Catalog GDPR Publicație despre prelucrarea datelor personale și securitatea informației
Nr. 1 – Iunie 2021 (Ediția a 4-a)
Cover Story
3 ani de GDPR cu bune… și cu rele…
o Editorial o Actualitate
o Cover Story o Specialiștii o Analiză o DPO o Tehnologie o Cybersecurity o Digitalmania
CUPRINSUL
Editorial
pag. 2
Actualitate
ag. 4
Cover Story Specialiștii
pag. 8 ag. 52
Analiză
pag. 64
DPO
pag. 84
Tehnologie
pag. 90
Cybersecurity Digitalmania
pag. 96 pag.100 1
Editorial
Un
proiect de suflet, simbioză între istoric și noi formule… Radu Crahmaliuc Catalogul GDPR este un proiect de suflet, care stătea de mult într-un sertar. Contextul creat de aniversarea a 3 ani de la intrarea în vigoare a Regulamentului, acumularea multor subiecte și materiale pe care nu am mai avut timp să le pun pe site, precum și dorința naturală de a acoperi un mare gol pe piața publicațiilor de specialitate, toate acestea au contribuit la realizarea acestui demers. Cum orice moment de bilanț presupune analiza a ceea ce s-a întâmplat și încercarea de a ghici ceea ce urmează, am gândit un set de 5 întrebări care să acopere mai toate temele specifice de interes, pe care le-am adresat unor specialiști în GDPR din mai multe țări, cu o largă diversitate de expertize, pe care i-am remarcat pentru prezența efervescentă din mediile sociale. Aceleași întrebări le-am adresat câtorva dintre cei mai activi specialiști de la noi, cu care am colaborat deja în mai multe proiecte și care au răspuns cu entuziasm la solicitarea mea. Mai mult de atât, s-au arătat dispuși să contribuie și cu o serie de articole, reprezentând comentarii sau propriile opinii pentru o serie de subiecte de larg interes. Le mulțumesc tuturor celor care și-au arătat disponibilitatea să contribuie cu răspunsuri sau articole la această ediție specială a Catalogului GDPR.
2 Catalog GDPR
Golul de care vorbeam se referă în primul rând la dispariția aproape totală a publicațiilor de specialitate din zona de IT. Zic ”aproape totală” pentru că încă mai sunt câțiva care se străduiesc să poarte steagul, dar cu siguranță nu mai e ce a fost acum 5, 10, sau 25 de ani… În primul rând nu mai e industria și oamenii care să susțină o presă de specialitate. Disiparea unor valoroase grupuri de presă precum Agora media sau IDG care au susținut pionieratul unei piețe românești în care totul părea posibil, nu a fost întâmplătoare și nu e legată musai de renunțarea la publicațiile tipărite. A fost un efect al diminuării interesului, a retragerii treptate a unor oameni care realizau conținut de mare valoare din aproape orice subiect, iar lumea citea nu numai ca să vadă ce model nou de laptop sau de monitor au mai apărut, ci și ca să se inițializeze în abc-ul unei economii digitale în care termeni precum ERP, CRM, TCO, internetul tuturor și economia bazată pe prelucrarea informației abia atunci cristalizau. Țin minte prima conferință de ERP organizată de IDG România cu ocazia unei conferințe ROCS sau primul Ghid al Cafenelelor Internet din România sau primul Catalog Cloud Computing realizat împreună cu bunul prieten Romi Maier. Seria de cataloage Cloud a continuat mai bine de 5 ani, până la ediția a 9-a, ultimele trei fiind dedicate fenomenului GDPR… Am povestit toate acestea ca să puteți înțelege mai bine de ce Catalogul GDPR actual este un proiect de suflet și de ce am vrut să apară în luna iunie, fix la trei ani după ultima ediție care a fost și
cântecul de lebădă al colaborării cu Agora Media. Una dintre diferențele față de ediția amintită este faptul că acum suntem exclusiv în format digital. În rest, am încercat să realizez o simbioză între subiectele legate de tehnologie și cele de GDPR, totul îmbrăcat într-o structură de revistă online de unde nu lipsesc rubrici precum: actualitate, cover story, analiză, opiniile specialiștilor, DPO, tehnologie, cybersecurity sau mania transformării digitale… Chiar dacă există o istorie, iar denumirea de ”Catalog” o păstrăm din respectul pentru un brand autohton creat cu multă trudă, formula actuală poate fi considerată un proiect pilot. Cu atât mai mult cu cât, dacă nu ați băgat încă de seamă, catalogul nu are de loc reclamă și nici o pagină de conținut plătită. Promovarea altor proiecte interne nu se pune… Ar fi putut fi și câțiva sponsori, dar nu am dorit asta. Am gândit un proiect ”pro-bono”, ca atâtea în ultimii ani, în care valoare conținutului să primeze și să conducă la multiplicarea valorii informației prin consolidarea unei adevărate culturi publicistice GDPR. Cât de periodică va deveni această publicație hibrid între GDPR și tehnologie, vom vedea… Depinde de mulți factori, dar în primul rând de interesul cititorilor pentru această plajă de tematici. Lucruri de scris vor mai fi și de acum înainte, oameni de valoare care să ne împărtășească ideile lor, de asemenea, iar entuziasmul de a deschide noi cărări, încă se mai găsește… Vă doresc o lectură plăcută și să vă bucurați de valoarea informației împărtășită de cei cu care am colaborat.
3 Iunie 2021
Actualitate
Avem noi clauze contractuale standard Pe 4 iunie 2021 Comisia Europeană a adoptat două seturi de clauze contractuale standard, unul pentru utilizarea între operatori și procesatori și altul pentru transferul de date cu caracter personal către țări terțe. Aceste documente reflectă noile cerințe în temeiul GDPR și iau în considerare hotărârea Schrems II a Curții de Justiție, asigurând un nivel ridicat de protecție a datelor pentru cetățeni. Aceste noi instrumente vor oferi mai multă previzibilitate juridică organizațiilor europene și vor ajuta, în special, IMM-urile să asigure conformitatea cu cerințele pentru transferuri sigure de date, permițând în același timp ca datele să circule liber peste granițe, fără bariere de legalitate. Noile clauze contractuale standard (CCS) iau în considerare avizul comun al Comitetului european pentru protecția datelor și al Autorității europene pentru protecția datelor, feedbackul părților interesate în timpul unei consultări publice ample și opinia reprezentanților statelor membre. „În Europa, vrem să rămânem deschiși și să permitem fluxul de date, cu condiția ca protecția să curgă odată cu aceasta. Clauzele contractuale standard modernizate vor contribui la atingerea acestui obiectiv: oferă companiilor un instrument util pentru a se asigura că respectă legile privind protecția datelor, atât pentru activitățile lor în UE, cât și pentru transferurile internaționale. Aceasta este o soluție necesară în lumea digitală interconectată, unde transferul de date se face prin câteva clikuri, ” a declarat Vera Jourová, Vicepreședinte pentru valori și transparență.
Cu ce modificări vin noile modele de CCS? Clauzele contractuale standard publicate recent reflectă noi cerințe în temeiul Regulamentului general privind protecția datelor și abordează realitățile cu care se confruntă companiile moderne. Datorită standardizării și aprobării prealabile, CCS oferă companiilor un șablon ușor de implementat, iar organizațiile știu că atunci când utilizează acest model de clauze îndeplinesc cerințele de protecție a datelor. Noile clauze vin cu un singur punct de intrare care acoperă o gamă largă de scenarii de transfer, în loc de seturi separate de clauze. Totodată, se oferă mai multă flexibilitate pentru fluxurile complexe de procesare, printr-o „abordare modulară”, cu posibilitatea ca mai mult de două părți să adere și să utilizeze clauzele; Clauzele reprezintă un set de instrumente practice pentru a se conforma hotărârii Schrems II; adică o prezentare generală a diferitelor etape pe care trebuie să le parcurgă companiile pentru a se conforma hotărârii Schrems II, precum și exemple de posibile „măsuri suplimentare”, cum ar fi criptarea, pe care companiile le pot lua dacă este necesar. Pentru operatorii și procesatorii care utilizează în prezent seturi anterioare de clauze contractuale, este prevăzută o perioadă de tranziție de 18 luni. Nevoia unei actualizări a apărut din iulie 2020, când Curtea de Justiție europeană a confirmat valabilitatea clauzelor contractuale standard ale UE pentru transferul de date cu caracter personal către procesatori din afara UE / SEE („CSC”), invalidând în același timp acordul existent între UE-SUA.
4 Catalog GDPR
Avem o decizie de adecvare pentru transferul de date UE-UK Comisia Europeană a adoptat pe 28 iunie două decizii de adecvare pentru Regatul Unit una în temeiul Regulamentului general privind protecția datelor (GDPR) și cealaltă pentru Directiva privind aplicarea legii. Datele cu caracter personal pot circula acum liber din Uniunea Europeană în Regatul Unit, unde beneficiază de un nivel de protecție esențial echivalent cu cel garantat de legislația UE. Deciziile de adecvare facilitează, de asemenea, punerea în aplicare corectă a Acordului de comerț și cooperare UE-Regatul Unit, care prevede schimbul de informații cu caracter personal, de exemplu pentru cooperarea în materie judiciară. Marea Britanie, care deși a contribuit esențial la cristalizarea actualei forme a GDPR, operează o politică de date complet independentă, a recunoscut deja statele membre UE și SEE drept „adecvate”, ca parte a angajamentului său de a stabili o tranziție lină post Brexit. Comisarul pentru informații ICO, Elizabeth Denham, a declarat: „Acesta este un rezultat pozitiv pentru întreprinderile și organizațiile din Marea Britanie. Adecvarea aprobată înseamnă că întreprinderile pot continua să primească date de la UE fără a fi nevoie să aducă modificări practicilor lor de protecție a datelor. Oamenii vor continua să se bucure de o protecție conform căreia datele lor vor fi utilizate în mod corect, legal și transparent.”
Legea inteligenței artificiale În 23 Aprilie 2021 a fost publicat un comunicat de presă privitor la nevoia de reglementare a modului în care se folosesc tehnologiile bazate pe inteligența artificială pentru identificare facială. Propunerea legislativă a Comisiei Europene pentru o reglementare a inteligență artificială este prima inițiativă, la nivel mondial, care oferă un cadru legal pentru inteligența artificială (AI). AEPD salută și susține conducerea Uniunii Europene (UE) cu scopul de a se asigura că soluțiile de IA sunt modelate în conformitate cu valorile și principiile legale ale UE.
”AEPD va continua să pledeze pentru o abordare mai strictă a recunoașterii automate în spațiile publice a caracteristicilor umane - cum ar fi fețele, dar și a mersului, amprentelor digitale, ADN-ului, vocii, tastelor și a altor semnale biometrice sau comportamentale - indiferent dacă acestea sunt utilizate într-un context administrativ sau în scopul aplicării legii. Este necesară o abordare mai strictă, având în vedere că identificarea biometrică la distanță, unde AI poate contribui la dezvoltări fără precedent, prezintă riscuri extrem de ridicate de intruziune profundă și nedemocratică în viața privată a indivizilor.” Wojciech Wiewiórowski, președinte AEPD
5 Iunie 2021
Actualitate
Norvegia - Amendă pentru redirecționarea de emailuri Autoritatea de supraveghere din Norvegia a amendat o companie locală cu 25.000 EUR pentru redirecționarea ilegală a e-mailurilor unui angajat. La baza cazului este o plângere depusă de o persoană care a constatat că angajatorul său a început să îi redirecționeze în mod automat e-mailurile. Mai mult de atât, angajatorul i-a solicitat angajatului să seteze această redirecționare automată, din motive operaționale. După ce a investigat problema, Autoritatea Norvegiană pentru Protecția Datelor a concluzionat că operațiunea nu avea un temei juridic pentru transmiterea e-mailurilor.
Olanda - Municipalitate penalizată pentru urmărire Wi-Fi Autoritatea olandeză pentru protecția datelor a amendat o municipalitate cu 600.000 EUR pentru că a utilizat urmărirea Wi-Fi în centrul orașului într-un mod interzis. Monitorizarea Wi-Fi a făcut posibilă urmărirea cumpărătorilor și a persoanelor care locuiesc sau lucrează în centrul orașului. Acum câțiva ani, municipalitatea a decis să măsoare cât de aglomerat era centrul orașului, folosind senzori amplasați pe străzile comerciale care detectau semnalele WiFi de pe telefoanele mobile ale trecătorilor. Aparent, acest lucru făcea posibilă măsurarea nivelului de aglomerație de pe stradă, numărând câte telefoane sunt lângă un senzor la un anumit moment. Ancheta DPA a constatat că este vorba de un caz de urmărire, iar confidențialitatea cetățenilor nu a fost protejată corespunzător.
Portugalia - Exportul datelor de recensământ interzis Autoritatea portugheză pentru protecția datelor (CNPD) a ordonat INE (Institutul Național de Statistică) să suspende trimiterea de date cu caracter personal din Recensământul 2021 către Statele Unite. După o serie de reclamații referitoare la condițiile de colectare a datelor online, CNPD a efectuat o investigație rapidă și a concluzionat că INE a externalizat către un furnizor de servicii Cloud american funcționarea chestionarului recensământului, printr-un acord de prelucrare a datelor care prevede transferul de date personale către Statele Unite.
Italia - Competiție de design pentru pictograme „Putem facilita menținerea confidențialității prin pictograme?” Pe această idee s-a bazat concursul de creație organizat de autoritatea de supraveghere italiană, care a solicitat participanților să trimită un set de simboluri sau icoane care pot reprezenta toate elementele care trebuie să fie conținute într-o notă de informare în Articolele 13 și 14 din GDPR.
6 Catalog GDPR
Sinteza activității ANSPDCP – primele patru luni din 2021 Cu prilejul celebrării a trei ani de la aplicarea GDPR, autoritatea de supraveghere din România a realizat o sinteză a celor mai semnificative aspecte din activitatea ANSPDCP în primele patru luni ale anului 2021. Astfel, în perioada analizată: 1733 de plângeri, sesizări și notificări privind incidente de securitate au fost primite, pe baza cărora au fost deschise 288 investigații. 15 amenzi în cuantum total de 110.545,7 lei au fost aplicate pe baza investigațiilor. 37 de avertismente și 30 de măsuri corective au fost aplicate. 1600 plângeri au fost primite, pe baza cărora au fost demarate 155 de investigații. 84 de notificări au fost trimise de operatorii de date au transmis (în temeiul GDPR și al Legii nr. 506/2004). 49 de sesizări au fost primite privind posibile neconformități cu dispozițiile GDPR. 133 de investigații din oficiu au fost demarate ca urmare a sesizărilor primite și încălcărilor de securitate notificate. . 352 solicitări de emitere puncte de vedere privind diverse aspecte referitoare la modalitatea de interpretare și aplicare a Regulamentului (UE) 679/2016 15 solicitări formulate în temeiul Legii nr. 544/2001, în principal din partea mass-media. Pe 27 ianuarie 2021, autoritatea a organizat o conferință online dedicată autorităților și instituțiilor publice, intitulată „Constatări și recomandări pentru operatorii din sectorul public”. Pe 28 ianuarie 2021, a fost organizată conferința cu tema „Constatări și recomandări pentru operatorii din sectorul privat”, cu participarea celor mai importante asociații și uniuni profesionale, a unor camere de comerț și a reprezentanților mass-media. În aprilie 2021, pe site-ul Autorităţii Naționale de Supraveghere au fost postate informații privind condițiile de transmitere/admisibilitate a plângerilor, conform Deciziei nr. 133/2018 privind aprobarea Procedurii de primire și soluționare a plângerilor. 16 comunicate de presă au fost postate la secțiunea ”Știri” pe site-ul Autorității. 713 responsabili DPO au fost declarați de către operatorii din sectorul public și privat. Sursa: https://www.dataprotection.ro/?page=Comunicat_Presa_25_05_2021&lang=ro
7 Iunie 2021
Cover Story
3 ani de GDPR cu bune… și cu rele…
8 Catalog GDPR
Pentru a surprinde cât mai fidel larga diversitate de opinii despre modul în care a evoluat fenomenul GDPR, atât din perspectiva a ceea ce s-a întâmplat pozitiv, dar mai ales în privința eforturilor care trebuie depuse în continuare, am adresat același set de 5 întrebări unor specialiști străini și români pe care îi apreciez pentru contribuția activă la promovarea valorilor GDPR și eforturile de sensibilizare a celor care ar trebui să fie direct implicați în adoptarea cerințelor de conformitate.
Mi s-a părut deosebit de interesant faptul că, deși fiecare dintre cei cu care am discutat vine cu experiențe din diferite domenii, specialiști în legislație, dezvoltatori de aplicații software, certificați în securitatea informației, consultanți independenți, experți și auditori de standarde tehnice, am regăsit în multe dintre răspunsuri puncte de vedere comune. Asta poate fi o dovadă a cristalizării unei noi clase de specialiști, care pe lângă expertiza anterioară au acumulat multă experiență practică de proiecte și pentru care GDPR s-a dovedit mai mult decât un simplu subiect de dezbatere.
9 Iunie 2021
Cover Story
Care sunt cele mai importante motive personale de satisfacție legate de evoluția GDPR din ultimii 3 ani? În ciuda mediilor eterogene de expertiză ale celor cu care am discutat, am plecat de la presupunerea că există și motive de satisfacție personală pentru cele realizate în perioada analizată. Așa cum mă așteptam, un prim motiv de satisfacție este faptul că GDPR ne-a atras atenția asupra importanței protecției datelor și a motivelor fundamentale pentru care există și este nevoie în continuare de legi. Așa cum spunea și Elisabeth Denham, UK Information Commissioner ICO: ”GDPR este cea mai mare schimbare în legile de protecție a datelor personale. Deși are multe din vechea legislație, aduce perspectiva sec. 21 pentru procesarea datelor personale, asigurând o protecție sporită pentru cetățenii UE și mai mult respect pentru confidențialitate din partea organizațiilor." Dar pentru obținerea respectului pentru prelucrarea datelor este nevoie de o conștientizare ”în masa” asupra protecției datelor și a importanței asigurării drepturilor individuale. Una dintre evidențele acestei conștientizări o reprezintă numărul destul de mare de plângeri adresate autorităților de protecție a datelor. Conform statisticilor publicate de Autoritatea de supraveghere din România, doar în primele patru luni ale acestui an au fost primite peste 1733 de plângeri, sesizări și notificări privind incidente de securitate. Un motiv de satisfacție pentru specialiști e reprezentat de faptul că unele organizații încep să-și dea seama că asigurarea alinierii la cerințele GDPR nu este un proiect singular și că protecția datelor trebuie să fie încorporată în toate procesele organizației și menținută. Sunt destul de mulți manageri care au reușit să parcurgă procesul de transformare, evoluând de la o gândire pur oportunistă de tipul ”se poate și așa, hai să o rezolvăm mai repede”, la o atitudine mult mai corectă de tipul „dacă este important să facem asta, haide să o facem cât mai bine.”
