Shumë njerëz në këtë periudhë ngrenë çështjen e bilancimit mes privatësisë (Privacy) dhe shëndetit. Në mënyrë të sintetizuar, e drejta për mbrojtjen e të dhënave personale bie poshtë ndaj atyre të shëndetit publik dhe individual të çdo qytetari, gjë që është shprehur në hartimin e ligjit europian. Sipas këtij konsiderimi, pasi stabilizohet ligjshmëria e një përpunimi, mbetet detyrimi i respektimit të GDPR (Rregulluesi i Përgjithshëm i Mbrojtjes të të Dhënave) që padyshim nuk shfuqizohet as në periudhë pandemie. Kjo është një pikë e rëndësishme, pikë nga e cila varen ligjshmëria e trajtimeve, informacionit, masat e sigurisë që duhen ndërmarrë.
Vendimi i ‘lockdown’ apo izolimit ka qenë patjetër vendimi më shtrëngues për sa i përket lirisë individuale. Lockdown-i është një neologjizëm i futur kohët e fundit në gjuhën tonë. Përdorimi i këtij termi nis në 2013 dhe deri në 2020 është përdorur rrallë, sidomos në rastet e episodeve që kanë të bëjnë me situata emergjence lidhur me atentatet terroriste. Vetëm nga janari, kjo fjalë ka filluar të bëjë pjesë në përdorimin e përditshëm të gjuhës, e përdorur për masat e marra për mos përhapjen e SARS-COV2 në Kinë dhe pastaj në Europë.
Lockdown përmbysi plotësisht zakonet tona, rutinën tonë dhe pati një impakt të rëndësishëm, fushëveprimi i tij, për mendimin tim, është akoma për t’u analizuar, pavarësisht nga vlerësimet e para pozitive apo negative që secili prej nesh mund ta ketë përjetuar në mënyrën e vet. Masat shtrënguese të marra deri para pak javësh më parë na zhyten në një situatë të pajetuar më parë, përveç atë çka kaluar brezi i lindur para 1945 (i ashtuquajturi Silent Generation).
Ndryshuan skemat operative të mënyrës tonë të të punuarit, me futjen e të ashtuquajturës punë online. Por n.q.s nga njëra anë lockdown ishte rasti për t’u vënë në diskutim dhe për të gjetur kurajën për të braktisur “confort zone” dhe për të kërkuar paradigma të tjera, nga ana tjetër nxori në pah disa pabarazi që i atribuohen të thënit “digital divide” (ndarje dixhitale), hendekun ekzistues midis atyre që kanë mundësi efektive për të përdorur informacionet teknologjike (në veçanti kompjuter portabël, smartphone, e internet) dhe atyre që janë përjashtuar pjesërisht ose tërësisht nga kjo mundësi. Lockdown ka thelluar dramatikisht këtë hendek.
Ndërmarrjet më të përgatitura u organizuan menjëherë, p.sh duke pajisur çdo punonjës me gjithçka të nevojshme për të bërë të mundur punën nga shtëpia, dhe në të njëjtën kohë duke fuqizuar VPN-në (Rrjetin Lokal Virtual) për të bërë të mundur zhvillimin e punës në kushte sigurie. Një mundim që u shpërblye mirë, sepse përgjithësisht bëri të mundur zhvillimin e aktivitetit të vet në vazhdimësi me anë të punës onsite (në vend apo zyrë), të paktën me funksionimin e stafit. Një gatishmëri e tillë u menaxhua mirë vetëm nga ndërmarrjet që ishin organizuar nga ana strukturore për menaxhimin e privatësisë, me procese, organizim e burime harmonike vepruese në fushën e SGP (Sistemeve të Menaxhimit të Privatësisë). Lockdown ka nxjerrë në pah figurën e DPO (Data Protection Officer), për zhvillimin e mjeteve të nevojshme për një menaxhim korrekt të privatësisë në adoptimin e masave për të parandaluar përhapjen e SARS-COV2 implementuar nga kompania.
Me pak fjalë, ishte para së gjithash e nevojshme të rivlerësoheshin rreziqet e shkaktuara nga përditësimi i punës ‘smart’ me ‘run’ dedikuar analizës së rreziqeve. Jo vetëm për sa i përket Health & Safety (Siguria dhe Shëndeti), por dhe mbi të gjitha Sigurinë e Informacioneve dhe të Privatësisë. Analiza të tilla të rreziqeve kanë evidencuar një nivel më të lartë ekspozimi ndaj rreziqeve CIA (Konfidencialiteti, Integrimi, Disponueshmëria) të të dhënave të përpunuara. Normalisht përgjigjja ka qenë pajisja e punonjësve me mjete të nevojshme për të punuar nga shtëpia: PC të parakonfiguruar, router, udhëzime për një përdorim të drejtë të tyre, aktivizimin dhe fuqizimin e lidhjes VPN për lejimin e shkëmbimit të të dhënave në siguri të plotë.
