Apariţia conceptului „big data” poate fi corelată cu tentaţia organizațiilor de a colecta un volum mare și diversificat de date despre persoanele care interacționează cu serviciile sau produsele lor. Cu toate acestea, o astfel de abordare poate fi ineficientă pentru organizații, din perspectiva resurselor necesare gestionării acestor date.
Potrivit GDPR (Regulamentului UE 2016/679 – privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date), „datele cu caracter personal” sunt definite ca fiind orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”).Persoana fizică identificabilă este acea persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
Ce informaţii publicăm pe internet
Datele cu caracter personal sunt păstrate de companii pentru a identifica un individ şi a îl deosebi de ceilalţi. Aceste date se găsesc pe diverse platforme web şi sunt create în momentul în care cineva se înregistrează pentru accesarea serviciilor – fie că vorbim despre buletine informative dintr-un anumit domeniu, crearea unui cont pe rețele sociale, a unui cont de e-mail ori înregistrarea pe o platformă web sau magazin online.
Cu excepția paginilor web statice, aproape toate site-urile colectează date cu caracter personal despre utilizatorii care le accesează. Chiar dacă este vorba doar de numele și adresa de e-mail a unei persoane care s-a înregistrat pe un site pentru a posta un comentariu, acestea vor fi prezente acolo. Mai mult, cu cât este mai complex procesul de înregistrare pe o platformă web cu atât mai multe date cu caracter personal vor fi reținute online. Între datele solicitate la înregistrare se află: nume, prenume, adresă, numere de telefon, data de naștere, adresa IP, codul numeric personal (CNP), serie de pașaport, numărul cardului de credit, numerele de cont (IBAN), date despre contul bancar, răspunsurile la întrebările de securitate, informațiile medicale, istoricul cumpărăturilor, adresa de e-mail, numele de utilizator, fotografii personale etichetate sau date de localizare.
Datele cu caracter personal stocate în mediul online au trezit şi interesul hackerilor care le folosesc în scopuri ilegale.
În prezent, hackerii au cunoștințe avansate și sunt capabili să aplice tehnici sofisticate şi să creeze noi metode de a capta aceste date, în acelaşi ritm în care companiile identifică noi modalități de protejare a lor.
Protejarea datelor cu caracter personal
Păstrarea în siguranță a datelor cu caracter personal este îndatorirea tuturor companiilor care colectează astfel de date de la clienți sau vizitatori ai platformelor web ori ai magazinelor online. Stocarea datelor se poate face pe servere proprii sau în „cloud”, prin intermediul altor companii care oferă astfel de servicii. Securizarea presupune ca soluțiile de stocare utilizate să poată preveni majoritatea amenințărilor de securitate și să păstreze flexibilitatea și disponibilitatea în ajustarea opţiunilor de securitate în funcție de necesități.
Creşterea numărului amenințărilor cibernetice reprezintă o provocare pentru specialiştii în securitate ai companiilor care au misiunea de a garanta siguranța datelor.
Protejarea datelor cu caracter personal implică investiţii financiare şi umane importante. Unele companii preferă să gestioneze această problematică pe cont propriu în ciuda investițiilor și resurselor necesare, iar altele optează pentru achiziționarea unor cursuri de pregătire care să le permită asimilarea abilităților necesare pentru gestionarea amenințărilor de securitate. O soluție mai potrivită o constituie externalizarea operaţiunilor de protejare a datelor cu caracter personal către companii specializate în securizarea acestui tip de date. Tot mai multe companii și organizații non-profit apelează la o astfel de soluție, conștientizând riscurile la care se expun și importanța datelor cu caracter personal. Menținerea unui nivel ridicat al securității acestor date poate face diferența între continuarea activității și faliment. Compromiterea datelor personale atrage inclusiv răspunderea penală.
Datele cu caracter personal pot fi clasificate în funcţie de efectele produse de compromiterea lor. Spre exemplu, o bază de date care conține numele și adresa de e-mail a clienţilor are un risc asociat și un impact asupra confidențialități și integrității mult mai mic decât o bază de date ce conţine codul numeric personal și numărul cardului de credit.
Fiecare organizație este diferită și este liberă să aleagă modul de clasificare și protejare a datelor cu caracter personal, iar o analiză de risc eficace poate ajuta la o clasificare corectă.
Datorită progresului tehnologic exponențial în industria IT și a gradului de digitizare al mai multor sectoare de activitate, factorii de risc vor fi mereu prezenți pentru toți utilizatorii internetului. Rămâne la latitudinea fiecărei companii care administrează datele cu caracter personal, dar și a fiecărui utilizator în parte să manifeste prudență și să limiteze datele cu caracter personal oferite către terți în diverse scopuri. Un exemplu în acest sens îl poate constitui modul în care au fost folosite datele utilizatorilor de Facebook de către compania Cambridge Analytica Ltd.
Abstract
The GDPR (General Data Protection Regulation) defines „personal data” as any information relating to an identified or identifiable natural person („data subject”).
An identifiable natural person can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person, also known as PII (Personally Identifiable Information).
Because of the advanced degree integration of the IT industry in our daily lives, the risk factors will always be there for all the internet users. It is up to all companies that collect personal data to make the necessary investments and acquire the proper knowledge in order to protect it, but also for each user to exercise caution and restraint when offering such data to third parties for whatever purpose, and to consider the expediency and associated risks.
Autor: Ștefan Ionuț