10 Catalog GDPR
Un alt fenomen pozitiv este faptul că în multe cazuri confidențialitatea a devenit un punct central de discuție nu numai în UE, tendința fiind ca tot mai multe țări să adopte legislații privitoare la protecția vieții private, în corelație cu criteriile de adecvare stabilite de UE. Dar nu numai celelalte țări tind să se alinieze, ci și marile corporații. În ciuda faptului că mulți specialiști consideră că marii jucători „GAFAM” (Google, Amazon, Facebook, Apple, Microsoft) nu au fost penalizați cu prea mare severitate, nimeni nu poate să conteste faptul că toți aceștia au început să simtă presiunea comunității și se străduiesc să țină pasul cu GDPR, în măsura în care se poate… Procesul de conformitate a aplicațiilor și platformelor sociale este de lungă durată, și utilizatorii au devenit conștienți de drepturile lor și sunt mai atenți la notificările de confidențialitate primite, chiar dacă utilizează în continuare browsere, aplicații, instrumente și tehnologii invazive de confidențialitate… La nivelul companiilor mari, mijlocii și mici se constată o preocupare certă pentru asigurarea aparențelor, existând multe situații în care continuitatea afacerii e condiționată de îndeplinirea obligatorie a unor criterii de conformitate, indiferent de mărimea organizației sau domeniul de activitate. Secretul unei atitudini corecte față de GDPR este ca organizațiile să înțeleagă că nu amenda este cel mai rău lucru care se poate întâmpla în cazul identificării unor neconformități și că posibilitatea de a pierde încrederea clienților, a partenerilor, a imaginii în piață este o consecință mult mai gravă. Ca opinie personală, aș mai adăuga faptul că există speranța (și am avut surpriza să constat asta în cele mai diferite domenii) ca persoanele de decizie să devină proactive și să nu aștepte să se întâmple ceva. Asigurarea unui nivel satisfăcător de conformitate depinde de înțelegerea faptului că GDPR nu este o ”calamitate” pentru organizație și că demersurile de asigurare a alinierii constituie o oportunitate din foarte multe puncte de vedere. Dar, cum ziceam, această schimbare de atitudine este încă o speranță; doar 20% din cei care au răspuns unui test rapid adresat membrilor grupului GDPR Ready de pe LinkedIn apreciind impactul real al GDPR asupra proceselor de prelucrare a datelor personale
11 Iunie 2021
Cover Story
Care sunt cele mai importante motive de regret, proiecte nerealizate, dificultăți întâmpinate? În practica curentă de project management există multe erori și eșecuri inerente în orice proiect. Ideal este să învățăm din eșecurile noastre și să încercăm să facem lucrurile mai bine. Asta e valabil și pentru proiectele de asigurare a conformității GDPR. Pentru cei cu adevărat interesați, dificultățile și eșecurile au fost motorul unei îmbunătățiri continue a politicilor și procedurilor. Printre dificultățile semnalate de specialiști s-a remarcat și faptul că multe companii au tratat procesul de aliniere GDPR doar ca o problemă legală, mai degrabă decât un imperativ de afaceri sau o sursă de apreciere reală a valorii datelor personale. Puțini au înţeles că bine-cunoscuta triadă ”oameni, procese, tehnologie”, des folosită în proiectele de asigurare a securităţii informației, este la fel de valabilă și pentru GDPR. Problemele legale adresează doar oamenii, cele tehnice vizează tehnologiile, în timp ce liantul acestui triunghi sunt procesele, care nu pot fi asigurate decât printr-o cultură organizațională adecvată. Fiecare element al acestui triunghi este esențial și nimic nu se poate face dacă lipsește una dintre componente. Degeaba ai legi, proceduri și politici, dacă oamenii nu le aplică; degeaba ai oameni instruiți dacă nu au la dispoziţie documentația și tehnologia necesare. Degeaba avem tehnologiile cele mai performante dacă nimeni nu știe cum să le folosească, … și tot așa. Nu degeaba, una dintre cele mai importante dificultăți, semnalată de majoritatea specialiștilor cu care am discutat, se referă la elementul uman, la motivele pentru care oamenii nu fac ceea ce li se impune sau li se recomandă, la factorii psihologici care frânează adoptarea unei culturi față de protecția datelor. Ca în orice proces de transformare, lipsa unei motivări reale și rezistența la schimbare sunt cele mai importanți factori de frânare. Paradoxul este că, de multe ori, această atitudine nu e conștientizată. Oamenii fac în continuare aceleași greșeli, deși li s-a explicat asta. Asimilarea unei culturi este un proces de durată și până când nu îți intră în reflex să faci un anumit lucru, e nevoie de eforturi constante de instruire. Ca în cazul reciclării deșeurilor. A fost un proces greu, dar acolo unde există condiții, e chiar distractiv să cauți să arunci sticla de plastic în containerul de reciclare potrivit…
12 Catalog GDPR
O altă dificultate majoră este atitudinea față de protecția datelor. Mulți au crezut că dacă cumpără un set de formulare și alocă sarcina de responsabil GDPR unui administrator IT, unui jurist sau chiar directorului financiar, lucrurile se rezolvă de la sine. Dacă admitem faptul că asigurarea conformității presupune că trebuie să ne acoperim de hârtii (documente electronice) care să dovedească ce am declarat noi în politicile interne și publice, GDPR poate fi considerat pură birocrație. Dar asta nu e suficient. Eficiența operațională presupune nu numai reguli și și garantarea respectării acestora, care se face numai prin asumarea responsabilității. Asta nu au înțeles nici firmele foarte mari, care deși au dosare de conformitate ”beton”, nu s-au asigurat să facă lucrurile să meargă, adică să nu aibă conformitate doar pe hârtie. Secretul constă tot în factorul uman, care trebuie să înțeleagă că prelucrarea de date personale este nu numai o responsabilitate a companiei sau departamentului, ci în primul rând o responsabilitate personală. Revenind la sondajul amintit printre membrii grupului GDPR Ready, relevant este faptul că cei mai mulți respondenți au apreciat că cele mai importante influențe ale GDPR asupra organizațiilor au fost frica de penalități și sancțiuni (33%) și că totul este doar pe hârtie (33%).
13 Iunie 2021
Cover Story
Care sunt cele mai importante greșeli care se fac în proiectele de adopție a cerințelor de conformitate? Plecând de la experiența acumulată de toți cei cu care am discutat, mă așteptam ca aceștia să semnaleze o mare diversitate de greșeli. Din nou am avut surpriza să constat un nivel destul de omogen al aprecierilor, dovadă a cristalizării unor experiențe comune, în ciuda diversității expertizei. Cele mai frecvente greșeli întâlnite în proiectele de adopție a cerințelor GDPR pot fi sintetizate astfel: • Asimilarea conformității cu o operațiune de bifare a unei liste de acțiuni și completarea unor formulare. • Lipsa de cooperare între personaje cheie precum DPO, CIO sau CISO; • Înțelegere eronată a noțiunii de ”conformitate”, fără a se ține cont de implicațiile termenilor de „calitate”, „valoare” sau chiar „etică”. • Abordarea „conformității” prin focalizarea pe cerințele individuale, fără a se ține cont de guvernanță, toleranțe la risc sau dependențe. • Înțelegerea greșită a conceptului de conformitate conduce de multe ori la disfuncționalități în aplicarea unor proceduri clare, precum instruirea adecvată a angajaților, lipsa unei proceduri de răspuns la solicitările persoanelor vizate sau chiar imposibilitatea de pune în aplicare renunțarea la un consimțământ. • Lipsa de înțelegere a unei abordări bazate pe riscuri, corelată cu încercarea de a atenua unele riscuri reale semnalate în condițiile în care nu a existat un proces de analiză corespunzător, la nivelul tuturor proceselor și fluxurilor de date. • Multe organizații tratează în mod separat protecția datelor personale și securitatea informațiilor. Datele personale nu există independent de restul datelor din organizație și toate măsurile adoptate trebuie să vizeze asigurarea integrității și confidențialității datelor personale. • Alocarea responsabilității de DPO unui angajat care prin natura activităților curente se poziționează clar într-un conflict de interese. În plus, multe organizații încredințează responsabilităţile GDPR unor personale total nepregătite, care nu cunosc esența proceselor operaționale ale organizaţiei. • Ignorarea totală a analizelor de impact în cazul demarării unor noi procese de prelucrare sau al adopției unor aplicaţii sau platforme de lucru.
14 Catalog GDPR
Aș mai adăuga aici o listă ”scurtă” cu cele mai importante erori de implementare întâlnite în experiența personală: • Lipsa unei implicări manageriale adecvate ce se reflectă în disfuncționalități de guvernanță, urmărire a evoluției și lipsa mijloacelor de asumare efectivă a responsabilității; • Metode ineficiente de asimilare a politicilor la nivel de organizație, care de multe ori există doar pe hârtie, fără a fi puse practic în aplicare; • Abordarea superficială a politicii de confidențialitate de pe un site web, cele mai multe politici fiind neactualizate sau acoperind doar relația de prelucrare a datelor personale a celor care vizitează site-ul; • Lipsa de conformitate prin nerespectarea regulilor de obținere a consimțământului, activități de direct marketing la limita spam-ului și folosire incorectă a meniurilor de cookies; • Neglijarea elementelor esențiale de conformitate pe care trebuie să le îndeplinească aplicațiile software folosite, modul de utilizare a acestora și lipsa unei informări corecte a persoanelor vizate în legătură cu tehnologia folosită.
15 Iunie 2021
Cover Story
Poate exista conformitate GDPR 100% sau o rețetă pentru o implementare de succes?
Iată o întrebare de tip ”capcană” adresată specialiștilor, cu speranța că răspunsurile acestora vor coincide cu propriile opinii. Sunt foarte mulțumit de faptul că mi s-a confirmat acest lucru. La fel ca în cazul conceptului de ”Securitate informatică” și ”Conformitatea GDPR” este un proces a cărei principal caracteristică este instabilitatea. Nu putem avea 100% Securitate, după cum nu putem asigura nici 100 conformitate GDPR. Totul este clar aici. Dar putem vorbi aici de aplicarea unor formule de succes? În toate sesiunile mele de instruire îmi place să compar conformitatea GDPR cu mersul pe sârmă: putem face asta, adică să mergem pe sârmă, cu condiția de a stăpâni arta menţinerii echilibrului, dar și de a fi conștienți de pericolul care ne paste la fiecare pas. În orice demers de aliniere la GDPR, cheia este să demonstrăm că deținem controlul, că ne cunoaștem riscurile și că avem un plan coerent de a le menţine sub control, dar și că deținem și știm să folosim mecanismele de responsabilitate. În plus, prin tot ceea ce facem trebuie să demonstrăm că știm cum să respectăm principiile descrise în articolul 5 din GDPR: transparența, legalitatea, corectitudinea, minimizarea datelor, limitarea scopului și limitarea stocării, toate acestea echivalând cu ”cei 7 ani de acasă”, căci până la urmă totul ține de nivelul de educație și de bunul simț... căci totul pleacă de la atitudine...
16 Catalog GDPR
17 Iunie 2021
Cover Story
Ce speranțe aveți privind fenomenului GDPR în continuare?
evoluția
Aici trebuie să recunosc faptul că am mizat pe o largă diversitate a răspunsurilor, în ideea de a obține o imagine cât mai complexă a ceea ce se va întâmpla în continuare în domeniul GDPR. Reiau în sinteză cele mai importante aprecieri ale specialiștilor, menționând de această dată și autorul: Organizațiile trebuie să se distanțeze de dominanța procedurilor legale și să pună în echilibru aspectele operaționale și modul de asumare a proprietății asupra datelor (Tim Clements); Organizațiile vor trebui să înțeleagă avantajele conformității GDPR în ceea ce privește securitatea și încrederea clienților. Mai puține date înseamnă o stocare mai precisă, mai bună și mai sigură (Tara Taubman-Bassirian); Trebuie să sperăm că într-o bună zi oamenii vor asigura protecția datelor în mod firesc, deoarece așa este corect (moral, etic, responsabil social) de făcut, dar poate că sperăm prea mult… Ar fi suficient să ne mulțumim ca protecția datelor să fie încorporată și normalizată până la punctul în care nimeni nu pune la îndoială dacă este chiar necesară, și că este la fel de inacceptabil din punct de vedere social să o faci prost, precum ar fi aruncarea ilegală de deșeuri toxice (Rowenna Fielding); Regret foarte mult că dreptul la portabilitatea datelor nu este implementat în mod corespunzător de cele mai multe ori și că există o lipsă de instrumente adecvate care să permită refolosirea datelor în moduri respectabile și sigure pentru confidențialitate. Acest lucru va deveni mai important odată cu viitoarea „Lege privind guvernanța datelor”, în care titularilor de date li se va cere să permită transferul de date către intermediari recunoscuți, serviciile de partajare a datelor (Marie-Claire Peroux);
18 Catalog GDPR
Sper că autoritățile UE funcționează mai bine împreună, dar să nu uităm că în spatele autorităților sunt guverne, fiecare cu propria lor agendă. Între țările care depind de giganții multinaționali ai tehnologiei și țările care cred că supravegherea în masă va rezolva 30 de ani de decizie politică slabă, autoritățile de reglementare în domeniul protecției datelor au o sarcină dificilă, iar bugetul lor nu este întotdeauna adecvat (Claude Saulnier); Cred că vedem o importantă schimbare de atitudine – autoritățile de supraveghere au început să se ia de cei din ”Big Tech” și ”Ad Tech” și în acest an sunt așteptate niște decizii importante în acest sens. De asemenea operatorii de date încep să conștientizeze în masă importanța protecției datelor, deoarece s-au trezit cu anexe de prelucrări de date venite de la clienți, parteneri sau furnizori pe care trebuie să le semneze și pe care nu le înțeleg (Tudor Galoș); Autoritățile, atât cele europene, cât și cele locale vor face în continuare ceea ce au de făcut. În cazul operatorilor (generalizez, dar am în vedere doar marii jucători din online) sunt foarte sceptic. Lupta cu ”protecția datelor personale” este aproape pierdută pentru că reglementările au apărut cu mare întârziere față de evoluția tehnologică. Sunt prea multe componente care interacționează între ele. În opinia mea, acum se ține în viață un pacient care se îndrepta inevitabil spre moarte (Adrian Munteanu); Speranțele mele sunt legate strict de maturizarea, pas cu pas, a înțelegerii acestui domeniu, a necesității unui program coerent, precum și a potențialelor beneficii aduse de tratarea corectă a GDPR, toate acestea fiind legate strict de operatorii de date și furnizorii de servicii din acest domeniu (Daniel Suciu); Cred că legislația națională nu este, pe deplin conformă cu GDPR și mă aștept ca acest lucru să se întâmple cât mai curând, iar autoritățile de reglementare ar trebui să monitorizeze îndeaproape modul în care GDPR se aplică noilor tehnologii, cum ar fi inteligența artificială, IoT, Blockchain, cercetarea științifică, etc. Chiar dacă, până acum, certificarea GDPR nu pare să fie de interes pentru autoritățile române, eu sper ca acest lucru să se întâmple chiar anul acesta. Amenzile vor continua să crească, atât numeric, cât și valoric (Ion Iordache).
19 Iunie 2021
Cover Story
Invitat special Allen
Woods
Toate instrumentele de sunt inutile dacă nu există o
”Natura riscului de protecție a datelor este în continuă evoluție și niciun instrument nu este capabil să țină pasul cu tot ceea ce trebuie făcut... Căci toate instrumentele sunt degeaba dacă nu există o cultură corporativă de sprijin, prin care trebuie să ne asigurăm că, pe măsură ce sunt scrise, toate politicile și procedurile sunt și respectate și că pot fi guvernate în mod eficient. ”
20
Allen Woods Catalog GDPR
asigurare a conformității cultură corporativă de sprijin
Allen Woods are o experiență de peste 30 de ani, în care a parcurs o gamă largă și variată de activități a căror temă comună a fost respectarea legii. În prezent pensionat, Allen consideră că a avut noroc că a început să lucreze în IT atunci când computerele au început să prolifereze, iar pe parcurs i s-a oferit șansa de a lucra într-o mare varietate de domenii: • 20 de ani în armată britanică, dintre care câțiva ani de operațiuni, s-a finanțat prin colegiu pentru a studia IT; • Membru al British Computer Society timp de 20 de ani; • Membru al grupului de interviuri pentru statutul autorizat pentru BCS; • În 2010, finalist al concursului „Dezvoltatorul anului” din Marea Britanie pentru HSIS; • Angajat în activități legate de domeniul apărării și logistică IT din Marea Britanie peste 24 de ani; • Proiecte importante: Sistem de informații privind sănătatea și siguranța Ministerului Apărării, precum și diverse portaluri interne pentru apărare și supraveghere.
21 Iunie 2021
Cover Story
> Allen Woods RC: Au trecut deja 3 ani de la intrarea în vigoare a GDPR și 5 ani de la aprobarea de către forurile europene. În această perioadă, mulți specialiști din domenii conexe precum protecția datelor, adoptarea tehnologiilor IT de graniță, administrarea infrastructurilor informatice sau legislație au migrat în mod natural către GDPR, fiecare cu propria sa experiență, fiecare cu propria percepție privitoare la modul în care acest set eterogen de reguli și recomandări trebuia pus în practică. Au fost trei ani în care sau întâmplat multe. Allen Woods, care sunt cele mai importante motive personale de satisfacție legate de modul în care ”lumea GDPR” a evoluat în această perioadă, cu bune și cu rele…?
Am avut ocazia de a discuta cu unul dintre cei mai experimentați specialiști în probleme de securitate și confidențialitate a datelor, cu o lungă și complexă carieră. L-am remarcat pe Allen Woods prin intermediul multiplelor grupuri de discuții profesionale găzduite de pe LinkedIn și de fiecare dată am apreciat intervențiile sale la obiect, bazate pe o analiză riguroasă a informațiilor și pe bogata experiență din situații reale. Radu Crahmaliuc
22
AW: E mult de discutat aici… Un prim punct de vedere este că GDPR reprezintă în întregime ”ceva ce trebuie făcut”, dar ceva care este focalizat prost, având în vedere explozia de informații colectate prin conectivitatea asociată cu „Internetul obiectelor” (IoT) - în care chiar și aspiratoarele robotizate sunt ocupate cu cartografierea caselor, răspândirea Bluetooth sau aplicațiile ce folosesc transmisie de mare viteză pe bandă largă. Introducerea capabilității de comunicare pe bandă largă de a cincea generație (5G), ne determină să înțelegem efectele proliferării și diversificării transmisiei de date. Deci concentrarea doar pe protecția datelor, chiar dacă pe lângă GDPR avem în vedere și directiva ePrivacy, nu este suficientă, dat fiind că protecția datelor nu este aceeași cu protecția confidențialității și nici nu începe să abordeze problemele asociate cu „inteligența artificială”. Cei mai mulți dintre cei care studiază cu atenție Directiva ePrivacy, într-o primă instanță se opresc la pagina 3, paragraful 24 și iau în considerare implicațiile unei „sfere de confidențialitate” și că nimic nu ar trebui să treacă granița sferei pentru orice dispozitiv folosit de un utilizator final, fără consimțământ. Catalog GDPR
În timp ce studiam textul GDPR pentru prima dată acum câțiva ani, am decis să îmbunătățesc un lexicon legislativ construit pentru a testa omisiuni în textul legislației privind sănătatea și siguranța. Analiza a constat în catalogarea conținutului documentului pentru o serie de cuvinte, după identificarea numărului de apariții și valorii fonetice a fiecărui cuvânt. O primă testare a constat în căutarea unor cuvinte precum „proprietate” și „confidențialitate”. Rezultatul a fost că ambele cuvinte, cât și altele, sunt destul de rar utilizate în textul GDPR. Această descoperire întărește opinia că, deși există pretenții că regulamentul protejează viața privată, acesta pare să nu se regăsească în termeni structurali, prin lipsa de menționare a unor concepte precum cel de ”proprietate”. Din această perspectivă, pare că GDPR se referă în primul rând la asigurarea calității aplicațiilor software și a datelor, mai degrabă decât la confidențialitatea în sine, multe dintre cerințele documentare provenind direct din alte inițiative QA, cum ar fi ITIL, COBIT și altele. O altă complicație care poate să tulbure apele este că, deși există un text primar, implementarea mai largă la nivel național a însemnat încorporarea în legislația la nivel național. În acest sens, guvernele naționale (în mod semnificativ Franța, Irlanda și Marea Britanie) au încorporat textul într-o consolidare mult mai largă a legislației privind protecția datelor și informatică. Încorporarea a inclus textul GDPR, doar nu în aceeași ordine în fiecare țară, iar consolidarea înseamnă că interpretarea GDPR la nivel național este mai complicată. Mai mult, în ceea ce privește GDPR, s-au concentrat multe modalități de promovare și protecție a drepturilor persoanei. Cu toate acestea, paradoxul este că suntem întro situație foarte rară în care drepturile unei persoane depășesc drepturile majorității și modul în care majoritatea este respectată este prin tratate precum Maastricht și Lisabona, în care drepturile individului pot și sunt compensate de majoritatea care se manifestă sub forma „statului” sau „guvernului”. Un prim exemplu al raționamentului care stă la baza acestei compensări poate fi văzut în Convenția europeană a drepturilor omului și în articolul 15. Drepturile exprimate în GDPR nu sunt, prin urmare absolute, ceea ce reprezintă o concepție greșită a practicienilor (și nu doar în lumea GDPR). Iunie Iunie 2021 2021
23
Cover Story
> Allen Woods
RC: Ca o prelungire a acestei perspective, care sunt cele mai importante motive de regret, privind proiecte nerealizate sau alte dificultăți întâmpinate? AW: GDPR conține cerința ca un sistem de acreditare să fie pus în aplicare. Faptul că nu s-a făcut nimic în ceea ce privește implementarea unor astfel de scheme de acreditare în fiecare țară, a fost și rămâne fără îndoială cea mai mare greșeală pe care a făcut-o UE, în ansamblu. Această lacună funcțională (a se vedea recomandările ICO din Marea Britanie privind acreditarea) a însemnat că astfel de scheme de acreditare nu erau în vigoare înainte de publicarea finală a GDPR. Această situație a făcut ca certificările și instruirea să devină o oportunitate de afaceri pentru o serie întreagă de „antreprenori”, de la furnizori majori de servicii de formare până la actori individuali care nu înțeleg tehnici de bază precum normalizarea datelor sau importanța nevoii de a înțelege riscurile livrării codului pe dispozitivele clientului.
