zgjeruar dhe integruar me publikimin e standardit ISO/IEC27001 që specifikon dhe jep një udhëzues për të stabilizuar, zbatuar, mbajtur dhe përmirësuar vazhdimisht PIMS-in (Sistemin për Menaxhimin e Privatësisë). GDPR (në nenin 42) inkurajon institucionet e mekanizmit të certifikimit, për mbrojtjen e të dhënave që të demonstrojnë  konformitetin ndaj GDPR-së në përpunimin e të dhënave të kryera nga pronari ose përgjegjësi i përpunimit të të dhënave.

Karakteristikat e Organizatave të Certifikimit (OtC) që certifikojnë konformitetin e trajtimit të të dhënave personale në përputhje me GDPR-në, janë themeluar sipas nenit 43, që sqaron se organizatat e tilla duhet të akreditohen në përputhje me ISO/IEC27001, që i përcakton kërkesat e vet OtC-ve që certifikojnë prodhime, procese dhe shërbime. ISO/IEC27001 (dhe zgjerimi i ISO/IEC27001) nuk janë në të njëjtën vijë me nenin 43 të GDPR-së; në fakt u referohen sistemit të menaxhimit dhe si të tilla mund të certifikohen nga organizatat e certifikimit të akredituara sipas ISO/IEC 17021, që përcakton kërkesat e organizmave që furnizojnë auditime dhe certifikime të sistemit të menaxhimit. Skema e certifikimit ISDP©10003, e akredituar në marrëveshje me normën ENISO/IEC 17065:2012, është analizuar në një studim të Komisionit Evropian mbi mekanizmat e certifikimit GDPR sipas neneve 42 dhe 43, bërë nga Universiteti i Tilburgut, që ka sanksionuar konfirmimin me qëllimin e përmendur në nenin 43 të GDPR.

Për një qasje më strukturore do të evidencohen jo vetëm kërkesat dhe kontrollet ISO 277001, të domosdoshme në zbatimin e veprimtarisë për menaxhimin e koronavirusit, por besojmë se është e dobishme edhe futja e skemës ISDP©10003 në këtë kontekst.

Në Itali, më 2015, është prezantuar Korniza Kombëtare për Siguri Kibernetike, që është zhvilluar me një bashkëpunim mes ndërmarrjeve private dhe subjekteve publike. Ajo bazohet te Korniza e Sigurisë Kibernetike NIST, me masa që përmirësojnë efektivitetin zbatues.

Në librin “Un modello per la sicurezza dei dati personali nell’era digitale” (Një model për sigurinë e të dhënave personale në epokën digjitale), shkruar bashkë me Flavia Montanilen, e që del nga shtypi në fund të shtatorit, janë propozuar shtojca për referencat informative të kornizës kryesore: ato përqendrohen mbi të gjitha në kategori dhe nënkategori të futura më tej në thelbin e kornizës për të zgjeruar ato aspekte që kanë të bëjnë me mbrojtjen e të dhënave personale që nuk ishin të mbuluara plotësisht nga korniza origjinale.

Të gjitha përpunimet e projektuara për të zbatuar masat e Lockdown-it dhe ato të mëpasshme për ndalimin e përhapjes të SARSCOV2-shit, patën nevojë për një DPIA (neni 35 GDPR) dhe një përditësim të Regjistrit të Përpunimit të të dhënave (neni 30 GDPR).

Në vijim një përmbledhje me pikat kryesore:

KRITERI ZBATUES
Fusha /Masat e adoptuara ISO/IE 27701 ISDP©10003
Të gjitha trajtimet e projektuara për të marrë masat e lockdown dhe ato të mëpasshme të parandalimit të përhapjes të SARS-COV2 A.7.2.5 – Vlerësimi i Ndikimit në Privatësisë A.6 – Vlerësimi i ndikimit
Përditësimi i Regjistrit të Trajtimeve A.7.2.8 – Regjistrimet në lidhje me Përpunimin PII A.5.1 Mapatura dhe Regjistri i trajtimeve
Rivaluimi i rreziqeve të  lidhura me skenarin e ndryshuar (punën nga shtëpia në fillim dhe me pas masat e marra mbas lockdown) 5.4.1 – Veprimet për adresimin e rrezikut dhe mundësive 6.3 – Manaxhimi dhe vlerësimi i rrezikut. 

 

Mbajtjen e përshtatshmërisë të burimeve, dhe mbi të gjitha mbështetjen e të punuarit nga shtëpia 5.5 – Mbështetja 7 – Mbështetja
Rivlerësimi i profilit të rrezikut (punë on site nga shtëpia) 5.6.2 – Vlerësimi i rrezikut të sigurisë së informacionit 6.3 – Menaxhimi dhe vlerësimi i rrezikut
Trajtimi i rreziqeve të reja (psh hardening dispositive, riforcim i VPN-ve etj) 5.6.3 – Trajtimi i rrezikut të sigurisë së informacionit 6.3 – Menaxhimi  dhe vlerësimi i rrezikut
Aplikimi i kontrollit të nevojshëm sipas mënyrës të zhvillimit të aktivitetit të punës 6.3.2 – Pajisjet mobile dhe telepuna
Formimi dhe informimi  i punonjësve mbi kujdesin që duhet patur gjatë zhvillimit të punës nga shtëpia. 6.4.2.2 – Edukimi dhe trajnimi për ndërgjegjësimin për sigurinë e informacionit 7.5 – Formim

(Massimo Montanile prej 30 vjetëve merret me teknologji informative dhe sigurinë e informacioneve. Është themelues dhe kryetar i Associazione Privacy Safe, anëtar i Federprivacy Roma dhe i Istituto italiano per la Privacy. Po ashtu, është anëtar në Bordin Këshillues të Privacy Italia, anëtar i Komitetit të Shoqatës Shkencore për Shëndetin Digjital…)