Këto aspekte janë të përmbledhura saktë në ISO/IEC27001. Siç dihet, kërkesat, objektivat e kontrollit dhe kontrolli i ISO/IEC27001 kohët e fundit janë zgjeruar dhe integruar me publikimin e standardit ISO/IEC27001 që specifikon dhe jep një udhëzues për të stabilizuar, zbatuar, mbajtur dhe përmirësuar vazhdimisht PIMS (Sistemin për Menaxhimin e Privatësisë). GDPR (në nenin 42) inkurajon institucionet e mekanizmit të certifikimit për mbrojtjen e të dhënave që të demostrojnë konformitetin ndaj GDPR në përpunimin e të dhënave të kryera nga pronari ose përgjegjësi i përpunimit të të dhënave.
Karakteristikat e Organizatave të Certifikimit (OtC) që certifikojnë konformitetin e trajtimit të të dhënave personale në përputhje me GDPR, janë themeluar sipas nenit 43, që sqaron se organizata të tilla duhet të akreditohen në përputhje me ISO/IEC27001, që i përcakton kërkesat e vetë OtC-ve që certifikojnë prodhime, procese dhe shërbime. ISO/IEC27001 (dhe zgjerimi i ISO/IEC27001) nuk janë në të njëjtën vijë me nenin 43 të GDPR, në fakt u referohen sistemit të menaxhimit dhe si të tilla mund të certifikohen nga Organizatat e Certifikimit të akredituara sipas ISO/IEC 17021 që përcakton kërkesat e organizmave që furnizojnë auditime dhe certifikime të sistemit të menaxhimit. Skema e certifikimit ISDP©10003, e akredituar në marrëveshje me normën ENISO/IEC 17065:2012, është analizuar në një studim të Komisionit Europian mbi mekanizmat e certifikimit GDPR sipas neneve 42 dhe 43, bërë nga Universiteti i Tilburgut, që ka sanksionuar konfirmimin me qëllimin e përmendur në nenin 43 të GDPR.
Për një qasje më strukturore do të evidentohen jo vetëm kërkesat dhe kontrollet ISO 277001 të domosdoshme në zbatimin e veprimtarisë për menaxhimin e COVID, por besojmë se është e dobishme edhe futja e skemës ISDP©10003 në këtë kontekst.
Në Itali, në 2015, është prezantuar Korniza Kombëtare për Siguri Kibernetike, që është zhvilluar me një bashkëpunim fitimprurës mes ndërmarrjeve private dhe subjekteve publike. Ajo bazohet mbi Kornizën e Sigurisë Kibernetike NIST me masa që përmirësojnë efektivitetin zbatues.
Në librin “Un modello per la sicurezza dei dati personali nell’era digitale” (Një Model për Sigurinë e të Dhënave Personale në Epokën Dixhitale), shkruar bashkë me Flavia Montanile, e që del nga shtypi në fund të shtatorit, janë propozuar shtojca për referencat informative të Kornizës kryesore: ato përqendrohen mbi të gjitha në kategori dhe nënkategori të futura më tej në thelbin e Kornizës për të zgjeruar ato aspekte që kanë të bëjnë me mbrojtjen e të dhënave personale që nuk ishin të mbuluara plotësisht nga Korniza origjinale.
Të gjitha përpunimet e projektuara për të zbatuar masat e Lockdown dhe ato të mëpasshme për ndalimin e përhapjes të SARSCOV2, patën nevojë për një DPIA (neni 35 GDPR) dhe një përditësim të Regjistrit të Përpunimit të të dhënave (neni 30 GDPR).
Në vijim një përmbledhje me pikat kryesore:
Massimo Montanile prej 30 vjetëve merret me Teknologji Informative dhe Sigurinë e Informacioneve. Është themelues dhe kryetar i ‘Associazione Privacy Safe’, anëtar i ‘Federprivacy Roma’ dhe i ’Istituto italiano per la Privacy’. Po ashtu është anëtar në Bordin Këshillues të ‘Privacy Italia’, anëtar i Komitetit të Shoqatës Shkencore për Shëndetin Dixhital. Është auditor kryesor UNI EN ISO 9001 Cepas, i certifikuar për TÜV “Zyrtar i Privatësisë dhe Konsulent i Privatësisë” dhe i regjistruar në Regjistrin e Mbikëqyrjes Video të TÜV. Auditor i përkohshëm i ISMS Cepas dhe auditor kryesor IEC / ISO 27001.
(Nga Massimo Montanile – Përktheu nga italishtja Monika Dervishi)