24
Eșecul de a pune în aplicare de la bun început un sistem de formare și acreditare, se extinde în domeniile stabilirii standardelor și a organismelor profesionale care ar trebui să ofere și să susțină scheme de formare capabile să susțină un domeniu atât de complex precum protecția datelor. Organismele de la nivel național nu sunt implicate într-un mod proactiv, așa cum ar trebui probabil. .
Impactul lipsei de acreditare nu se resimte doar în ceea ce privește instruirea, fiind totodată și o chestiune de conformitate în ceea ce privește dezvoltarea de soluții software sub standardul general „confidențialitate prin design”. În ultimii ani, am avut preocupări legate studiul siteurilor web, folosind instrumente pentru dezvoltatorii de browsere, pentru a inspecta diverse aspecte ale prezenței web, nu doar a furnizorilor de produse specializate, ci și a celor deținute de specialiști juridici, consultanți DPO externi și multe altele. Una dintre concluziile din acel moment a fost că puține site-uri cercetate ar putea trece de orice fel de revizuire a interacțiunii clientului. În acest moment, aproape oricine poate oferi un produs sau un serviciu și poate face afirmații care nu pot fi justificate, având în vedere sfera de conformitate care nu poate fi dovedită decât ca nivel de cultură. RC: Fiind beneficiarul unei atât de bogate experiențe, care credeți că sunt cele mai importante greșeli care se fac în proiectele de adopție a cerințelor de conformitate? AW: În opinia mea, mulți lasă întreaga răspundere a punerii în practică a regulamentului pe seama celor cu profesie de avocat. Însă, în multe cazuri, se creează un dezechilibru între impunerea aspectelor legale ale GDPR și modul în care se rezolvă problemele tehnice pe care le generează aceste aspecte. Studiul site-urilor a demonstrat că citarea regulilor nu este suficientă și că simpla citare a regulilor se face adesea în afara contextului. O parte din acest context este natura relației dintre ceea ce spune legea, natura Termenilor și condițiilor OEM și multitudinea de moduri pe care programatorii le pot folosi codurile pentru a reduce responsabilitățile OEM și pentru a le crește pe cele ale deținătorilor de site-uri.
Catalog GDPR
Pe scurt, deși pregătirea juridică are un rol important de jucat, cel mai adesea se dovedește că există componente ale conformității care reclamă o mare complexitate din punct de vedere tehnologic, de natură arhitecturală sau culturală. Din această perspectivă, coordonarea proiectelor GDPR ar trebui încredințată unor oameni cu înaltă competență, din domenii ce se situează la granița tehnic / legal / comercial. Dar acest tip de specialist este foarte rar și este greu de obținut în condițiile în care modul de instruire și educație adecvată necesară nu este la fel de susținut.
similară, de la o aplicație la nivel de proces la alta.
RC: Știm cu toții că atunci când ne referim la securitatea informațiilor, nimeni nu poate garanta Securitate 100%. Făcând trecerea la GDPR, putem vorbi de un stadiu ideal de conformitate 100%? Poate fi folosită o rețetă care să garanteze o implementare de succes?
Natura riscului de protecție a datelor este în continuă evoluție și niciun instrument nu este capabil să țină pasul cu tot ceea ce trebuie ținut la curent. În al doilea rând, toate instrumentele de asigurare a conformității sunt complet inutile dacă nu există o cultură corporativă de sprijin, care trebuie să asigure ca toate politicile și procedurile scrise sunt respectate în realitate și că pot fi guvernate eficient. Un caz celebru în Marea Britanie, este cel cauzat de inserarea unei unități de memorie USB și furtul de date cu caracter personal de către un angajat, fără ca organizația în cauză să poată detecta ceva sau să aibă un control.
AW: În ceea ce privește construirea și vânzarea unei soluții software universale? Conformitatea 100% nu poate fi garantată de nimic, deoarece încă nu înțelegem complet domeniul de aplicare al tehnologiei, în special în ceea ce privește conectivitatea. În opinia mea, una dintre greșelile care se fac în zona IT, este înțelegerea denaturată a paradigmei „Oameni, procese și tehnologie”, în care generarea silozului de date se face având în vedere că „procesul” tinde să fie liniar și procedural. Din punctul de vedere al managementului, diferitele niveluri de gestionare au nevoi de raportare diferite, care trebuie să fie corecte din punct de vedere contextual. Asta înseamnă adesea combinarea datelor din mai multe silozuri, ceea ce implică necesitatea unei înțelegeri detaliate a problemelor legate de proiectarea datelor, acestea fiind interpretate similar, pentru o bază
De asemenea, în mod paradoxal, utilizarea unor astfel de instrumente de conformitate înseamnă adesea înregistrarea informațiilor de identificare personală - PII, (cum ar fi cazul celor care trimit solicitări de acces), ceea ce înseamnă inevitabil un nou siloz care va conține date sensibile. Și asta înseamnă că, în cazul în care cineva exercită drepturile articolului 17 din GDPR, atunci inevitabil, una dintre zonele în care trebuie analizată conformitatea este cea a sistemelor de conformitate în sine.
Așa cum spune Drucker: „cultura mănâncă strategie la micul dejun”. Din păcate, chiar dacă ai toate instrumentele software din lume fi instalate, nu poți face nimic cu ele dacă organizația nu dispune de un angajament personal și oamenii nu sunt instruiți și supravegheați corespunzător.
25 Iunie 2021
Cover Story
> Allen Woods RC: În aceste condiții, ce speranțe aveți pentru evoluția ulterioară a fenomenului GDPR, atât din perspectiva autorităților, cât și din punctul de vedere al operatorilor de date? AW: Dacă analizăm istoria legii privind protecția datelor, atunci un eveniment cheie, pentru Marea Britanie este probabil ”Legea privind protecția datelor din 1984” (Data Protection Act), care a oficializat opt principii, care au fost reportate ulterior și în textul GDPR. Un alt factor care trebuie luat în considerare este că Uniunea Europeană, ca formă de guvernare, este un exercițiu de maturizare și, prin urmare, GDPR se va schimba și trebuie să se schimbe în timp, pentru a reflecta acest lucru. Să nu uităm că GDPR nu este ”primus inter pares”, regulamentul încadrându-se într-un mediu juridic mai larg și nu este singurul obiectiv al autorităților pentru protecția datelor. Luând ca exemplu ICO (Information Commissioner Office) din Marea Britanie, este autoritatea responsabilă pentru aplicarea a 10 sau mai multe alte acte legislative, care sunt la fel de complexe pentru urmărire și control. Gândiți-vă la amploarea problemelor cu care se confruntă autoritățile. În orice moment, există aproximativ 29 de milioane de site-uri web care folosesc Google Analytics (să nu mai vorbim de alte produse gratuite Google) sau aproximativ 320 de milioane de conturi PayPal active. Există conceptul de „licitare în timp real” în care bugetele publicitare pot fi și sunt cheltuite mai eficient prin observarea valorii licitării cuvintelor cheie cu scopul expres de a realiza o publicitate mai bine direcționată către potențialii cumpărători de produse pe baza grupării socioeconomice, recunoașterea modelelor și multe altele. În mare parte a lumii există de asemenea o dependență de aproape 100% de tehnologia SUA, cum ar fi Windows, OSX și Android ca sisteme de operare, sau rețeaua de cabluri submarine de comunicații. Asta înseamnă că, în ciuda pretențiilor de jurisdicție mondială asupra cetățenilor în ceea ce privește protecția datelor, legislația națională nu poate fi controlată atât de eficient pe cât prevede legea.
26
”În consecință, deși GDPR este un „lucru bun” în acest moment, la un moment dat va trebui să existe o regândire majoră, pe toată planeta, asupra modului în care se va face protecția datelor și a confidențialității. ” Catalog GDPR
Tim Clements
Tim Clements este membru al facultății IAPP care oferă cursuri de certificare la evenimentele și conferințele IAPP pentru organizațiile partenere din Europa. Totodată el este managerul propriei companii intitulată ”Purpose and Means”, concentrându-se pe dezvoltarea strategiilor de confidențialitate și a foilor de parcurs aliniate cu strategiile de afaceri ale organizațiilor globale. Din 2005 a lucrat cu corporații precum IBM, Carlsberg, Novozymes, Falck, Thomas Cook, Wunderman și Pandora conducând proiecte și programe pentru operaționalizarea cerințelor legale sau politice, folosind abordări structurate, pragmatism, gândire sistemică, comunicare vizuală și un management puternic al părților interesate.
1. Care sunt cele mai importante motive personale de satisfacție legate de evoluția GDPR în ultimii 3 ani? TC: GDPR a adus atenția asupra importanței protecției datelor și a motivelor fundamentale pentru care există legi (dacă povestea este spusă corect). 2. Care sunt cele mai importante motive de regret, proiecte nerealizate, dificultăți întâmpinate? TC: Prea multe companii au văzut GDPR doar ca o problemă legală, mai degrabă decât ca un imperativ al afacerii, în special cele care folosesc realizează valoarea informațiilor din datele despre oameni.
3. Care sunt cele mai importante greșeli care se fac în proiectele de adopție a cerințelor de conformitate? TC: Neînțelegerea a ceea ce înseamnă cu adevărat „abordare bazată pe risc”. Iunie 2021
Nu este vorba de a face lucruri ieftin, de a proteja interesele companiei, ci de a proteja drepturile și libertățile persoanelor, în timp ce prelucrați date despre acestea pentru desfășurarea afacerilor. 4. Poate exista conformitate GDPR 100% sau o rețetă pentru implementare? TC: Nu, cheia este să demonstrezi că deții controlul - îți cunoști riscurile și ai un plan în vigoare pentru a le aborda în mod continuu. Și că ați folosit „mecanismele de responsabilitate” pentru a demonstra conformitatea permanentă. 5. Ce speranțe aveți privind evoluția fenomenului GDPR în continuare, atât din perspectiva autorităților, cât și din cea a operatorilor de date? TC: Punerea în aplicare a SA este esențială, dar organizațiile trebuie să rupă dominanța procesiunii legale în conducerea lucrării afacerea trebuie să își asume mai multă proprietate.
21 27
Cover Story
Rowenna Fielding ”Cred că cea mai importantă dificultate este elementul uman - există atât de multe motive pentru care oamenii pur și simplu nu fac ceea ce specialiștii le recomandă să facă. E vorba de o mulțime de factori psihologici în construirea unor atitudini sistemice și culturale față de protecția datelor. Oamenii nu sunt programe, nu poți doar să îi instruiești și să-i lași să lucreze de la sine”
Așa cum îi obișnuiește să se caracterizeze, Rowenna Fielding este un ”tocilar” ale cărui tendințe obsesive i-au servit bine în construirea unei cariere; mai întâi ca specialist în securitatea informațiilor, apoi ca și consilier în domeniul protecției datelor. În cei peste 10 ani de la schimbarea domeniului, Rowenna a contribuit la aducerea la viață a legislației privind protecția datelor în organizații comerciale și voluntare unde a activat.
În 2020, Rowenna și-a înființat propria companie: Miss IG Geek Ltd prin care oferă servicii de consiliere, asistență, instruire și îndrumare privind protecția datelor și ePrivacy. Chiar dacă ar câștiga la Loterie, Rowenna ar continua să lucreze în protecția datelor, deoarece combinația dintre tehnologie, ordine socială și drepturile omului este prea interesantă pentru a o abandona, chiar dacă de cele mai multe ori este o luptă dificilă.
1.Care sunt cele mai importante motive personale de satisfacție legate de evoluția GDPR în ultimii 3 ani?
28
A fost un parcurs foarte satisfăcător văzând că unele organizații încep să-și dea seama că „conformitatea” nu este doar un proiect unic, ci că protecția datelor trebuie să fie încorporată în toate aspectele organizației și menținută de la o zi la alta. Este atât de deprimant să lucrezi cu organizații care doresc doar să bifeze căsuțe și care nu sunt interesate de rezultate sau de calitate... Există încă o mulțime de persoane în jur, dar am văzut o schimbare clară în atitudinea afacerii față de protecția datelor, care se îndepărtează de gândirea de tipul „ce deranj, să o rezolvăm cât mai repede posibil” și se apropie tot mai mult de atitudinea corectă de tipul „este un lucru important și pentru asta trebuie să îl facem cât mai bine”. Catalog GDPR
2.Care sunt cele mai importante motive de regret, proiecte nerealizate, dificultăți întâmpinate?
3. Care sunt cele mai importante greșeli care se fac în proiectele de adopție a cerințelor de conformitate?
RF: Fără regrete! Am o mulțime de proiecte pe lista mea de dorințe, pe care doresc să le obțin, dar încă nu am șansa! Majoritatea sunt instrumente educaționale, dar cel mai important este că vreau să scriu o carte despre factorii umani în protecția datelor. Spun asta de vreo doi ani de acum, deci trebuie să merg mai departe!
RF: Cel mai frecvent se urmărește realizarea unui proiect de „conformitate”, în loc de concepte precum „calitate”, „valoare” sau chiar „etică”. Respectarea este utilă numai atunci când este o măsură a succesului de implementare a protecției datelor, mai degrabă decât un scop în sine. Specialiștii în GDPR au înțeles acest lucru și încercă din greu să lege cerințele de conformitate cu rezultatele tangibile (de exemplu, gestionarea riscurilor în limitele toleranțelor, informarea corectă a persoanelor vizate, care știu ce se întâmplă cu datele lor și cum să își exercite drepturile, etc.), dar dacă o organizație este hotărât să trateze protecția datelor ca pe un exercițiu de bifare a unei căsuțe sau să îi acorde o prioritate mai mică decât literalmente orice altceva din lista de sarcini, atunci nimic nu le poate împiedica să facă un compromis din implementare.
Cred că cea mai importantă dificultate este elementul uman - există atât de multe motive pentru care oamenii pur și simplu nu fac ceea ce specialiștii le recomandă să facă. E vorba de o mulțime de factori psihologici în construirea unor atitudini sistemice și culturale față de protecția datelor. Oamenii nu sunt programe, nu poți doar să îi instruiești și să-i lași să lucreze pe bandă! Pentru mine, psihologia protecției datelor este fascinantă la nesfârșit, deoarece, pentru a insufla „cele mai bune practici”, trebuie să fie, ori forată atât de repetat încât să devină subconștientă (ceea ce este foarte dificil într-un loc de muncă în mișcare rapidă și ocupată, acest lucru durează mult), ori „ceea ce e corect” trebuie să fie calea celei mai slabe rezistențe. Asta înseamnă să valorificăm aceleași impulsuri pe care specialiștii în marketing și agenții de publicitate și platformele de socializare le folosesc pentru a atrage atenția oamenilor și a-l menține angajat, deoarece asta funcționează. Se pare că până acum mesajul ar fi trebuit să se piardă; faptul că protecția datelor este plictisitoare, complicată și necesită efort este contraproductiv - problema este că organizațiile refuză să investească în eficacitate, deoarece munca de conformitate, cum ar fi protecția datelor, nu generează direct venituri.
Al doilea, este încercarea de a aborda „conformitatea” concentrându-se pe cerințele individuale înainte - sau fără - să vorbească despre guvernanță, toleranțe la risc sau dependențe. Nu este suficient să scrieți doar o politică, aceasta trebuie să fie utilă, semnificativă, ușor de înțeles și disponibilă. Listele de cerințe de asigurare a furnizorilor sunt excelente, dar ce se întâmplă atunci când nu există un furnizor pentru o operațiune critică care să poată îndeplini aceste standarde? Cine decide dacă riscul utilizării unui furnizor care ar compromite conformitatea organizației este acceptabil? Acestea sunt genurile de lucruri care necesită căi de escaladare, gestionarea cunoștințelor, coordonarea între departamente; dar rareori sunt considerate holistic de către proiectele de „conformitate” și, prin urmare, aceste proiecte obțin rentabilități mult mai mici decât cele prevăzute.
29 Iunie 2021
> Rowenna Fielding
Cover Story
4. Poate exista conformitate GDPR 100% sau o rețetă pentru o implementare de succes?
30
RF: Poate exista o conformitate de 100% într-un singur moment, dar de îndată ce cineva face ceva legat de date fără să o gândească în mod corespunzător, respectarea conformității are toate șansele de a se evapora și lucrurile tind să se deterioreze din acel moment. Respectarea GDPR nu este un lucru unic, trebuie să fie activă și susținută - mai ales atunci când se întâmplă schimbări. Cred că rețeta pentru o implementare „reușită” (prin care mă refer la transferul de la proiect la un rezultat sustenabil, unde nimic nu ”cade prin crăpături” și decalajul dintre documente / realitate este minim) merge cam așa: • Toată lumea poate fi convinsă să vadă protecția datelor ca pe un lucru pozitiv pentru organizație, chiar dacă uneori pare incomod; • Conducerea superioară sprijină cu adevărat, deoarece caută rezultate legate de valoare, calitate sau etică; • Cuvintele „minim”, ”minimizare” sunt interzise din arenă; • Opera este tratată ca iterativă; resursele sunt alocate permanent monitorizării, întreținerii și reîmprospătării a ceea ce a mai existat la intervale regulate; • Organizația are procese de control a schimbărilor bine gestionate (în realitate, nu doar pe hârtie); • Există cineva (fie intern, fie consultant din exterior), care înțelege cu adevărat legea protecției datelor și poate comunica eficient; • Se pune accentul pe ceea ce funcționează, nu doar pe copierea a ceea ce fac alte organizații; • Timpul este rezervat sau alte atribuții suspendate, astfel încât forța de muncă să nu trebuiască să facă o muncă în valoare de douăsprezece ore la fiecare opt pentru a ține pasul cu termene nerealiste; Catalog CatalogGDPR GDPR
• Există determinare pentru înlocuirea sistemelor, furnizorilor și proceselor vechi care nu acceptă cerințele de conformitate GDPR; • Protecția drepturilor și libertăților persoanelor vizate are o pondere egală (dacă nu chiar mai mare) în comparație cu cea de confort sau avantaj comercial; • Organizația este dispusă să investească în construirea și menținerea cunoștințelor adecvate ale personalului și a alfabetizării tehnologice; • Nu există psihopați în organizație, în special la nivel managerial… 5. Ce speranțe aveți privind evoluția fenomenului GDPR în continuare, atât din perspectiva autorităților, cât și din cea a operatorilor de date? RF: Ei bine, trăiesc cu speranța că într-o bună zi oamenii vor face protecția datelor în mod robust, deoarece asta este corect (moral, etic, responsabil social) de făcut, dar îmi dau seama că este prea mult de cerut. M-aș mulțumi ca protecția datelor să fie încorporată și normalizată până la punctul în care nimeni nu pune la îndoială dacă este chiar necesar, și este la fel de inacceptabil din punct de vedere social să o faci prost, precum ar fi aruncarea ilegală de deșeuri toxice. Cred că autorităților vor trebui să li se acorde mai multe puteri și resurse pentru a ține pasul cu acele companii globale care încearcă să facă afaceri în UE, dar refuză să respecte legea și sper că guvernele vor fi sensibile în acest sens și nu autoritățile de reglementare pentru protecția datelor sub resurse ca o modalitate de a acorda acelui guvern mai multă libertate de a încălca legea. Cred că mulți operatori de date speră că legea privind protecția datelor va dispărea, dar asta este destul de puțin probabil, din fericire. Ce aș face pentru a trăi, dacă s-ar întâmpla asta?! Iunie 2021
31
Cover Story
Tara Taubman - Bassirian
”Sper că mai multe organizații vor înțelege beneficiile conformității GDPR în ceea ce privește securitatea și încrederea clienților. Mai puține date înseamnă o stocare mai precisă, mai bună și mai sigură. ”
Avocat în probleme de confidențialitate, consultanță, cercetare, prezentări și lucrări în domeniul confidențialității, protecției datelor, dreptului pentru Internetul și proprietății intelectuale. Specialist în GDPR, Geo-locație și confidențialitate din perspectiva Marii Britanii, Franței și Statelor Unite. După studiile de drept în Franța, a absolvit un masterat în „Computing and Communications Law” la Universitatea Queen Mary of London, cu specializare în Internet și dreptul comunicării. A fost votată ca ” Privacy Hero of the Year” în 2018 și face parte din KingstonCognate Top 50 de experți globali.
