Cosa si intende con i termini "protezione dei dati" e "sicurezza dei dati"? Siete consapevoli delle differenze? Vi diciamo subito una cosa: "protezione dei dati" e "sicurezza dei dati" non hanno lo stesso significato, anche se hanno in comune la radice "dati". Pertanto, questi termini non dovrebbero essere usati come sinonimi. Perché? Continuate a leggere per scoprirlo.
Differenze tra protezione e sicurezza dei dati
Quali sono le differenze tra protezione e sicurezza dei dati, anche se sembrano così simili? Purtroppo non esiste una definizione standard dei termini e le differenze non possono essere dedotte nemmeno dalle parole "protezione dei dati" e "sicurezza dei dati".
Inizieremo innanzitutto con il significato di "protezione dei dati", perché è importante anche per comprendere la sicurezza dei dati, in quanto la sicurezza dei dati è una componente della protezione dei dati.
Cosa significa "protezione dei dati"?
Spiegazione
La protezione dei dati riguarda la tutela delle persone i cui dati personali sono trattati, ad esempio archiviati, da un'azienda o da un'amministrazione locale. I dati personali possono essere qualsiasi informazione su una persona che possa identificarla direttamente o indirettamente. I dati personali comprendono nomi, indirizzi, occupazioni, numeri di istruzione o di conto corrente, dati sanitari, opinioni politiche o informazioni sull'affiliazione religiosa. In breve, la protezione dei dati si concentra sulle persone. La legislazione sulla protezione dei dati deve proteggere le persone dal trattamento arbitrario dei loro dati personali da parte di aziende o altre istituzioni. Gli individui dovrebbero mantenere il controllo sui propri dati e non diventare "individui trasparenti".
Quadro giuridico
In Germania esistono diverse norme giuridiche sulla protezione dei dati. In primo luogo, la protezione dei dati è un diritto fondamentale in Germania. A volte questo non è noto, poiché non esiste un diritto fondamentale chiamato "protezione dei dati". Tuttavia, la protezione dei dati come "diritto all'autodeterminazione informativa" è stata derivata dal diritto generale della personalità, l'articolo 2 (1) GG in combinazione con l'articolo 1 (1) GG, a partire dalla sentenza sul censimento del 1983. Secondo il "diritto all'autodeterminazione informativa", in linea di principio ogni persona dovrebbe essere in grado di decidere autonomamente se divulgare i propri dati e di sapere chi tratta i suoi dati, quando e perché. In Germania, tuttavia, quando si tratta di trattare concretamente i dati personali nella vita professionale di tutti i giorni, il GDPR e il BDSG sono decisivi (inoltre, possono ancora essere applicate normative specifiche per paese e/o per area). A causa della sua natura normativa, il GDPR ha generalmente la precedenza sul BDSG; tuttavia, il BDSG integra il GDPR in alcune aree in cui quest'ultimo non contiene alcuna dichiarazione o non ne contiene di specifiche, ad esempio nell'ambito della protezione dei dati dei dipendenti.
Principi chiave della protezione dei dati
Per garantire che i dati personali non siano trattati in modo arbitrario da aziende o altre istituzioni, il GDPR regolamenta "se" e "come" i dati devono essere trattati. Il fattore decisivo è che i dati personali possono essere trattati ("se") solo se una base legale lo consente o se le persone i cui dati sono trattati hanno dato il loro consenso, art. 6 (1) GDPR, il cosiddetto "se". 6 (1) GDPR, il cosiddetto "divieto con riserva di consenso". Inoltre, il GDPR stabilisce alcuni principi su "come" devono essere trattati i dati personali, art. 5 GDPR. 5 GDPR. Ad esempio, i dati personali possono essere trattati solo per finalità determinate prima del trattamento (ad esempio, l'adempimento di un contratto) e devono essere ridotti al minimo (ad esempio, nessuna raccolta di dati personali non necessari per l'adempimento del contratto). Inoltre, il trattamento dei dati deve essere trasparente, il che significa che le persone devono essere pienamente informate sul trattamento dei loro dati personali in modo da poterlo comprendere o controllare.
Sintesi
La protezione dei dati protegge le persone dal trattamento illegale dei loro dati personali. Le norme giuridiche sulla protezione dei dati, in particolare il GDPR, regolano "se" e "come" vengono trattati i dati personali.
Cosa significa "sicurezza dei dati"?
Spiegazione
La "sicurezza dei dati" è una sottoarea della "sicurezza informatica" oltre alla "sicurezza delle informazioni". A differenza della protezione dei dati, la sicurezza dei dati si concentra sui dati stessi e non sulle persone. Inoltre, non si concentra solo sui dati personali, ma sui dati in generale, che quindi comprendono anche, ad esempio, i dati operativi (bilanci, codice sorgente) che non hanno alcun riferimento personale. La sicurezza dei dati mira a proteggere i dati dalle minacce attraverso misure tecniche e/o organizzative. Le minacce possono essere, ad esempio, l'hacking, il furto, il malware o l'errore umano.
Quadro normativo
La sicurezza dei dati si concentra sulla garanzia di misure tecniche e/o organizzative per la protezione dei dati. Non esiste una legge universalmente accettata per qualsiasi azienda in materia di sicurezza dei dati. Tuttavia, il GDPR stabilisce, all'art. 32, che le misure tecniche e/o organizzative devono essere adottate per garantire la sicurezza dei dati. 32 che devono essere utilizzate misure tecniche e/o organizzative per proteggere i dati personali; l'art. 32 del GDPR elenca inoltre alcuni esempi di misure di sicurezza. 32 del GDPR elenca anche misure esemplari, come la crittografia o la pseudonimizzazione.
Tuttavia, per le infrastrutture critiche, o "CRITIS" in breve, come i settori della sanità, della finanza, dell'alimentazione o dell'energia, esistono norme giuridiche speciali riguardanti la sicurezza delle informazioni in generale. Ai CRITIS si applica l'Information Security Act. La legge mira a garantire la sicurezza dei sistemi informatici del CRITIS. Inoltre, le aziende o altre istituzioni possono essere certificate secondo determinati standard, ad esempio ISO 27001 o BSI IT-Grundschutz. Questi standard contengono determinate regole su come la sicurezza delle informazioni può essere implementata teoricamente e praticamente in un'azienda o in altre istituzioni attraverso misure tecniche e/o organizzative.
Principali obiettivi di protezione della sicurezza dei dati
L'obiettivo della sicurezza dei dati è garantire che i dati siano protetti in ogni momento. La sicurezza dei dati esiste, tra l'altro, quando i tre obiettivi di protezione essenziali di "riservatezza", "disponibilità" e "integrità" sono garantiti o non compromessi. La riservatezza è garantita quando solo le persone autorizzate hanno accesso ai dati; la disponibilità quando i dati sono sempre a disposizione delle persone autorizzate; l'integrità quando i dati sono corretti e completi.
Sintesi
La sicurezza dei dati protegge i dati di qualsiasi tipo dalla perdita, dalla manipolazione e da altre minacce e può essere ottenuta in particolare con misure tecniche e/o organizzative.
Conclusione
È importante notare che, sebbene la protezione dei dati e la sicurezza dei dati non siano identiche, la protezione dei dati può essere garantita solo attraverso la sicurezza dei dati. In fin dei conti, non serve a nulla se i dati personali sono trattati legalmente ma non sono sufficientemente protetti da minacce dal punto di vista tecnico e/o organizzativo.