32 Catalog GDPR
1. Care sunt cele mai importante motive personale de satisfacție legate de evoluția GDPR în ultimii 3 ani? TTB: Satisfacția vine în principal din conștientizarea publicului larg asupra protecției datelor și a drepturilor acestora. Acest lucru se observă foarte mult în legătură cu plângerile adresate autorităților de protecție a datelor. 2. Care sunt cele mai importante motive de regret, proiecte nerealizate, dificultăți întâmpinate? TTB: O luptă continuă care încearcă să explice de ce securitatea datelor în timpul transmiterii este crucială, mai ales în timpul acestei pandemii de atacuri cibernetice. Sunt într-o luptă constantă cu unii profesioniști din domeniul juridic care trimit date necriptate prin atașament de e-mail sau folosesc terțe părți nesecurizate pentru a transfera fișiere mari. Aceștia sunt profesioniști legați de privilegiul de avocat al clientului, care ignoră obligațiile importante ale art. 32 GDPR. 3. Care sunt cele mai importante greșeli care se fac în proiectele de adopție a cerințelor de conformitate? Iunie 2021
TTB: Prea des, conformitatea este luată ca o operațiune de bifare a unei casete, în timp ce DPO sau CPO, la fel ca CISO, ar trebui să lucreze în colaborare la fiecare proiect. Acesta este motivul pentru care confidențialitatea prin design este importantă.
4. Poate exista conformitate GDPR 100% sau o rețetă pentru o implementare de succes? TTB: Nu cred că o conformitate 100% este realistă. Rețeta poate fi găsită la articolul 5 din GDPR, articolul meu preferat, care conține toate cele 5 principii de bun simț: minimizarea datelor -care poate rezolva majoritatea problemelor, apoi limitarea scopului, precizia datelor, limitarea stocării și transparența. Toate țin de bunul simț... 5. Ce speranțe aveți privind evoluția fenomenului GDPR în continuare, atât din perspectiva autorităților, cât și din cea a operatorilor de date? TTB: Sper că mai multe organizații vor înțelege avantajele conformității GDPR din perspectiva securității și încrederii clienților. Mai puține date aduc stocare mai precisă, mai bună și mai sigură.
33
Cover Story
Marie-Claire Péroux „Confidențialitatea a fost întotdeauna o preocupare personală importantă pentru mine și cred cu tărie că este esențial să o apăr ca pe un drept uman.”
Marie-Claire Péroux, LL.M, International and European Economic and Commercial Law, Jurist, consultant, specializată în legislația Europeană și protecția datelor, expert în conformitate GDPR și E-privacy.
1.Care sunt cele mai importante motive personale de satisfacție legate de evoluția GDPR din ultimii 3 ani? MCP: Confidențialitatea a devenit un punct central de discuție în multe cazuri, nu numai în UE, ci și în lume. Multe țări și-au adoptat sau actualizat sistemul juridic privind protecția vieții private (de exemplu Japonia), în corelație cu adecvarea acestuia la regimul UE.
34
Marii jucători „GAFAM” au îneput să simtă presiunea unor autorități asupra protecției vieții private, deși este mai mult o presiune asupra reputației lor decât o presiune economică reală. Amenzile GDPR sau E-Privacy de la Autoritățile UE pentru Protecția
Datelor au fost destul de scăzute în comparație cu ceea ce a impus, de exemplu, Comisia Federală pentru Comerț din SUA, responsabilă de reglementările federale privind confidențialitatea și protecția datelor. 2. Care sunt cele mai importante motive de regret, proiecte nerealizate, dificultăți întâmpinate? MCP: Câteva considerații pe această temă pot fi regăsite în răspunsul de la următoarea întrebare. 3. Care sunt cele mai importante greșeli care se fac în proiectele de adopție a cerințelor de conformitate?
Catalog GDPR
Multe corporații mari s-au străduit, în mod evident, să respecte GDPR, totuși, atunci când cineva intră în detaliu și în practica reală a acestuia, întâmpină prea des dificultăți pentru a-și exercita dreptul. De prea multe ori, când cineva încearcă să contacteze companii pentru a-și exercita drepturile conform GDPR, răspunsurile nu sunt la înălțimea sarcinii. Fie pentru că nu au responsabili cu protecția datelor instruiți în mod corespunzător, fie pentru că au doar ceea ce eu numesc un „lustru de conformitate”, fără să fi înțeles scopul conformității sau să își mențină eforturile, în condițiile în care conformitatea este un proces continuu care trebuie revizuit in mod regulat. Prea des, companiile nu înțeleg că aici este vorba de o conformitate legală și nu tehnică. Persoanele responsabile cu implementarea conformității trebuie să aibă o bună cunoaștere a interpretării legii la nivel european și trebuie să poată analiza legea privind protecția vieții private în UE și în fiecare stat membru. În ceea ce privește întreprinderile mici și mijlocii, prea mulți nu s-au angajat într-adevăr într-o conformitate GDPR adecvată, deși activitatea lor principală se poate baza pe prelucrarea datelor cu caracter personal. Conformitatea este văzută ca un cost suplimentar pentru companie, dar pentru mine este o parte integrantă a companiei. Fiecare companie prelucrează date cu caracter personal și fiecare companie ar suferi foarte mult dacă ar pierde aceste date. O modalitate de a stimula companiile să respecte GDPR este de a le arăta obligația de securitate a datelor cu caracter personal pe care le prelucrează. Principiul securității implicite este impus pentru prima dată
de GDPR organizațiilor care prelucrează date cu caracter personal. Arătându-le că pierderea accesului la datele personale (toate datele lor în acest sens) din sistemele lor ar avea un impact semnificativ asupra afacerii lor, organizațiile ar trebui să realizeze valoarea datelor lor și să depună eforturi și un buget real pentru protecția lor. Prea des mi se cere să intervin într-un stadiu prea târziu în dezvoltarea de noi servicii bazate pe procesarea unor volume importante de date cu caracter personal. Companiile ezită atunci să se angajeze în respectarea GDPR, deoarece se tem că vor trebui să-și schimbe modelul de afaceri sau să se întoarcă la tabla de proiectare pentru anumite servicii, implicând astfel costuri suplimentare. Prea des, unii au ales să ignore în totalitate respectarea GDPR, punându-și chiar afacerea sub riscul de a fi afectați de amenzi și de a-și pierde reputația comercială. Riscul nerespectării este prea des văzut ca fiind minim, autoritățile centrale având un rol mai bun de jucat, cel puțin în anumite state membre. Regret foarte mult că anumite autorități centrale sunt foarte laxe sau că altora nu li s-a acordat un buget suficient pentru a impune în mod eficient GDPR și respectarea E-Privacy.
Pentru mine, un principiu esențial din GDPR este protecția datelor prin proiectare și implicit. Este foarte evident în serviciile vândute în baza unui acord SaaS (Software as a Service). Conformitatea ar fi mult facilitată în cazul în care confidențialitatea utilizatorilor ar fi luată în considerare încă din etapa de dezvoltare a unui serviciu, fiind ulterior „coaptă” în toate procesele care contribuie la buna funcționare a serviciilor respective.
35 Iunie 2021
Cover Story
> Marie-Claire Péroux
De prea multe ori companiile și-au vândut serviciile, bazate în esență pe prelucrarea datelor cu caracter personal, fără să fi început nici măcar procesul de conformitate GDPR. Contractul lor de vânzare este foarte des în categoria SaaS și, în calitate de procesatori, ar trebui să aibă o viziune clară asupra obligațiilor subcontractantului. Software-ul pe care îl dezvoltă, cu o mulțime de instrumente ale unor terțe părți, cum ar fi SDKurile, API-urile, procesează de multe ori o multitudine de date cu caracter personal sub o multitudine de baze legale. Dacă o analiză serioasă a ofertelor lor nu a fost făcută de un jurist, nu văd cum pot scrie un contract de vânzare SaaS care să acopere obligațiile și să își protejeze afacerea. Pentru aceasta, trebuie să enumere cu precizie toate prelucrările datelor cu caracter personal din serviciile lor, tocmai despre asta este vorba despre registrul de prelucrare obligatoriu, este un document foarte practic și foarte util, pentru a demonstra ce fel de date personale gestionează organizația ca operator. Dacă respectarea GDPR nu a fost luată în calcul, aceștia nu își pot cunoaște riscurile și obligațiile în cadrul serviciilor pe care le vând.
4. Poate exista conformitate GDPR 100% sau o rețetă pentru o implementare de succes?
MCP: Conformitatea 100% este destul de imposibil de promis, deoarece există întotdeauna date nestructurate undeva în orice organizație. Cu toate acestea, o implementare reușită necesită o pregătire bună, orientată spre utilizarea reală a datelor cu caracter personal, pentru fiecare clasă de angajați. Instruirea este soluția pentru a minimiza prelucrarea datelor cu caracter personal care ar putea trece sub radarul procesului de conformitate. Este o obligație a organizației să își instruiască în mod corespunzător angajații la utilizarea datelor cu caracter personal, în conformitate cu politica de conformitate a organizației. Din nou prea des, procesul de instruire este înțeles prin câteva zile de pregătire generală internă și nu este niciodată reluat sau este lăsat deoparte ca o pierdere de timp și bani, lăsând angajații singuri să decidă cum să trateze datele personale. De aici poate apărea riscul prelucrării datelor obținute ilegal în afacerea companiei.
36 Catalog GDPR
Un alt punct foarte important este că decizia de conformitate trebuie luată și înțeleasă de către direcția organizației. Este esențial ca direcția să trimită un impuls pozitiv pentru a aduce pe toți în proces. Deoarece este o procedură transversală, fiecare parte a companiei trebuie să se simtă implicată în aceasta și să înțeleagă că aceasta aduce beneficii organizației în ansamblu, deoarece aduce securitate și claritate în procesarea nu numai a datelor cu caracter personal, ci a tuturor datelor. Procesul de conformitate GDPR este o bună oportunitate de a pune în aplicare o bună politică internă de securitate a datelor.
companii, ca să nu mai vorbim de marii ”GAFAM” care sunt o categorie pentru ei înșiși.
5. Ce speranțe aveți privind evoluția fenomenului GDPR în continuare, atât din perspectiva autorităților, cât și din cea a operatorilor de date?
Mi se pare prea vag proiectul cu privire la articularea dintre fluxul de date, din care o mare parte vor fi date cu caracter personal, conform Legii privind guvernanța datelor și a obligațiilor din GDPR.
MCP: Sper că autoritățile centrale vor învăța să lucreze mai bine împreună, principiul „ghișeu unic” pare a fi destul de dificil de implementat mai ales atunci când autoritatea principală nu manifestă prea multă activitate în impunerea conformității GDPR. EDPB (European Data Protection Board) are un rol de jucat pentru a armoniza mai bine deciziile luate la nivelul statelor membre. Există încă prea multe discrepanțe în aplicarea efectivă a GDPR. Fluxul de date este un domeniu foarte politic, cu implicații economice enorme, unele state sunt mai reticente în a impune obligații operatorilor și procesatorilor, în special marilor
Regret foarte mult că dreptul la portabilitatea datelor nu este implementat în mod corespunzător de cele mai multe ori și că există o lipsă de instrumente adecvate care să permită refolosirea datelor în moduri respectabile și sigure pentru confidențialitate. Acest lucru va deveni mai important odată cu viitoarea „Lege privind guvernanța datelor”, în care titularilor de date li se va cere să permită transferul de date către intermediari recunoscuți, serviciile de partajare a datelor.
Deși se încearcă o adecvare acordată de Comisie țărilor terțe, cu toate aceasta există criterii diferite de adecvare GDPR, creând unele suprapuneri și confuzii. Se creează și un formular european de consimțământ pentru altruismul datelor; mă întreb cum se va articula consimțământul cu GDPR… Nu în ultimul rând, nu trebuie uitat singurul instrument internațional care impune protecția datelor: ”Convenția 108” modernizată de la Consiliul Europei. Acesta este un instrument foarte interesant pentru răspândirea la nivel internațional a obligațiilor GDPR, deși poate într-o măsură mai mică.
37 Iunie 2021
Cover Story
Claude Saulnier „UE se bazează prea mult pe tehnologia SUA și trebuie să sperăm că proiecte precum GAIA-X se vor materializa pentru a reduce dependența. Chiar dacă nu am văzut suficientă aplicare, cred în continuare că GDPR este o oportunitate pentru companiile europene din domeniul tehnologiei” Claude este CEO al companiei Bizoneo – soluții Data protection & Client Management. Certificat CDPO - CIPP/E, are o experiență de 30 de ani în rezolvarea provocărilor legate de protecţia datelor. În 2001 înființează compania Wandsoft - furnizor de soluții integrate de managementul clienților pentru piețele mici și mijlocii. In 2017, pe fondul apariției GDPR, a lansat compania Bizoneo, specializată în soluții GDPR pentru susținerea activităţii DPO. 1.Care sunt cele mai importante motive personale de satisfacție legate de evoluția GDPR din ultimii 3 ani?
CS: Când am citit GDPR pentru prima dată în 2016, am intrat în panică! Curând miam dat seama că nu există niciun motiv de panică: GDPR a adus un cadru pentru bune practici în tratarea datelor și a fost o continuare logică a legilor anterioare privind protecția datelor. Am pledat pentru o bună guvernare a datelor în întreaga mea carieră, astfel încât GDPR a fost un impuls uimitor pentru organizație să ia în serios protecția datelor. A fost un real ajutor pentru activităţile noastre de business faptul că declarația noastră de misiune a fost aliniată la această importantă legislație.
38
De asemenea, este bine să vedem că, după 3 ani, oamenii acordă o atenție sporită confidențialității lor, chiar dacă utilizează în continuare browsere invazive de confidențialitate, aplicaţii de tip office
invazive de confidențialitate, telefoane invazive de confidențialitate și alte tehnologii. Atenție, uneori alegerea este limitată. Este pozitiv să vedem cum companiile încep să-și dea seama că, dacă nu depun mai multă muncă în efortul lor de conformitate, vor pierde afacerea. Cunosc multe organizații - inclusiv a noastră - care au respins mulți furnizori potențiali, deoarece pretențiile lor de conformitate s-au destrămat după o evaluare de 5 minute. Introducerea evaluărilor obligatorii de impact asupra protecției datelor, în analiza anumitor tipuri de activități de prelucrare a datelor, este o modalitate bună de abordare a problemelor înainte de a fi prea târziu. Prin intermediul DPIA (Data Protection Impact Assessment), organizațiile pot stabili dacă activitățile noi sunt legale și dacă riscurile sunt atenuate. Catalog GDPR
2.Care sunt cele mai importante motive de regret, proiecte nerealizate, dificultăți întâmpinate? CS: Un mare regret este că piața a fost destul de lentă în adopția unor platforme precum Bizoneo, care efectiv ajută organizațiile să se conformeze. Ne-am dat seama încă din februarie-martie 2018 că piața pe care o vizam nu era pregătită și că ”foile de calcul” aveau să fie folosite încă multă vreme. Suntem consolați totuși că nu am riscat doar noi și am observat mulți concurenți care au strâns capital și au deschis birouri în toată Europa, închizându-le în 2019 și înregistrând pierderi destul de mari. Suntem norocoși totuși că, aflândune în afaceri de mult timp, știam ce înseamnă să conducem o companie de software și să lansăm o nouă linie de produse. Pentru echipa noastră, știam că este o chestiune de răbdare, iar evoluția lucrurilor din anul 2020 și începutul anului 2021 ne-a dat dreptate. De asemenea, vedem dificultățile pe care organizațiile le au pentru a adopta programe de protecție a datelor. Este frustrant să vezi eforturi inutile, deoarece peisajul de procesare nu este documentat corespunzător. Mulți operatori de date nu știu de unde să înceapă: mulți dintre ei visează să poată produce documente de conformitate fără a cunoaște contextul. Necesită un efort de echipă și departamentele trebuie să lucreze împreună.
Pentru cei care cumpără soluții pentru asistență, mi-am dorit să înceapă să acorde mai multă atenție și să facă mai multă diligență tehnică înainte de cumpărare. Ne asigurăm că platforma noastră respectă confidențialitatea utilizatorilor săi și lucrăm din greu la protecția datelor din partea proiectării. Pe de altă parte, vedem platformele concurenților care își falsifică conformitatea și urmăresc în mod proactiv clienții lor. Ultima pe care am văzut-o a fost o platformă de gestionare a confidențialității cu Google Tag Manager și analize pe ecranul lor de conectare. La un nivel mai personal, cred că este uimitor să vedem lipsa apetitului din partea autorităților europene de supraveghere a protecției datelor pentru a aborda giganții tehnologici. Vedem că GAFAM (Google Apple Facebook Amazon Microsoft) colectează cantități masive de date în spatele oamenilor fără niciun consimțământ, totuși, în afară de câteva autorități de supraveghere, nimeni nu este cu adevărat îngrijorat. Dacă nu ești bogat, este imposibil să lupți împotriva drepturilor tale de protecție a datelor împotriva GAFAM și a multor alte multinaționale. Au trecut deja peste 7 ani și, în momentul răspunsului, în ciuda unei decizii a CJUE și a unei decizii a Înaltei Curți irlandeze, datele cu caracter personal curg în continuare către țări care sunt departe de a fi aliniate la Carta drepturilor fundamentale a Uniunii Europene.
39 Iunie 2021
Cover Story
> Claude Saulnier 3. Care sunt cele mai importante greșeli care se fac în proiectele de adopție a cerințelor de conformitate? CS: Încercarea de a atenua riscurile atunci când peisajul de procesare general este necunoscut. Multe organizații au preluat textul GDPR și au lucrat de acolo, spre deosebire de adoptarea peisajului general de prelucrare a datelor și analizarea modului în care au respectat articolul 5. Cum puteți instrui o organizaţie care prelucrează date șă scrie un acord de protecție a datelor dacă nu știți unde se poziționează în activitățile de prelucrare? Cum puteți instrui personalul în afara contextului? Cum vă puteți asigura că aveți computere sigure dacă nu știți ce sisteme de operare utilizează și vulnerabilitățile aferente?
4. Poate exista conformitate GDPR 100% sau o rețetă pentru o implementare de succes? Organizațiile nu ar trebui să aibă ca obiectiv conformitatea 100% Procesarea evoluează, iar conformitatea ar trebui privită ca o sarcină continuă. Sunt foarte sceptic când văd o astfel de afirmație.
40
Personalul vine și pleacă: cu angajat nou vine cu o nouă pregătire și noi riscuri. Noua tehnologie este cumpărată sau închiriată: odată cu noua tehnologie apar noi riscuri. Deci, chiar dacă organizațiile ar fi conforme doar 85-90%, cred că s-ar realiza progrese bune, dar câți au încercat chiar să-și compare organizațiile în raport cu un cadru de audit de supraveghere? Catalog GDPR
Organizațiile trebuie să aibă „campioni” între departamente pentru a discuta în mod regulat probleme de protecție a datelor cu asistența GDPR. Organizațiile trebuie să construiască analize de impact DPIA la nivel: • Organigrama: cine ce face; • Inventarul activelor digitale pe care le folosesc - există 2 moduri simple de a începe; • Inventarul furnizorilor pentru a evalua relația – cine sunt procesatorii de date; • Discutați cu personalul și construiți o hartă a activităților de procesare; • Adăugați activele și procesatorii la activitățile de prelucrare; • Faceți o analiză GAP: o o securitatea activelor o o acorduri de prelucrare a datelor o o instruirea personalului o o evaluarea riscului • Reducerea riscurilor. 5. Ce speranțe aveți privind evoluția fenomenului GDPR în continuare, atât din perspectiva autorităților, cât și din cea a operatorilor de date? CS: Sper că autoritățile UE funcționează mai bine împreună, dar să nu uităm că în spatele autorităților sunt guverne, fiecare cu propria lor agendă. Între țările care depind de giganții multinaționali ai tehnologiei și țările care cred că supravegherea în masă va rezolva 30 de ani de decizie politică slabă, autoritățile de reglementare în domeniul protecției datelor au o sarcină dificilă, iar bugetul lor nu este întotdeauna adecvat. Iunie 2021
41
Cover Story
Tudor Galoș
”Conformitatea este un exercițiu continuu, nu un glonț tras o singură dată. Este o schimbare de atitudine, și fără acea atitudine eforturile nu au niciun sens.”
Tudor Galoș este certificat DPO de ECPC și consultant GDPR și digital transformation. Tudor privește alinierea la GDPR ca pe un proiect de transformare digitală ce începe cu oamenii: modul în care ei învață, înțeleg și adoptă importanța datelor personale și a respectării lor în toți pașii unei procesări.
1. Care sunt cele mai importante motive personale de satisfacție legate de evoluția GDPR din ultimii 3 ani? Cred că lumea a început să înțeleagă importanța protecției datelor cu caracter personal. Este destul să ne uităm câte plângeri există la autoritatea de supraveghere și ne putem da seama de faptul că oamenii au început să înțeleagă că au drepturi pe care și le pot exercita în legătură cu modul în care datele lor cu caracter personal sunt prelucrate.
De asemenea, organizațiile au început să ia în serios acest regulament și au înțeles că nu amenda este cel mai rău lucru care se poate întâmpla în cazul identificării unor neconformități; vorbim aici de posibilitatea de a pierde încrederea clienților, a partenerilor, a imaginii în piață. Cunosc cazul unor companii ce au primit amenzi din cauza unor data breach-uri și care apoi au trebuit să dea explicații la clienți și să răspundă la solicitări de audit făcute de aceștia. De asemenea, în diverse licitații și cereri de ofertă au trebuit să dea explicații suplimentare.
42 Catalog GDPR
2. Care sunt cele mai importante motive de regret, proiecte nerealizate, dificultăți întâmpinate? Cel mai mare regret este faptul că autoritățile fac prea puțin pentru a stopa prelucrările excesive făcute de către actorii din zona ”Big Tech” și ”Ad Tech”. În continuare aceste companii sunt „admonestate” în timp ce IMM-urile și firmele mari care nu sunt de „brand” suferă controale, amenzi și măsuri restrictive (să nu uităm faptul că autoritățile de supraveghere pot decide interzicerea sau oprirea imediată a unor prelucrări, chiar dacă ele ar duce la închiderea cu totul a activității operatorului). Să luăm de exemplu cazul deciziei CJUE de invalidare a acordului de schimb de date personale între UE și Statele Unite, Privacy Shield. Cazul Schrems II, cum este cunoscut, a afectat doar firmele mici cărora diverse autorități de supraveghere, în cadrul unor controale, au decis să le interzică să mai transfere date către servicii din Statele Unite precum Mailchimp. Însă firmele mari transferă date în continuare către zeci de SaaSuri din State, nestingherite. Problema este că SaaS-urile din Statele Unite sunt cu mult mai ieftine decât cele europene (și mult mai bune calitativ, aș adăuga), astfel încât marile firme au un avantaj
competițional nedrept fiind tolerate de către autoritățile de supraveghere, în timp ce firmele mici, în cazul unui control, au probleme. 3. Care sunt cele mai importante greșeli care se fac în proiectele de adopție a cerințelor de conformitate?
Cea mai mare greșeală pe care o văd este de a considera că nu trebuie să fii 100% conform. Este destul să „faci ceva” și să „treci” în cazul unui control. Aici nu există notă de trecere – trebuie să iei TOATE măsurile tehnice și organizaționale NECESARE pentru a demonstra conformitatea la regulament. Acest ”TOATE” este foarte subiectiv, însă arată o atitudine pe care tu ca operator de date trebuie să o ai. Să demonstrezi ce măsuri ai luat pentru a proteja datele angajaților, ale colaboratorilor, ale clienților și ale vizitatorilor tăi. Și vedem firme ce-și iau câteva documente și zic că sunt conforme, ce pun angajații să semneze fel de fel de consimțăminte ce nu au nicio valoare legală, deoarece ele nu sunt colectate liber, etc. Conformitatea este un exercițiu continuu, nu un glonț tras o singură dată. Conformitatea la GDPR reprezintă o schimbare de atitudine, și fără acea atitudine eforturile nu au niciun sens.
43 Iunie 2021
Cover Story
> Tudor Galoș
4. Poate exista conformitate GDPR 100% sau o rețetă pentru o implementare de succes? Nu cred în nimic ce este 100%. Implicit nu cred într-o conformitate de 100% - cred în atitudinea de a vrea să îți schimbi comportamentul față de oameni. Să înțelegi ca operator că acele date – fie ele nume, prenume, adrese de email, numere de telefon, fie detalii de comportament online, copii cărți de identitate etc – reprezintă viețile unor oameni, nu doar niște simple date. Și să iei toate măsurile ca drepturile oamenilor a căror date le prelucrezi să fie protejate. Să te asiguri că datele lor nu sunt manipulate greșit, că sunt protejate, că nu există consecințe injuste pentru persoanele vizate, că acestea sunt respectate. Totul pleacă de la atitudine. În rest, vorbim de diverse metodologii. Noi începem cu identificarea culturii de prelucrare a datelor prin diverse interviuri cu persoanele cheie din firmă, continuăm cu partea de cartografiere a datelor (data flows) și de identificare a datelor prelucrate, a secvențelor de prelucrare, a actorilor (operatori, operatori asociați, persoane împuternicite) implicați, a tehnologiilor implicate. Continuăm cu partea de guvernanță a datelor și cu
identificarea, evaluarea, clasificarea și adresarea riscurilor asupra persoanelor vizate, project plan de implementare cu deadline-uri și responsabili, cu urmărirea execuției. În paralel lucrăm cu clienții la redactarea documentației, a procedurilor, a change management-ului necesar schimbării culturii de prelucrare a datelor și cu urmărirea modului în care oamenii înțeleg schimbarea.
5. Ce speranțe aveți privind evoluția fenomenului GDPR în continuare, atât din perspectiva autorităților, cât și din cea a operatorilor de date? Cred că vedem o importantă schimbare de atitudine – autoritățile de supraveghere au început să se ia de cei din ”Big Tech” și ”Ad Tech” și în acest an sunt așteptate niște decizii importante în acest sens. De asemenea operatorii de date încep să conștientizeze în masă importanța protecției datelor, deoarece s-au trezit cu anexe de prelucrări de date venite de la clienți, parteneri sau furnizori pe care trebuie să le semneze și pe care nu le înțeleg. Presiunea transformării digitale contribuie și ea la îmbunătățirea conformității la GDPR pe măsură ce companiile încep să înțeleagă ce date prelucrează, cum le prelucrează și cum le protejează.
44 Catalog GDPR
Adrian Munteanu ”Intimitatea nu mai este o chestiune pur personală. Informațiile pe care alegem să le împărtășim sau permitem să fie colectate afectează, nu numai confidențialitatea noastră, ci și confidențialitatea tuturor celor cu care interacționăm.
Adrian Munteanu este profesor universitar și consultant/ auditor, certificat CISA, CRISC, CDPSE, CIPM. 1.Care sunt cele mai importante motive personale de satisfacție legate de evoluția GDPR din ultimii 3 ani? Din perspectivă personală, faptul că timpul mi-a confirmat cele mai multe abordări din cele scrise sau spuse este un fel de satisfacție personală. Am și greșit în unele interpretări, dar superficial. Practic de ani de zile un ”autocontrol” pentru că, în funcție de ceea ce citesc sau învăț, înțelegerea mea se poate modifica. 2.Care sunt cele mai importante motive de regret, proiecte nerealizate, dificultăți întâmpinate? Proiecte nerealizate nu am avut pentru că am refuzat să mă
implic în proiecte în care abordarea mea nu a fost acceptată. Am însă regrete care vin din două direcții. În primul rând este transformarea ”conformității GDPR” – care de fapt nici nu există, într-o altă poveste cu ”multe hârtii”. În al doilea rând, în realitatea organizațiilor accentul nu este pus pe ”protecția datelor” ci pe ”cum să fac să nu iau amendă”. Iar din această ultimă situație am întâlnit cazuri în care ”Informare GDPR a angajaților”, de exemplu, este un document de peste 10 pagini și care trebuie semnat de cei peste 400 angajați ai organizației. ”Așa a spus consultantul”, așa a făcut organizația, care acum se plânge că ”sunt multe hârtii”...
45 Iunie 2021
Cover Story
> Adrian Munteanu
3. Care sunt cele mai importante greșeli care se fac în proiectele de adopție a cerințelor de conformitate? Cea mai mare eroare este speranța sau credința că ”hârtiile” vor proteja datele personale. Ori, prima dată, în accepțiunea mea, trebuie să înțelegi organizația: în ce context funcționează? Care sunt procesele economice? La ce riscuri este supusă? Unde se află acum? Unde ar trebui să fie? Cine și pentru ce răspunde? Fără tehnologie nu se poate asigura securitatea informațiilor. Nu fac distincție între protecția datelor personale și securitatea informațiilor chiar dacă sunt o mulțime de materiale publicate în care lucrurile sunt tratate distinct. Datele personale nu există independent de restul datelor din organizație. Să citim cu atenție definiția: ”orice dată care direct sau indirect”… 4. Poate exista conformitate GDPR 100% sau o rețetă pentru o implementare de succes? Da și nu. Dacă ar fi îndeplinite condițiile din teorie, putem ajunge la conformitate: să existe un buget realist alocat, ceea ce înseamnă să existe suportul managementului; să existe o ”echipă” și nu un om; să fie înțelese cât mai corect riscurile, plecând de la ceea ce face organizația; să îți instruiești angajații…; în general să vrei să faci ceva, nu de dragul de a bifa ceva…
46 Catalog GDPR
5. Ce speranțe aveți privind evoluția fenomenului GDPR în continuare, atât din perspectiva autorităților, cât și din cea a operatorilor de date? Autoritățile, atât cele europene, cât și cele locale vor face în continuare ceea ce au de făcut. În cazul operatorilor (generalizez, dar am în vedere doar marii jucători din on-line) sunt foarte sceptic. Lupta cu ”protecția datelor personale” este aproape pierdută pentru că reglementările au apărut cu mare întârziere față de evoluția tehnologică. Sunt prea multe componente care interacționează între ele. În opinia mea, acum se ține în viață un pacient care se îndrepta inevitabil spre moarte. Iau un exemplu ”Informarea cu privire la prelucrarea datelor” de pe situl unei organizații. Dacă există, ai bifat ”conformitatea”. Dar câte ”persoane vizate o citesc”? Și din cele care o citesc, câte înțeleg (avem o raționalitate limitată în funcție de educație și experiențe)? Dacă ulterior se ajunge cumva în
instanță, aceasta va presupune că ”persoana vizată” a acționat în cunoștință de cauză. În realitate lucrurile nu au stat așa. Nu este nici o diferență de comportament între ”Informare” și eticheta de pe un produs alimentar: dacă ar fi citite și înțelese, ”produsele toxice” ar trebui să dispară de la sine pentru că nu sunt cumpărate. Suntem supraîncărcați cu cereri de consimțământ și ”bife” la utilizarea datelor, încât alegerea în cunoștință de cauză devine iluzorie. Dacă oamenii vor să se angajeze în viața culturală și socială oferită în sfera digitală, nu vor putea evalua toți termenii serviciilor și notificările de confidențialitate cu care se văd confruntați. Și renunțarea la Internet nu mai poate fi numită o opțiune reală. Intimitatea nu mai este o chestiune pur personală. Informațiile pe care alegem să le împărtășim sau permitem să fie colectate afectează nu numai confidențialitatea noastră, ci și confidențialitatea tuturor celor cu care interacționăm.
47 Iunie 2021
Cover Story
Ion Iordache ” Regret lipsa reală de interes a autorităților locale și a mediului academic din România, chiar și în situația în care există posibilitatea reală de parteneriat cu entități identice din afara țării. ” Ion Iordache este BEc, Certified DPO & ISO 37001 Lead Implementer, Consultant and Trainer în Security Management * Information Security * Data Protection * Anti-Bribery Management System 1.Care sunt cele mai importante motive personale de satisfacție legate de evoluția GDPR din ultimii 3 ani? În ultimii trei ani, eu personal, am avut foarte puțini cursanți (în jur de 50 de persoane) pentru cursurile "Data Protection Officer" (PECB) și "Responsabil cu protecția datelor cu caracter personal" (ANC) dar am o deosebită satisfacție că toți absolvenții lucrează în domeniul protecției datelor personale și au succes în carierele lor. 2.Care sunt cele mai importante motive de regret, proiecte nerealizate, dificultăți întâmpinate? Nu am reușit să finalizez în România un proiect cu un subiect de mare potențial, "Prevenirea criminalității prin securizarea mediului ambiental" (CPTED), un subiect care în Australia de exemplu, țara mea de adopție, este considerat cheia asigurării securității cetățenilor într-un oraș care se dorește a fi "smart". O mare universitate din România și primăria unui mare oraș și-au arătat
interesul, dar totul a rămas doar la nivel declarativ. Regret lipsa reală de interes a autorităților locale și a mediului academic din România, chiar și în situația în care există posibilitatea reală de parteneriat cu entități identice din afara țării. 3.Care sunt cele mai importante greșeli care se fac în proiectele de adopție a cerințelor de conformitate? Să încerc o enumerare: Top managementul nu conștientizează importanța GDPR și impactul acestuia în organizație și nu cunoaște obligațiile organizației din perspectiva GDPR; Personal total nepregătit desemnat ca DPO, incompatibil sau pregătit formal prin cursuri care nu oferă nimic altceva decât o hârtie frumos colorată. Cunosc situații în care au fost desemnați trei DPO în cadrul unei mari companii, toți trei fiind incompatibili; Alegerea unui DPO extern sau consultant nepotrivit și/sau utilizarea kit-urilor de documente gata făcute;
48 Catalog GDPR
Greșeli frecvente în luarea măsurilor tehnice corecte (nu mă refer doar la softul care asigură securitatea și confidențialitatea datelor personale, ci și la securitatea fizică) din cauza lipsei unei analize de impact sau a corelării acesteia cu alte cerințe legislative obligatorii cum ar fi "Evaluarea riscurilor la securitatea fizică". 4.Poate exista conformitate GDPR 100% sau o rețetă pentru o implementare de succes? În calitate de ”lead implementer” și ”lead auditor” pentru standardul ISO/IEC 27001 Sisteme de management al securităţii informației, am observat că acolo unde există certificarea sau chiar doar implementarea cerințelor acestui standard, lucrurile devin mult mai ușoare la implementarea cerințelor GDPR. În această situație, eu consider că implementarea GDPR poate fi de succes dar am rezerve că o conformare 100% este posibilă dacă monitorizarea nu este făcută permanent pentru a putea răspunde rapid la schimbările care să aibă loc oricând într-o organizație, în relațiile cu clienții, beneficiarii sau autoritățile de reglementare. 5.Ce speranțe aveți privind evoluția fenomenului GDPR în continuare, atât din perspectiva autorităților, cât și din cea a operatorilor de date? Cred că legislația națională nu este, pe deplin conformă cu GDPR și mă aștept ca acest lucru să se întâmple cât mai curând, iar autoritățile de reglementare ar trebui să monitorizeze îndeaproape modul în care GDPR se aplică noilor tehnologii, cum ar fi inteligența artificială, IoT, Blockchain, cercetarea științifică, etc. Iunie 2021
Chiar dacă, până acum, certificarea GDPR nu pare să fie de interes pentru autoritățile române, eu sper ca acest lucru să se întâmple chiar anul acesta. Amenzile vor continua să crească, atât numeric, cât și valoric. Operatorii de date vor aloca mai mult buget în securitatea datelor, vor continua o monitorizare strictă pentru a se asigura că respectă cerințele GDPR pentru a evita amenzile, iar numărul persoanelor direct implicate în acest proces va crește; în marketing ar putea apărea schimbări importante datorită barierelor impuse de legile privind confidențialitatea datelor, asta determinând o întoarcere la metodele tradiționale de marketing. Mă aștept, de asemenea, ca operatorii de date să-si stabilească politici mai bune prin care comunică persoanelor vizate modul în care procesele lor le permit să colecteze și să dețină controlul asupra datelor personale, precum și îndrumări referitoare la modul în care aceștia pot influența gestionarea, protecția și recuperarea acestora. Mulți operatori de date își vor externaliza nevoile IT în contextual Covid 19, din nevoia de a-și echilibra bugetul pe considerentul că banii trebuie cheltuiți în zonele prioritare, iar IT-ul poate fi externalizat fiind un partament intern costisitor. Mă aștept ca operatorii, să se asigure că există protocoale de securitate adecvate și eficiente pentru ca personalul IT concediat să nu aibă acces la datele organizației. Va continua dezvoltarea software-ului specializat și multe organizații vor achiziționa servicii de automatizare a confidențialității datelor.
49
Cover Story
Daniel Suciu Conformitate 100%, cu ”măsuri tehnice și organizatorice” ”adecvate” reprezintă în cel mai bun caz o ghicitoare, mai ales că ceea ce reprezintă aceste măsuri în fapt, nu pare să fie clar nici legiuitorilor și nici unei părți a specialiștilor. Daniel Suciu, este consultant GDPR și DPO extern, cu expertiză în managementul proceselor, managementul schimbării, managementul riscului, auditul intern, guvernanța și administrarea datelor.
1.Care sunt cele mai importante motive personale de satisfacție legate de evoluția GDPR din ultimii 3 ani? Satisfacție e prea mult spus, având în vedere gradul redus de conștientizare a pieței referitor la necesitatea adresării protecției datelor, dincolo de simpla conformare legală. Totuși, trendul este unul pozitiv, chiar dacă nu cu un ritm susținut. La evoluție pozitivă aș menționa începutul maturizării firmelor ce oferă consultanță GDPR. Observ cu bucurie că oportuniștii care au profitat de slaba înțelegere a domeniului de către piață, vânzând hârtii inutile pe bani mulți au început să se rărească. Tot mai mulți furnizori au început să-și construiască echipe multidisciplinare. De asemenea tot mai multe organizații au înțeles că efortul inițial de a se acoperi de hârtii (la sfatul ”specialiștilor”) nu este suficient.
50
2.Care sunt cele mai importante motive de regret, proiecte nerealizate, dificultăți întâmpinate?
În primul rând aș vorbi de dezamăgiri, și anume lipsa oricărui efort relevant de conștientizare a protecției datelor din partea celor responsabili. Acest efort a fost lăsat în totalitate pe umerii specialiștilor privați și a furnizorilor de servicii. De aici și atitudinea de minimizare a importanței domeniului de către majoritatea factorilor de decizie, mai ales în contextul pandemiei, care oricum a creat dificultăți majorității organizațiilor. O altă dezamăgire este utilizarea în continuare a ”bau-bau-ului” amenzilor de către mulți, deși realitatea locală a arătat că amenzile sunt și de 0,01% din cifra de afaceri, pentru abateri grave și/sau repetate. În plus, evenimentele în care se discută de subiecte ”fierbinți”, cum ar fi impactul Inteligenței Artificiale sau a Blockchainului, a soluțiilor IoT în Protecția Datelor, despre Etică … de către actori care nu au nimic de-a face cu domeniile respective și care de multe ori nu au implementate măsurile minime obligatorii de protecția datelor nu cred că ajută domeniul. Catalog GDPR
3.Care sunt cele mai importante greșeli care se fac în proiectele de adopție a cerințelor de conformitate? Cea mai importantă greșeală cred că este minimizarea importanței acestui domeniu, a riscurilor dar și a beneficiilor unei implementări corecte. Pe locul doi aș pune ”delegarea” completă a acestei activități către o entitate externă sau chiar pasarea ei în intern către un ”voluntar”, care nu are nici cunoștințele, nici autoritatea de a face ceva. Aș continua cu accentul greșit pus pe documentare, considerând că 10 proceduri generice pot ține locul unor procese interne. O greșeală foarte întâlnită, și din păcate, propagată de către unii ”specialiști” sau furnizori de servicii este decuplarea inițiativelor GDPR de procesele operaționale. Nici considerarea acestui domeniu ca o inițiativă singulară nu este prea rară. Mai ales în cazul firmelor mai mici. Deși greșelile sunt multe, aș încheia cu numirea unui ”responsabil” cu protecția datelor, fără a se ține seama de cerințele legale (și de bun simț) referitoare la calificarea, independența și autoritatea necesare unui DPO. 4. Poate exista conformitate GDPR 100% sau o rețetă pentru o implementare de succes?
Conformitate 100%, cu ”măsuri tehnice și organizatorice” ”adecvate” reprezintă în cel mai bun caz o ghicitoare, mai ales că ceea ce reprezintă aceste măsuri în fapt, nu pare să fie clar nici legiuitorilor și nici unei părți a specialiștilor. Deși cuvântul ”guvernanță” nu apare în GDPR, mulți specialiști, printre care mă număr și eu, consideră că acesta este răspunsul. Cât despre rețetă, aceasta este sau ar trebui să fie clară: se analizează situația actuală, datele personale prelucrate (pentru fiecare scop în parte), non-conformitățile și riscurile existente, se prioritizează, se planifică și se implementează schimbările necesare (în procesele operaționale, unde este cazul), se verifică eficiența acestora, se monitorizează schimbările, și se reia procesul de câte ori este nevoie. 5.Ce speranțe aveți privind evoluția fenomenului GDPR în continuare, atât din perspectiva autorităților, cât și din cea a operatorilor de date? Speranțele mele sunt legate strict de maturizarea, pas cu pas, a înțelegerii acestui domeniu, a necesității unui program coerent, precum și a potențialelor beneficii aduse de tratarea corectă a GDPR, toate acestea fiind legate strict de operatorii de date și furnizorii de servicii din acest domeniu.
51 Iunie 2021
Specialiștii
Riscul pentru drepturile și libertățile persoanelor fizice
Adrian Munteanu
Unul din subiectele despre care consider că s-a scris puțin și s-a explicat la fel de puțin îl reprezintă „evaluarea riscurilor” în accepțiunea GDPR. Astfel, despre riscuri, în GDPR, se face vorbire în două sensuri: „riscuri”…simple și „riscuri ridicate„. Regulamentul nu intră în prea multe amănunte/definiții pentru că trebuie să fie o reglementare care să reziste în timp. O primă definiție a riscurilor o regăsim în Considerentul 75: ”Riscul pentru drepturile și libertățile persoanelor fizice, prezentând grade diferite de probabilitate de materializare și de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală.” Urmează apoi, în același paragraf, exemplificarea a ceea ce se înțelege prin „prejudicii de natură materială sau morală„: • discriminare; • furt sau fraudă a identității; • pierdere financiară; • compromiterea reputației; • pierderea confidențialității datelor cu caracter personal protejate prin secret profesional;
52
• inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială; • privare de drepturi și libertăți • împiedicarea exercitării controlului asupra datelor lor cu caracter personal; • dezvăluirea originii rasială sau etnică, opiniilor politice, religiei sau convingerilor filozofice, apartenența sindicală; • sunt prelucrate date genetice, date privind sănătatea sau date privind viața sexuală sau privind condamnările penale și infracțiunile sau măsurile de securitate conexe; • profilare : sunt evaluate aspecte de natură personală, în special analizarea sau previzionarea unor aspecte privind randamentul la locul de muncă, situația economică, starea de sănătate, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau deplasările; • sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, în special copii; sau prelucrarea implică un volum mare de date cu caracter personal și afectează un număr larg de persoane vizate. . Catalog Catalog GDPR GDPR
A doua referință este în Considerentul 76: ”Probabilitatea de a se materializa și gravitatea riscului pentru drepturile și libertățile persoanei vizate ar trebui să fie determinate în funcție de natura, domeniul de aplicare, contextul și scopurile prelucrării datelor cu caracter personal. Riscul ar trebui apreciat pe baza unei evaluări obiective prin care se stabilește dacă operațiunile de prelucrare a datelor prezintă un risc sau un risc ridicat.”
Deși Regulamentul nu are nici o definiție pentru „riscuri ridicate”, din cele citate mai sus înțelegem că un risc devine „ridicat” în funcție de probabilitate și gravitate prin referire la natura, domeniul de aplicare, contextul și scopurile prelucrării. Detalii explicite regăsim în Articolul 35: ”Având în vedere natura, domeniul de aplicare, contextul și scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul efectuează, înaintea prelucrării, o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal.”
Următoarea referință o găsim în Articolul 32: ”La evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.”
Evaluarea riscurilor nu este o activitate opțională ci obligatorie. Dacă rezultă riscuri ridicate trebuie să facem și evaluarea impactului operațiunilor de prelucrare (DPIA). Când? În 3 cazuri: (a) unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă; (b) prelucrării pe scară largă a unor categorii speciale de date, menționată la articolul 9 alineatul (1), sau a unor date cu caracter personal privind condamnări penale și infracțiuni, menționată la articolul 10; (c) unei monitorizări sistematice pe scară largă a unei zone accesibile publicului. Evaluarea riscurilor este o activitate obligatorie: doar așa se poate justifica alegerea ”măsurilor tehnice” conform Articolului 24: ”Ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar.” În concluzie, întreaga listă din considerentul 75 devine listă de „riscuri ridicate”, în funcție de probabilitate și gravitate…
53 Iunie Iunie 2021 2021
Specialiștii
Despre transparență în contextul GDPR Mai mult despre ”cum”, decât despre ce se comunică…
Daniel Suciu
Contextul - GDPR începe cu obiective foarte frumoase, cum ar fi în considerentul 2: „Prezentul regulament protejează drepturile și libertățile fundamentale ale persoanelor fizice și în special dreptul acestora la protecția datelor cu caracter personal.” Cu toate acestea, după cum am aflat de-a lungul istoriei noastre, intențiile bune nu sunt suficiente sau că „iadul este pavat cu intenții bune”. O vorbă alternativă este „Iadul este plin de bune intenții, dar cerul este plin de fapte bune”. Așa cum se menționează la articolul 12 din GDPR „Operatorul va lua măsurile adecvate pentru a furniza orice informații […], utilizând un limbaj clar și simplu [...]”, care sună clar și într-un limbaj simplu. Despre limbajul clar și simplu... și măsurarea gradului de lizibilitate (sau cum s-o traduce ”readability” în română) - Dar să vedem cum GDPR a reușit să „aplice” această recomandarea în textul legii. Pentru aceasta am analizat articolul cel mai important, art. 5 – principiile GDPR, care ar trebui înțeles de oricine. Pentru obiectivitate, am utilizat metodologiile existente pentru a evalua „limbajul clar și simplu”, așa că am mers la formulele de lizibilitate, care sunt cunoscute și utilizate de mai bine de jumătate de secol (chiar dacă autorii GDPR par să nu fii conștienți de existența acestora, deși în unele țări documentele oficiale trebuie să fie evaluate conform acestora pentru a fi publicabile). https://readabilityformulas.com/ Acest site vă permite să măsurați formulele de lizibilitate pentru un exemplu de text – de preferat în limba engleză, în raport cu diferite formule și pare să ofere cele mai precise rezultate. Notă: acestea sunt cele mai exacte pentru limba engleză, dar pentru fiecare limbă sunt câteva metode care sunt cele mai potrivite. Cu toate acestea, indiferent de limbă, cel puțin pentru Europa, diferențele nu sunt uriașe și v-ar oferi un indicator bun despre lizibilitate. Rezultatele? (Deloc) surprinzător, ar fi nevoie de 19 ani de studii pentru înțelegerea lor.
54 Catalog Catalog GDPR GDPR
Concluzia? Cum se spune pe la noi ”Fă ceea ce spune popa, nu ceea ce face popa”… Acum, citind următoarea parte, ați putea crede că mă laud ... OK, o fac puțin, dar de data aceasta, cu motive întemeiate, cred. Și promit să nu mă obișnuiesc cu asta. Așadar, am încercat să le „traduc” într-un limbaj clar și simplu. Pentru mine, a fost în mare parte o treabă distractivă, dar se pare că a fost ceea ce trebuie făcut. Acesta este rezultatul:
55 Iunie Iunie 2021 2021
Specialiștii
Ciudat este că, inițial, nu m-am gândit să-i măsor lizibilitatea, dar când am făcut-o ... .
Pentru avansați, am mai creat o variantă, dar despre care nu garantez în privința clarității 😊
56 Catalog Catalog GDPR GDPR
BONUS: Despre trasparență (și nu numai) în contextul relațiilor de muncă Principiile GDPR (aka art. 5) încep cu: (1) Datele cu caracter personal sunt: (a) prelucrate în mod legal, echitabil și transparent față de persoana vizată ("legalitate, echitate și transparență") […] Adică, mai clar și simplu:
57 Iunie Iunie 2021 2021
Specialiștii
BONUS la BONUS: Despre Greșelile în politicile de confidențialitate
58
Prima greșeală este chiar subiectul. Politica nu trebuie să se refere numai la datele prelucrate pe site, ci la toate serviciile furnizate clienților (și nu numai) și la prelucrările necesare pentru acestea; • Limbajul folosit - neadaptat audienței. Jargonul juridic este clar nerecomandat, dar acest lucru este valabil si pentru jargonul de specialitate - cum ar fi cel medical – care utilizat in exces afectează claritatea mesajului; • Lungimea si organizarea documentului pot face cel mai bun conținut complet irelevant. Nimeni cu citește un document de zeci de pagini din scoarță-n scoarță. Un sumar, un cuprins sunt de bun simț; • Consimțământul pentru Politica este greșit din principiu. Persoana vizată trebuie informată, nu este obligată și nu poate să-și dea acordul asupra multor aspecte din acest document, acestea fiind asumate de către Operator; • Identificarea operatorului este o problemă în special pentru firmele ce fac parte dintr-un grup de companii, chiar daca sunt entități juridice diferite, acest lucru nefiind relevant pentru GDPR; • Datele prelucrate. În practică, nu este întotdeauna posibil, sau chiar util, să se enumere toate datele personale prelucrate de un operator, dar cel puțin tipurile, sursa ar ajuta. O greșeală obișnuită este că se menționează numai datele colectate direct și voluntar de la persoana vizată; • Scopul prelucrării. În primul rând, de obicei se "uită" că o înșiruire de scopuri, după o listă de date nu înseamnă transparență. Acest lucru, pe lângă clasicul motiv "de a îmbunătăți experiența vizitatorilor", întâlnit la multe afaceri online ca singur motiv, nu prezintă tocmai corectitudine și transparență; • Temeiul juridic al prelucrării. Din nou, enumerarea tuturor temeiurilor din lege nu este doar inutilă, ci chiar contraproductivă, deoarece nu demonstrează respectarea cerințelor GDPR. Trebuie identificat temeiul juridic pentru fiecare scop individual; • Dezvăluirea către alții a datelor cu caracter personal. Toată lumea se jură că nu împărtășesc datele cu entități neautorizate și evident că nu le vând. Ceea ce "uită" să menționeze este exact ce date sunt dezvăluite, cui și pentru ce; • Transferurile de date în afara UE / SEE - riscurile și măsurile de protecție trebuie specificate, nu doar ca "măsuri corespunzătoare". Evident, dacă serviciile IT se află în Rusia, India, Turcia ... acest lucru ar trebui menționat; • Securitate / integritate și confidențialitate. Toți iau măsuri "adecvate" tehnice și organizatorice. Evident - chiar dacă site-ul lor nu are un certificat SSL/ TSL, aceștia trimit informații personale delicate pe canalele nesigure sau adresa lor de contact este pe Gmail sau Yahoo; • Modificări ale documentului. Nu este suficient să informați subiecții cu privire la necesitatea unei consultări periodice a documentului, deoarece ar putea fi supus schimbării. Modificările substanțiale trebuie să fie explicite și data ultimei schimbări ar trebui menționată de asemenea. Catalog Catalog GDPR GDPR
GDPR, obstacol sau sprijin în combaterea corupției?
Ion Iordache Multă lumea este preocupată astăzi de confidențialitatea datelor și de problema corupției. Adevărat sau fals? Din realitatea, tot de astăzi, eu am ajuns la concluzia că această afirmație este adevărată însă într-o proporție foarte mare doar la nivel declarativ. Aici câștigă detașat politicienii dar și îngrijorător de mulți manageri. Vedem tot mai multe scandaluri naționale și internaționale legate de cele două probleme deși există reglementări și instrumente puternice cu care s-ar putea preveni, atât incidentele de securitate a datelor cât și faptele de corupție. Există Regulamentului (UE) 2016/679 (GDPR) și există standardul internațional ISO 37001 Sisteme de Management Anti-Mită. Încălcarea cerințelor GDPR poate aduce amenzi mari operatorilor de date dar se pare că acest lucru nu-i sperie și nici măcar nu-i îngrijorează pe foarte mulți dintre ei. Mai ales pe cei care plătesc sancțiunile din banul public. Încălcarea legilor anticorupție este o poveste lungă pentru că totul durează prea mult iar deznodământul, de regulă, nu mai are efect pentru că pagubele nu se mai recuperează. Iunie Iunie 2021 2021
Implicațiile GDPR au impact puternic și în activitatea de combatere a corupției și pot da ca exemplu companiile care efectuează investigații interne anti-mită, mai ales dacă au implementat și/sau certificat un sistem de management anti-mită conform cerințelor standardului internațional ISO 37001. O mare parte din datele colectate în aceste investigații sunt „date cu caracter personal” deoarece în timpul acestor investigații interne, emailurile, contractele și alte documente cu datele personale ale angajaților sunt, aproape întotdeauna, revizuite iar datele personale ale unor terți, cum ar fi clienții și furnizorii externi pot fi de asemenea, colectate și analizate (numele și adresele clienților, etc.). Ca parte a revizuirii Recomandării OCDE împotriva corupției din 2009, părțile interesate au fost invitate să participe la o consultare publică online în perioada 22 martie 2019 - 6 mai 2019 pe baza unui document de consultare publică. Acest document de consultare a ridicat o varietate de probleme care au apărut în ultimul deceniu de punere în aplicare și punere în aplicare a Convenției OCDE împotriva corupției.
59
Specialiștii 60
Sunt identificate noi tendințe și provocări, asociația de afaceri antimită, TRACE International prezentând și o imagine de ansamblu asupra noilor probleme apărute datorită provocărilor prezentate de GDPR. Pe baza acestor concluzii am ales și eu subiectul articolului și vă invit să descoperiți mai multe amănunte în sursele originale prezentate în bibliografie.
În această lucrare "OECD Working Group on Bribery Public Consultation on the Review of the 2009 OECD AntiBribery Recommendation"(1), TRACE susține că "multe prevederi GDPR nu numai că facilitează ci sunt chiar în conflict direct cu elementele esențiale ale programelor de conformitate antimită, cum ar fi ”due diligence” a terților și procedurile de conformitate pentru monitorizare, investigații interne și raportare" și că unele dintre tensiunile dintre cerințele de conformitate antimită și cerințele GDPR se datorează „obiectivelor contradictorii” pe care fiecare încearcă să le realizeze. Se consideră de către autori că este inevitabilă o oarecare tensiune între cerințele de conformitate ale unui sistem de management anti-mită bazate pe standardul internațional ISO 37001 Sisteme de Management AntiMită și cerințele de protecție a datelor cu caracter personal impuse de GDPR. E ușor de observat că primul urmărește transparența tranzacțiilor internaționale, de exemplu, expunând și dezvăluind actele de luare și dare de mită camuflate în diverse comisioane iar cel de-al doilea reglementează, restricționează și încearcă să reducă la minimum, sau chiar să interzică prelucrarea datelor cu caracter personal și să faciliteze drepturile persoanelor de a li se șterge datele, de a "fi uitate", de a obiecta sau de a restricționa prelucrarea informațiilor despre acestea; acest lucru este valabil
mai ales dacă astfel de date cu caracter personal sunt sensibile sau dăunătoare, în special informațiile despre condamnările sau infracțiunile penale. Conflictul rezultat de aici este acela că procesul de "due diligence" prin care prin care se evaluează în detaliu natura și amploarea riscului de mituire și prin care sunt ajutate organizațiile sa ia deciziile referitoare la tranzacții, proiecte, activități specifice, parteneri de afaceri specifici și personal specific, este o parte esențială a managementului anti-mită. „Astfel de anchete sunt efectuate de companii sau de furnizorii lor de servicii de conformitate, fără supravegherea, direcția sau controlul vreunei autorități oficiale”, spune TRACE. Concluzia este destul de tranșantă aici considerându-se că "dacă UE și alte țări cu legislație similară privind protecția datelor nu oferă o modalitate clară companiilor de a reconcilia aceste două regimuri importante, în special punctele pe care le evidențiem mai jos, ambele pot avea de suferit." GDPR face mai complicat procesul de "due diligence" anti-mită și poate crea dificultăți serioase companiilor care încearcă să respecte legile anticorupție și/sau cerințele sistemului de management anti-mită implementat deoarece întregul proces trebuie documentat și efectuat conform cerințelor sale. Într-o astfel de situație, compania va trebui să descopere baza legală pentru colectarea datelor cu caracter personal iar cel mai simplu mod de a asigura o bază legală adecvată ar fi obținerea consimțământului persoanelor pe care trebuie să le verifice dar acest lucru va fi, de cele mai multe ori, imposibil de realizat. Catalog Catalog GDPR GDPR
Există cazuri în care, chiar cu riscul pierderilor unor oportunități de afaceri, companii importante din UE, datorită GDPR, au refuzat să participe la procesul de "due diligence" antimită. Standardul ISO 37001 specifică printr-o notă de la punctul 8.2 Due diligence că "în unele situații, compania poate concluziona ca nu este necesar, nu este rezonabil sau este disproporționat sa efectueze due diligence referitoare la anumite categorii de personal sau de parteneri de afaceri." Așa că alte companii au ales să evite prelucrarea datelor cu caracter personal sau chiar să ignore cerințele standardului în procesele lor de prevenire a actelor de luare și dare de mită; toate acestea fiind făcute, de fapt, prin reducerea rigurozității față de terți sperând, probabil, că unele incertitudini se vor soluționa odată cu timpul. Scopul efectuării unei "due diligence" asupra unor anumite tranzacții, proiecte, activități, parteneri de afaceri sau chiar personalul unei companii este acela de a evalua in detaliu domeniul, scara și natura riscurilor de mituire mai mari decât cele considerate ca fiind scăzute, identificate ca parte a evaluării riscurilor companiei.
Compania ar putea considera utili pentru evaluare o serie de factori: partenerii de afaceri și alți terți implicați - inclusiv persoane publice oficiale, legăturile între oricare din părțile menționate anterior, competența și calificările părților implicate, reputația și locația clientului, etc. De regulă, această evaluare înseamnă prelucrarea unui volum mare de date cu caracter personal care pot include următoarele: Iunie Iunie 2021 2021
• identificare de bază și informații de contact; • anul sau data nașterii; • cetățenie; • calificările (instituția, perioada); • experiența profesională (compania, perioada, funcția, atribuțiile postului); • companii în proprietatea proprie și/sau participațiuni la alte companii; • indicarea faptului dacă au legătură cu oficiali guvernamentali, funcționari publici, oficiali ai partidelor politice sau candidați la funcții politice și • orice informație de fond negativă cu privire la istoricul eventualelor fapte de corupți sau încălcarea altor legi și standarde internaționale etc. Având în vedere o prelucrare atât de extinsă a datelor cu caracter personal ca parte a procesului de due diligence au fost identificate o serie de provocări din partea GDPR care "ar necesita modificări semnificative ale programelor de conformitate anti-mită și ale documentelor de orientare privind cele mai bune practici”. Voi prezenta, pe scurt, aceste provocări pe care le găsiți detaliate în lucrarea TRACE International (1) a. Creșterea semnificativă a costurilor și a eforturilor de conformitate - GDPR crește semnificativ costurile de conformitate pentru tranzacțiile comerciale internaționale; de exemplu: pentru a respecta cele mai bune practici ale programelor de conformitate anti-mită o companie din afara UE va dori să efectueze "due diligence" cu parteneri terți din Uniunea Europeană și să proceseze cantități mari de date cu caracter personal cu respectarea GDPR. Dacă nu respectă cerințele GDPR riscă sancțiuni financiare considerabile.
61
Specialiștii
b. Cerințe stricte privind prelucrarea datelor cu caracter personal referitoare la condamnări și infracțiuni - Aici se atrage atenția asupra Articolului 10 din GDPR "Prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni" unde se prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni cu excepția cazului în care " se efectuează numai sub controlul unei autorități de stat sau atunci când prelucrarea este autorizată de dreptul Uniunii sau de dreptul intern care prevede garanții adecvate pentru drepturile și libertățile persoanelor vizate.„ c. Baza legală incertă pentru prelucrarea oricăror date cu caracter personal ca parte a "due diligence" În conformitate cu Articolul 6 "Legalitatea prelucrării" din GDPR, prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre cele șase condiții enumerate în acel articol. TRACE consideră că cea mai potrivită bază pentru prelucrarea datelor cu caracter personal ca parte a "due diligence" este dată de „interesele legitime” ale companiilor dar fără ca acestea să depășească interesele, drepturile și libertățile persoanelor vizate.
62
Se consideră, însă, că această bază este deschisă unei provocări din partea persoanelor vizate în temeiul dreptului lor de a obiecta în temeiul articolului 21 "Dreptul la opoziție" din GDPR, care declanșează cerința ca operatorul să demonstreze "motive legitime imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță." Catalog Catalog GDPR GDPR
d. Cerințele GDPR privind prelucrarea unor categorii speciale de date cu caracter personal Se remarcă faptul că procedurile de "due diligence" includ, de obicei, examinarea persoanelor expuse politic, care la rândul lor necesită dezvăluirea afilierilor și pozițiilor partidelor politice. Este posibil ca astfel de informații să fie clasificate, conform GDPR, ca fiind dintr-o „categorie specială” de date cu caracter personal (în esență, date mai sensibile) a căror prelucrare este strict reglementată. Articolul 9 "Prelucrarea de categorii speciale de date cu caracter personal" din GDPR interzice printre altele "prelucrarea de date cu caracter personal care dezvăluie ....opiniile politice" cu unele excepții; în unele cazuri, companiile se pot baza pe excepția Articolului 9 pentru situația când "prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată”; cu toate acestea, aplicabilitatea acestuia ar necesita probabil o analiză de la caz la caz. e. Alte obligații GDPR care necesită modificări ale proceselor de "due diligence" - GDPR conține numeroase alte cerințe care nu au făcut parte din cele mai bune practici pentru procesele de "due diligence" anti-mită cum ar fi: principiile de minimizare a datelor și de limitare a scopului, care impun companiilor să justifice domeniul de aplicare al datelor cu caracter personal colectate ca parte "due diligence" anti-mită și să restrângă acest domeniu doar la ceea ce este necesar și proporțional cu scopul clar definit; notificări de prelucrare a datelor către fiecare persoană vizată ale cărei date sunt prelucrate ca parte a "due diligence" anti-mită. Închei cu concluzia că dacă nu se vor emite îndrumări cu privire la modul în care companiile pot implementa și executa programe de conformitate cu cele mai bune practici anti-mită, în conformitate cu GDPR, multe dintre incertitudinile și provocările evidențiate mai sus vor rămâne. Sursa: (1) OECD Working Group on Bribery Public Consultation on the Review of the 2009 OECD Anti-Bribery Recommendation
63 Iunie Iunie 2021 2021
Analiză
ePR vs. 64 Catalog GDPR
GDPR 65 Iunie 2021
Analiză Radu Crahmaliuc
A
vând în vedere relația strânsă
dintre Regulamentului general privind protecția datelor (GDPR) și Regulamentului privind confidențialitatea electronică (ePR) s-a intenționat ca ePR să intre în vigoare în aceeași zi cu GDPR în 25 mai 2018. Cu toate acestea, datorită unor multiple activități de lobby și deliberare, proiectul ePR a fost publicat prea târziu (ianuarie 2017) pentru a fi adoptat la timp. UE s-a concentrat în mare măsură pe GDPR și, ca atare, adopția Regulamentului privind confidențialitatea electronică s-a amânat într-o primă fază, pentru a doua jumătate a anului 2019, după care au tot apărut alte amânări.
66 Catalog GDPR
Pe 10 ianuarie 2017 Comisia Europeană a adoptat documentul ”Propunere de regulament al Parlamentului European și al Consiliului privind respectarea vieții private și protecția datelor cu caracter personal în comunicațiile electronice și de abrogare a Directivei 2002/58 / CE (Regulamentul privind confidențialitatea și comunicațiile electronice)”. Deși toată lumea spera că revizuirea propunerii de regulament va evolua destul de repede, din diferite motive adopția unei versiuni finale, care să fie aprobată de toată lumea, a tot întârziat. În 10 februarie 2021 Comitetul Reprezentativ Permanent a adoptat o versiune pe care a pus-o la dispoziția delegațiilor ca mandat de negociere cu Parlamentul European (Sursa: https://data.consilium.europa.eu). Indiferent când se va ajunge la o formulă finală, toată lumea este interesată în ce măsură noul Regulament ePR va veni în completarea actualei formule a GDPR și care vor fi aspectele care nu țin de protecția datelor personale.
67 Iunie 2021
Analiză Principiile directoare Pentru a defini relația generală dintre GDPR și ePR, actuala propunere de regulament supune discuției următoarele principii directoare:
Unele prevederi ale ePR completează GDPR: caz în care se presupune că ePR poate veni cu reguli care asemănătoare cu cele din GDPR, dar și cu aspecte care nu se încadrează în același domeniu (de exemplu, valabilitatea reglementărilor privind comunicarea nesolicitată și pentru persoanele juridice). Dar asta poate însemna și că nu se va aplica nicio altă regulă de protecție a confidențialității comunicațiilor electronice, în cazul în care un astfel de articol ePR este absent. Alte prevederi ePR particularizează GDPR: situație în care ePR funcționează ca ”lex specialis”, ceea ce înseamnă că ori de câte ori normele ePR și GDPR tratează același subiect, se aplică ePR.
68
În același timp, este important să ne dăm seama că, pe lângă protecția datelor cu caracter personal, protecția datelor de comunicații electronice reflectă în legislația secundară dreptul
la respectarea comunicațiilor prevăzut la articolul 7 din Carta dreptului fundamental al Uniunea Europeană. În recomandările sale Președinția subliniază că obiectivul general ar trebui să nu fie scăderea nivelului de protecție a drepturilor fundamentale, astfel cum este stabilit de GDPR, precum și a Directivei 2002/58 / CE privind confidențialitatea și comunicațiile electronice, astfel cum a fost modificată prin Directiva 2009/136 / CE, ținând cont de faptul că e-PR este propus ca ”lex specialis” pentru GDPR în ceea ce privește prelucrarea datelor cu caracter personal. În ceea ce privește datele persoanelor juridice, GDPR nu se aplică, cu excepția cazului în care e-PR prevede în mod specific acest lucru. Acesta este cazul referitor la definiția consimțământului. Până aici lucrurile par simple, dar implicațiile viitorului Regulament ePR pentru GDPR așa cum îl înțelegem și îl aplicăm acum sunt mult mai complexe, așa că merită să facem o analiză pe textul propunerii, ca să vedem care sunt perspectivele, articol cu articol, ce e nou față de veghea Directivă ePrivacy din 2002 și cum susține sau afectează ePR prevederile GDPR. Catalog GDPR GDPR Catalog
De ce e important Regulamentul ePR pentru GDPR? Regulamentul prevede că „datele comunicațiilor electronice ar trebui definite într-un mod suficient de larg și neutru din punct de vedere tehnologic, astfel încât să cuprindă orice informații referitoare la conținutul transmis sau schimbat ... și informațiile referitoare la un utilizator final al serviciilor de comunicații electronice procesate pentru scopuri de transmitere, distribuire sau permiterea schimbului de conținut de comunicații electronice; inclusiv date pentru a urmări și identifica sursa și destinația unei comunicații, locația geografică și data, ora, durata și tipul de comunicare. " Comunicațiile sunt protejate indiferent dacă datele sunt transmise prin cablu, radio, metode optice sau electromagnetice. Asta înseamnă că datele de comunicație trimise prin sateliți, cabluri, rețele fixe și sisteme de cabluri de electricitate intră sub incidența Regulamentului ePrivacy. E clar de înțeles că, indiferent de modalitatea sau tehnologia de transmitere a acestor comunicații, există o mare probabilitate ca printre datele transmise să fie și date cu Iunie Iunie 2021 2021
caracter personal, generale sau speciale, ceea ce ne aduce în domeniul de aplicare al GDPR.
Toate aceste date comunicate ar trebui să rămână întotdeauna confidențiale și orice interferență cu comunicarea acestor date, fie direct de către un om, fie prin procese automate, fără acordul utilizatorului, este interzisă. Interferența în acest context poate apărea în orice moment în timpul transferului acelor date sau metadate, inclusiv în timpul transmiterii acestora și la destinație. De exemplu, ascultarea apelurilor, scanarea mesajelor electronice, monitorizarea site-urilor web vizitate și monitorizarea interacțiunilor dintre utilizatori constituie o încălcare a regulamentului ePR și în momentul când ne referim l date personale, în completare și la încălcarea GDPR. Ultima actualizare oficială a Directivei ePrivacy din 2002 s-a făcut în 2009. De atunci, modul în care comunicăm electronic a crescut și s-a schimbat masiv, iar noul regulament este conceput pentru a ține seama de acest lucru și pentru a se asigura că confidențialitatea este menținută.
69
Analiză
Din perspectiva GDPR există mai multe aspecte cheie: Servicii de comunicare și metadate Astăzi, comunicațiile online se caracterizează prin servicii ”over the top” pe care le folosim în fiecare zi, de multe ori fără să ne dăm seama că asta facem. Astfel de servicii se află în partea superioară a serviciilor oferite de furnizorul de rețea. Să ne gândim la Skype, WhatsApp, Facebook Messenger sau chiar la serviciile TV pe Internet. Directiva intenționează să aducă aceste servicii în sfera normelor UE de protecție a vieții private, pentru a ne asigura că acestea sunt supuse acelorași norme de confidențialitate a comunicațiilor ca și furnizorii tradiționali de telecomunicații. Noul Regulament ePR ar trebui să impună controale de confidențialitate atât pentru conținutul comunicațiilor, cât și pentru „metadatele” asociate, adică ora unui apel sau locația, ceea ce din punctul de vedere al GDPR poate conduce la identificarea noastră ca persoană… Noul regulament ePR va impune ca, în cazul în care utilizatorii nu își dau consimțământul pentru stocare, aceste metadate să fie anonimizate sau șterse în mod obligatoriu.
70
Cookie-uri – Un subiect foarte controversat din perspectiva actualei legislații în care regulile referitoare la cookie-uri în vechea directivă sunt destul de ambigue, iar GDPR impune reguli ”dure” de obținere și dovedire a consimțământului. În prezent, majoritatea site-urilor publice și a browserelor au ca setări implicite acceptarea tuturor cookie-urilor, iar ”continuarea navigării presupune acceptarea implicită” a colectării de cookie-uri. Dacă pentru deținătorii siteurilor asta se poate aranja prin introducerea butoanelor auxiliare de refuz sau a posibilității de alegere a
tipurilor de cookie-uri colectate, pentru furnizorii de software care permit recuperarea și prezentarea informațiilor pe Internet ar trebui să se impună obligația de a configura software-ul în așa fel, încât browserele să ofere opțiunea de a împiedica terții să stocheze informații pe echipamentul terminal; acest lucru este adesea prezentat ca „respingerea cookie-urilor terților”. Noua reglementare își propune să faciliteze setările browserului pentru a permite acceptarea generală sau refuzul de urmărire a cookie-urilor și a altor identificatori și va clarifica faptul categoriile de cookies acceptate. Internetul ”obiectelor” și rețelele publice de Wi-Fi – Avalanșa de date transmise și obținute prin intermediul tuturor echipamentelor conectate la Internet impune adoptarea unor măsuri clare, în condițiile în care toate statisticile arată că aceste tipuri de conexiuni sunt cele mai expuse atacurilor malițioase. Din această perspectivă, regulamentul ePR prevede că: „Transmiterea comunicațiilor de la mașină la mașină implică transmiterea de semnale printro rețea și, prin urmare, constituie de obicei un serviciu de comunicații electronice și pentru a promova un Internet al obiectelor de încredere și sigur pe piața unică digitală, este necesar să se clarifice faptul că prezentul regulament ar trebui să se aplice transmiterii comunicațiilor de la mașină la mașină.„ Totodată, Rețelele publice fără fir accesibile publicului de tipul „hotspot Wi-Fi”, vor fi, de asemenea, supuse reglementării, indiferent de locația lor, de furnizor sau de metoda în care este asigutat serviciul respectiv. Rețelele private, care nu sunt accesibile publicului, nu sunt supuse Regulamentului ePR. Catalog GDPR
Marketingul și spam-ul - Regulamentul definește marketingul direct ca pe ”orice formă de publicitate prin care o persoană fizică sau juridică trimite comunicări de marketing direct către unul sau mai mulți utilizatori finali, identificați sau identificabili, care utilizează servicii de comunicații electronice. În plus, ePR s-ar putea să ia în considerare și comunicările trimise de partidele politice sau mesajele trimise de diferite organizații non-profit pentru a sprijini scopurile organizației. Privind comunicarea nesolicitată prin canale precum e-mail, SMS, MMS, mesagerie instantanee, Bluetooth și mașini de apel automat, orice astfel de comunicare va fi interzisă în lipsa probării unui consimțământ clar, chiar și dacă vizează persoanele juridice, ceea ce nu intra în sfera GDPR. Rămâne de văzut modul în care legile naționale vor întări sau for simplifica aceste reguli. Există țări europene unde se consideră că persoanele ar putea fi protejate fie în mod implicit, fie prin listele existente de tipul „nu apelează” care sunt configurate pentru a preveni comercializarea apelurilor telefonice. Apelurile telefonice de marketing vor trebui identificate printr-un prefix obligatoriu - în primul rând pentru ca utilizatorii să aibă o idee clară de la cine primesc comunicări dacă doresc să își retragă consimțământul pentru acea companie. Chiar dacă din perspectiva GDPR consimțământul implicit nu este recunoscut, Regulamentul preia una dintre regulile de bază privind consimțământul statutate de GDPR, precizând că este „justificat să se solicite consimțământul utilizatorului final înainte de expedierea comunicărilor comerciale în scopuri de marketing direct, pentru a asigura o protecție efectivă a persoanele împotriva intruziunii în viața lor privată, precum și interesul legitim al persoanelor juridice." În fine, în concordanță cu GDPR nu este nevoie de consimțământ atunci când operatorii de date comunică prin email cu persoane sau instituții care sunt deja clienți, pe baza unor relații existente, dar numai pentru domeniul de activitate respectiv și dacă sunt respectate cerințele de comunicare către persoanele vizate impuse de GDPR, precum existența posibilității de renunțare la acest tip de comunicări. Iunie 2021
71
Analiză
Hai să le luăm pe rând: 1.Scopul și domeniul de aplicare ePR particularizează și completează GDPR Chiar din Articolul 1 (1) se menționează că ce este statutat de GDPR privind protecția persoanelor fizice rămâne valabil și pentru ePR: ”Prezentul regulament stabilește norme privind protecția drepturilor și libertăților fundamentale ale persoanelor fizice și juridice în furnizarea și utilizarea serviciilor de comunicații electronice, în special drepturile la respectarea vieții private și a comunicațiilor și la protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal”. În plus, în aliniatul (1.a.) se arată că: ”Prezentul regulament stabilește norme privind protecția drepturilor și libertăților fundamentale ale persoanelor juridice în furnizarea și utilizarea serviciilor de comunicații electronice, în special drepturile acestora la respectarea comunicațiilor”, ceea ce evident, nu intră în sfera GDPR. În plus, alin. (2): ”Libera circulație a datelor de comunicații electronice și a serviciilor de comunicații electronice în cadrul Uniunii nu este restricționată și nici interzisă din motive legate de respectarea vieții private și a comunicațiilor persoanelor fizice și protecția persoanelor fizice în ceea ce privește prelucrarea datelor personale și pentru protecția comunicațiilor persoanelor juridice”. Poziționarea față de GDPR, care ar fi trebuit să fie fratele geamăn al regulamentului ePR, dar care s-a născut cu mult înainte, reiese clar din alin.(3): ”Dispozițiile prezentului regulament particularizează și completează
Regulamentul (UE) 2016/679 prin stabilirea unor norme specifice în scopurile menționate la alineatele (1) (2).” În articolul 2 (1) privitor la Domeniul de aplicare material, se specifică cui se aplică regulamentul: ”(a) prelucrarea conținutului de comunicații electronice și a metadatelor de comunicații electronice efectuate în legătură cu furnizarea și utilizarea serviciilor de comunicații electronice; (b) informații despre echipamentele terminale ale utilizatorilor finali. (c) oferirea unui director public al utilizatorilor finali ai serviciilor de comunicații electronice; (d) trimiterea de comunicări de marketing direct către utilizatorii finali.” Iată activitățile de marketing direct sunt recunoscute atât pentru importanța comunicării, cât și în privința recunoașterii drepturilor individuale de a nu accepta mesajele nedorite, ceea ce în vechea Directivă nu era diferențiat la nivel de domeniu material. Printre activitățile neincluse în domeniul de aplicare material prezentate în alineatul (2), pentru analiza noastră contează litera (d), care se referă la acele activități, ”inclusiv activități de prelucrare a datelor”, ale autorităților competente în scopul prevenirii, anchetei, depistării sau urmăririi penale a infracțiunilor sau executării de sancțiuni penale, inclusiv protecția și prevenirea amenințărilor la adresa securității publice.
72 Catalog GDPR
În articolul 3 care se referă la domeniul de aplicare teritorial, prin care se arată că Regulamentul se aplică atât pentru (a) furnizarea de servicii de comunicații electronice către utilizatorii finali aflați în Uniune, cât și pentru (aa) prelucrarea conținutului de comunicații electronice și a metadatelor de comunicații electronice ale utilizatorilor finali aflați în Uniune, (c) protecția informațiilor privind echipamentele terminale ale utilizatorilor finali care se află în Uniune, dar și pentru (cb) oferirea de directoare accesibile publicului pentru utilizatorii finali ai serviciilor de comunicații electronice care se află în Uniune și (cc) trimiterea de comunicări de marketing direct către utilizatorii finali aflați în Uniune. Interesant aici este că ePR preia modelul GDPR de globalizare a operatorilor din afara UE care au persoane vizate în UE prin alineatul (2) care precizează că în cazul în care ”furnizorul unui serviciu de comunicații electronice, furnizorul unui director public sau o persoană care utilizează servicii de comunicații electronice pentru a trimite comunicații de marketing direct sau o persoană care utilizează capacități de procesare și stocare sau colectează informații procesate de sau emise de sau stocate în echipamentul terminal al utilizatorilor finali nu este stabilit în Uniune, acesta desemnează în scris, în termen de o lună de la începerea activităților sale, un reprezentant în Uniune și îl comunică autorității de supraveghere competente.” Ca o completare care cu siguranță va deschide calea multor excepții, într-o completare a alineatului (2) se spune că: Iunie 2021
”cerințele prevăzute la alineatul (2) nu se aplică în cazul în care activitățile enumerate la alineatul (1) sunt ocazionale și este puțin probabil să genereze un risc pentru drepturile fundamentale ale utilizatorilor finali, ținând seama de natura, contextul, domeniul de aplicare și scopul acestor activități.”
2. Definițiile preluate în parte din GDPR, cu excepția Procesării Complementaritatea cu GDPR se menține și la articolul 4 de definiții, unde încă de la primul alineat se face precizarea: ”În sensul prezentului regulament, se aplică următoarele definiții: (a) definițiile din Regulamentul (UE) 2016/679;”. În plus, sunt preluate o serie de definiții privitoare la: (b) „rețele de comunicații electronice”, „serviciu de comunicații electronice”, „serviciu de comunicații interpersonale”, „serviciu de comunicații interpersonale pe bază de număr”, „serviciu de comunicații interpersonale independent de număr”, „utilizator final” și „apelare” din Directiva (UE) 2018/1972, (c) definiția „echipamentului terminal” din Directiva 2008/63 /CE a Comisiei, precum și (d) definiția „serviciului societății informaționale” din Directiva (UE) 2015/1535.” Ca o adăugare la extinderea domeniului material în alin. (2a) se precizează că definiția „prelucrării” menționată la articolul 4 alineatul (2) din Regulamentul 2016/679 nu se limitează la prelucrarea datelor cu caracter personal.
73
Analiză
Dintre definițiile nou apărute în ePR și specifice pentru comunicațiile electronice aș menționa pentru importanța termenilor explicați la alin (3): ”(a) „date de comunicații electronice” înseamnă conținut de comunicații electronice și metadate de comunicații electronice; (b) „conținut de comunicații electronice” înseamnă conținutul schimbat prin intermediul serviciilor de comunicații electronice, cum ar fi text, voce, videoclipuri, imagini și sunet; (c) „metadate ale comunicațiilor electronice” înseamnă date prelucrate prin intermediul serviciilor de comunicații electronice în scopul transmiterii, distribuirii sau schimbului de conținut al comunicațiilor electronice; inclusiv datele utilizate pentru urmărirea și identificarea sursei și destinației unei comunicații, date privind locația dispozitivului generate în contextul furnizării de servicii de comunicații electronice, precum și data, ora, durata și tipul comunicării; (e) „mesaj electronic” înseamnă orice mesaj care conține informații precum text, voce, video, sunet sau imagine trimise printr-o rețea de comunicații electronice care pot fi stocate în rețea sau în facilități de calcul conexe sau în echipamentul terminal al destinatarului său , inclusiv e-mail, SMS, MMS și aplicații și tehnici echivalente funcțional; (f)„comunicări de marketing direct” înseamnă orice formă de publicitate, scrisă sau orală, trimisă printr-un serviciu de comunicații electronice disponibil public direct unuia sau mai multor utilizatori finali specifici, inclusiv plasarea apelurilor voce-voce, utilizarea de sisteme automate de apelare și comunicare cu sau fără interacțiune umană, mesaj electronic etc.; (j)„date de localizare” înseamnă date prelucrate prin intermediul unei rețele sau servicii de comunicații electronice, care indică poziția geografică a echipamentului terminal al unui utilizator al unui serviciu de comunicații electronice disponibil public.”
74 Catalog GDPR
3. Noțiunea de consimțământ este nouă pentru ePrivacy, fiind evident preluată din GDPR În articolul 4a care se referă la Consimțământ, se arată că ”(1) Dispozițiile privind consimțământul prevăzute de Regulamentul (UE) 2016/679 / se aplică persoanelor fizice și, mutatis mutandis, persoanelor juridice.” Regulamentul ePR vine în continuare cu o serie de precizări, printre care cele mai importante pentru punerea în aplicare în tandem cu GDPR se numără următoarele: ”(2). Fără a aduce atingere alineatului (1), acolo unde este posibil și fezabil din punct de vedere tehnic, în sensul articolului 8 alineatul (1) litera (b), consimțământul poate fi exprimat prin utilizarea setărilor tehnice corespunzătoare ale unei aplicații software care permite accesul la internet plasat pe piața”, adică prin setările implicite ale unui browser. ”(2aa) Consimțământul exprimat direct de un utilizator final în conformitate cu alineatul (2) va prevala asupra setărilor software-ului. Orice consimțământ solicitat și dat de un utilizator final unui serviciu va fi implementat direct, fără nicio întârziere suplimentară, de către aplicațiile terminalului utilizatorului final, inclusiv în cazul în care stocarea informațiilor sau accesul informațiilor deja stocate în echipamentul terminal este permis.” Cu toate acestea, ca excepție poate apărea situația în care ”(2a) dacă furnizorul nu este capabil să identifice o persoană vizată, protocolul tehnic care arată că a fost dat consimțământul de la echipamentul terminal trebuie să fie suficient pentru a demonstra consimțământul utilizatorului final în conformitate cu articolul 8 alineatul (1) litera (b)”; asta ar putea da bătăi de cap unor furnizori de servicii online care se bazează exclusiv pe setările aplicațiilor. În fine, ”(3) Utilizatorilor finali care au consimțit la prelucrarea datelor de comunicații electronice în conformitate cu prezentul regulament li se reamintesc posibilitatea de a-și retrage consimțământul la intervale periodice de [nu mai mult de 12 luni], atâta timp cât prelucrarea continuă, cu excepția cazului în care utilizatorul final solicită să nu primească astfel de memento-uri.” Teoretic sună bine, dar asta va trebui să se regăsească atât în informările operatorilor către clienți, cât și în controalele care urmăresc respectarea intervalelor periodice de reamintire, precum și în procedurile de documentare și demonstrare a solicitărilor de a nu se trimite astfel de mesaje de atenționare. Iunie 2021
75
Analiză
4. Confidențialitatea, o cerință implicită pentru ePR În articolul 5 referitor la Confidențialitatea datelor de comunicații electronice se arată foarte clar că: ”Datele de comunicații electronice trebuie să fie confidențiale. Orice interferență cu datele de comunicații electronice, inclusiv ascultarea, atingerea, stocarea, monitorizarea, scanarea sau alte tipuri de interceptare, supraveghere și prelucrare a datelor de comunicații electronice, de către oricine altul decât utilizatorii finali în cauză, este interzisă, cu excepția cazului în care acest lucru este permis de Regulament. Ținând cont și de extinderea domeniului de aplicare și la persoanele juridice, e lesne de înțeles că de multe ori confidențialitatea datelor de business care pot fi devoalate accidental sau interceptate intenționat este mult mai importantă decât identitatea sau datele de contact ale unor persoane care oricum apar pe cărțile de vizită sau chiar pe site-urile organizațiilor.
5. Când e permisă prelucrarea datelor de comunicații electronice Regulile generale de prelucrare descrise în articolul 6 aliniamentul (1) din ePR sunt completate cu o serie de specificații care întăresc rolul
consimțământului în furnizarea de servicii de comunicații electronice: ”Articolul 6a [art. Precedent 6 (3)] Prelucrarea permisă a conținutului comunicațiilor electronice (a) în scopul furnizării unui serviciu solicitat de un utilizator final pentru uz pur individual, în cazul în care utilizatorul final solicitant și-a dat consimțământul și în cazul în care prelucrarea solicitată nu afectează în mod negativ drepturile și interesele fundamentale ale altei persoane în cauză; (b) dacă toți utilizatorii finali în cauză și-au dat consimțământul pentru prelucrarea conținutului lor de comunicații electronice pentru unul sau mai multe scopuri specificate. Dacă precizările de mai sus sunt cât se poate de normale în contextul adoptării regulilor de consimțământ din GDPR, un interes deosebit pentru extensia preocupărilor GDPR privitoare la prelucrarea critică a unor date sau expunerea persoanelor vizate printr-un nou tip de prelucrare, regulamentul ePR face și el apel la principiile analizei de impact: ”(2) Înainte de prelucrarea în conformitate cu alineatul (1) litera (b), furnizorul efectuează o evaluare a impactului asupra protecției datelor asupra impactului operațiunilor de prelucrare preconizate asupra protecției datelor de comunicații electronice și, dacă este necesar, se consultă cu autoritatea de supraveghere în conformitate cu Articolul 36 alineatul (1) din Regulamentul (UE) 2016/679”.
76 Catalog GDPR
Tot ca o completare la GDPR poate fi văzută și prelucrarea permisă a metadatelor de comunicații electronice, numai dacă: ”(a) este necesar în scopul gestionării rețelei sau al optimizării rețelei sau pentru a îndeplini cerințele tehnice de calitate a serviciilor în conformitate cu Directiva (UE) 2018/1972 sau Regulamentul (UE) 2015/212020; (b) este necesar pentru executarea unui contract de servicii de comunicații electronice la care utilizatorul final este parte sau, dacă este necesar, pentru facturarea, calcularea plăților de interconectare, detectarea sau oprirea utilizării abuzive sau abuzive a comunicațiilor electronice sau a abonamentului la acestea Servicii; (c) utilizatorul final în cauză și-a dat consimțământul pentru prelucrarea metadatelor de comunicații pentru unul sau mai multe scopuri specificate; (d) este necesar pentru a proteja interesul vital al unei persoane fizice; (e) în ceea ce privește metadatele care constituie date de localizare, este necesar în scopuri de cercetare științifică sau istorică sau în scopuri statistice, cu condiția ca: (i) astfel de date sunt pseudonimizate; (ii). prelucrarea nu a putut fi efectuată prin prelucrarea informațiilor care sunt făcute anonime, iar datele despre locație sunt șterse sau anonimizate atunci când nu mai sunt necesare pentru îndeplinirea scopului;
(iii) datele de localizare nu sunt utilizate pentru a determina natura sau caracteristicile unui utilizator final sau pentru a construi un profil al unui utilizator final. (f) în legătură cu alte metadate decât datele de localizare, este necesar în scopuri de cercetare științifică sau istorică sau în scopuri statistice, cu condiția ca o astfel de prelucrare să fie în conformitate cu legislația Uniunii sau a statelor membre și să facă obiectul unor garanții adecvate, inclusiv criptarea și pseudonimizarea protejează drepturile fundamentale și interesul utilizatorilor finali și este în conformitate cu articolul 6 alineatul (6) și cu articolul 89 alineatele (1), (2) și (4) din Regulamentul (UE) 2016/679.” Nu vi se pare că aceste cerințe aduc puțin cu cele pentru stabilirea temeiului legal al prelucrării, adică articolul 6 din GDPR? O altă precizare importantă este că: ”(2) Fără a aduce atingere articolului 6 alineatul (3), metadatele de comunicații electronice prelucrate în conformitate cu alineatul (1) litera (e) nu vor fi partajate de furnizor cu niciun terț, cu excepția cazului în care acestea au fost făcute anonime.” Drepturile și condițiile de prelucrare a acestor metadate de complică și mai mult prin prevederile articolului 6c, unde se arată că (1) dacă prelucrarea se face în alt scop decât cel pentru care metadatele au fost colectate, furnizorul trebuie să ia în considerare, printre altele:
77 Iunie 2021
Analiză
”(a) orice legătură între scopurile pentru care au fost colectate metadatele comunicațiilor electronice și scopurile prelucrării ulterioare prevăzute; (b) contextul în care au fost colectate metadatele comunicațiilor electronice, în special în ceea ce privește relația dintre utilizatorii finali în cauză și furnizor; (c) natura metadatelor de comunicații electronice, precum și modalitățile de prelucrare ulterioară prevăzută, în special în cazul în care aceste date sau prelucrarea ulterioară intenționată ar putea dezvălui categorii de date, în conformitate cu articolele 9 sau 10 din Regulamentul (UE) 2016 / 679; (d) posibilele consecințe ale procesării ulterioare preconizate pentru utilizatorii finali; (e) existența unor garanții adecvate, cum ar fi criptarea și pseudonimizarea.”
6. Retenția și ștergerea datelor Mergând pe linia bine-cunoscutelor principii din GDPR, Regulamentul ePR are un articol 7 dedicat stocării și ștergerea datelor de comunicații electronice: (1). Furnizorul serviciului de comunicații electronice șterge conținutul comunicațiilor electronice sau face ca aceste date să fie anonime atunci când nu mai sunt necesare în scopul prelucrării în conformitate cu articolul 6 alineatul (1) și articolul 6a alineatul (1). (2). Fără a aduce atingere articolului 6 alineatul (1) literele (b), (c) și (d), literele (c), (d), (e), (f), articolului 6b litera (g), articolul 6c și articolele 8 (1) literele (b) - (g), furnizorul serviciului de comunicații electronice șterge metadatele comunicațiilor electronice sau face ca aceste date să fie anonime atunci când nu mai sunt necesare în scopul furnizării unui serviciu de comunicații electronice. (3) În cazul în care prelucrarea metadatelor de comunicații electronice are loc în scopul facturării în conformitate cu articolul 6b alineatul (1) litera (b), metadatele relevante pot fi păstrate până la sfârșitul perioadei în care un proiect de lege poate fi contestat în mod legal sau se poate efectua o plată în conformitate cu legislația națională.”
7. Protecția informațiilor
78
Un alt capitol important din ePR este cel referitor la protecția informațiilor despre echipamentele terminale ale utilizatorilor finali. Prevederile articolului 8 ar putea afecta considerabil industria aplicațiilor pentru marketingul direct și transmisia de newslettere care furniza de regulă informații despre terminalele și sistemele de operare folosite de cei care deschid mesajele respective. Cu ce ne ajută aceste informații pentru scopurile noastre de promovare prin marketing direct? Catalog GDPR
Dar iată ce zice articolul 8 (1) din ePR: ”Utilizarea capacităților de procesare și stocare a echipamentelor terminale și colectarea de informații de la echipamentele terminale ale utilizatorilor finali, inclusiv despre software-ul și hardware-ul său, altele decât de către utilizatorul final în cauză, sunt interzise, cu excepția următoarelor motive: (a) este necesar numai pentru furnizarea unui serviciu de comunicații electronice; sau (b) utilizatorul final și-a dat consimțământul; sau (c) este strict necesar pentru furnizarea unui serviciu solicitat în mod specific de către utilizatorul final; sau (d) dacă este necesară exclusiv pentru măsurarea audienței, cu condiția ca această măsurare să fie efectuată de către furnizorul serviciului solicitat de utilizatorul final, sau de o terță parte, sau de către terți împreună în numele sau împreună cu furnizorul serviciului solicitat, cu condiția ca, dacă este cazul, să fie îndeplinite condițiile prevăzute la articolele 26 sau 28 din Regulamentul (UE) 2016/679; sau (da) este necesară menținerea sau restabilirea securității serviciilor societății informaționale sau a echipamentelor terminale ale utilizatorului final, prevenirea fraudei sau prevenirea sau detectarea defecțiunilor tehnice pe durata necesară în acest scop; sau (e) este necesară o actualizare software, cu condiția ca: (i) o astfel de actualizare este necesară din motive de securitate și nu modifică în niciun fel setările de confidențialitate alese de utilizatorul final, (ii) utilizatorul final este informat în prealabil de fiecare dată când se instalează o actualizare și (iii) utilizatorului final i se oferă posibilitatea de a amâna sau opri instalarea automată a acestor actualizări; sau (f) este necesar să se localizeze echipamentele terminale atunci când un utilizator final face o comunicare de urgență fie către numărul unic de urgență european „112”, fie către un număr național de urgență, în conformitate cu articolul 13 alineatul (3).” Prin aliniatele ulterioare Regulamentul ePR precizează că anumite condiții de prelucrare ar putea impune respectarea unor cerințe GDPR, precum prelucrarea intenționata ce ar putea dezvălui anumite categorii de date, în conformitate cu articolul 9 sau 10 din GDPR, partajarea de date cu terții doar în condițiile îndeplinirii articolului 28 din GDPR, cerința de afișare a unei notificări clare care să informeze cel puțin modalitățile de colectare, scopul acesteia, persoana responsabilă de aceasta și celelalte informații solicitate la Articolul 13 din GDPR sau colectarea de informații condiționată de aplicarea măsurilor tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adecvat riscurilor, astfel cum se prevede la articolul 32 din GDPR.
79 Iunie 2021
Analiză 8. Importanța reglementării comunicărilor de marketing direct nesolicitate Implicațiile GDPR și ePR pentru activitățile de marketing sunt foarte importante, în special din perspectiva respectării drepturilor persoanei vizate sau clientului și a evitării pericolului de reclamare a unor mesaje sau tipuri de servicii nesolicitate. Prin articolul 16 din ePR se arată că ”persoanelor fizice sau juridice li se interzice utilizarea serviciilor de comunicații electronice în scopul trimiterii de comunicări de marketing direct către utilizatorii finali care sunt persoane fizice, cu excepția cazului în care și-au dat acordul prealabil.” Ceea ce ne trimite iarăși la condițiile de obținere a consimțământului impuse de GDPR. Mai mult de atât, păstrând spiritul vechii Directive din 2002, alineatul (2) ne relevă un mare secret: putem face comunicări de marketing fără a solicita consimțământ, doar dacă respectăm câteva condiții clare: •Comunicările să fie trimise doar către clienții activi, persoane fizice și juridice cu care există o oarecare continuitate în
relațiile de business, cum ar fi achiziționarea unui produs sau a unui serviciu; •Comunicările să fie limitate doar la domeniul în care se înscriu relațiile cu clientul respectiv. Cu alte cuvinte, nu putem trimite mesaje comerciale despre o nouă gamă de confecții unui client care cumpără de la noi în mod frecvent produse de curățenie… Echipele de vânzări vor putea să planifice în continuare campanii de ”cross-selling” între clienții de la diferite categorii de produse, dar cu condiția obținerii și demonstrării existenței unui consimțământ pentru acest nou domeniu de comunicare. •Destinatarilor trebuie să li se ofere ”în mod clar și distinct posibilitatea de a obiecta, gratuit și într-un mod ușor, la o astfel de utilizare;” •Dreptul de a obiecta sau de a renunța la primirea de mesaje de marketing direct trebuie comunicat încă de la început clientului și de fiecare dată când se trimite un mesaj, prin acea posibilitate de ”dezabonare”.
80 Catalog GDPR GDPR Catalog
Deși pare clar și ușor, din experiențele legate de alinierea la GDPR a reieșit că este destul de dificil să asiguri condițiile tehnice și organizatorice necesare pentru punerea în practică a acestor condiții, existând multe cazuri de sancțiuni pentru trimiterea de mesaje nedorite sau pentru nerespectarea dorinței clientului de a nu mai primi mesaje comerciale. Aici ePR vine cu o precizare care personal cred că va fi destul de greu de transpus în practică. Conform alineatului (2a), ”statele membre pot prevedea prin lege o perioadă de timp stabilită, după ce a avut loc vânzarea produsului sau serviciului, în cadrul căreia o persoană fizică sau juridică poate utiliza datele de contact ale utilizatorului final care este o persoană fizică în scopuri de marketing direct”… Printre cerințele preluate din regulile de informare pentru persoanele vizate impuse de GDPR (Articolele 13 și 14), aliniatul (6) precizează că: ”Orice persoană fizică sau juridică care utilizează servicii de comunicații
electronice pentru a trimite comunicări de marketing direct trebuie, de fiecare dată când este trimisă o comunicare de marketing direct: (a) să își dezvăluie identitatea și să utilizeze adrese sau numere efective de returnare; (b) informează utilizatorii finali cu privire la natura de marketing a comunicării și identitatea și datele de contact ale persoanei juridice sau fizice în numele căreia este trimisă comunicarea de marketing direct; (d) oferă în mod clar și distinct utilizatorilor finali care sunt persoane fizice un mijloc de a obiecta sau de a-și retrage consimțământul, gratuit, în orice moment și într-o manieră ușoară și eficientă, pentru a primi alte comunicări de marketing direct și trebuie să furnizați informațiile necesare în acest scop. Acest mijloc va fi dat și în momentul colectării detaliilor de contact conform paragrafului 2.” Dacă furnizorul de servicii de marketing direct va respecta aceste reguli privind informarea, clientului ar trebui să îi fie la fel de ușor să își retragă sau să își dea consimțământul.
81 Iunie 2021 2021 Iunie
Analiză 9. Amenințarea sancțiunilor folosită ca argument pentru aliniere Așa cum comentam și mai sus, nu este un lucru nou ca puterea exemplelor asociate cu amenzi importante să fie folosită ca argument în favoarea conformității unor reguli. GDPR a mizat pe asta în eforturile de sensibilizare și de creștere a responsabilității operatorilor de date personale. Preluând valoarea sancțiunilor din GDPR, noul regulament ePR precizează în articolul 23 referitor la condițiile generale pentru impunerea amenzilor administrative: ”(1). Articolul 83 din Regulamentul (UE) 2016/679 se aplică mutatis mutandis încălcărilor prezentului regulament.”
Printre tipurile de încălcări supuse unor amenzi administrative până la 10 000 000 EUR sau, 2% din cifra de afaceri anuală totală a anului financiar precedent se numără: • respectarea obligațiilor oricărei persoane juridice sau fizice care prelucrează date de comunicații electronice în conformitate cu art. 8; • obligațiile furnizorilor de directoare accesibile publicului în conformitate cu articolul 15; • obligațiile oricărei persoane juridice sau fizice care utilizează servicii de comunicații electronice în conformitate cu articolul 16.
82 Catalog GDPR
În fine, cei pasibili de a încasa valoarea maximă a sancțiunilor administrative de până la 20 000 000 EUR sau, în cazul unei întreprinderi, până la 4% din cifra de afaceri anuală, sunt cei care nu vor respecta condițiile de prelucrarea permisă a datelor de comunicații electronice, termenele de ștergere în conformitate cu articolele 5, 6 și 7, precum și nerespectarea unui ordin emis de o autoritate de supraveghere menționată la articolul 18.
de la [1 august 2022] și că (2) Trimiterile la directiva abrogată se interpretează ca trimiteri la prezentul regulament.”
Când va intra în vigoare noul Regulament ePR?
În lipsa altor surse de informații, din această propunere am putea înțelege că semnarea finală a Regulamentului ePR ar fi prevăzută undeva în prima decadă a lunii iulie 2022, iar intrarea efectivă în vigoare ar putea avea loc pe 1 august 2024…
Conform textului propunerii din Februarie 2021, în articolul 27 privind abrogarea, se specifică faptul că ”(1) Directiva 2002/58 / CE se abrogă cu efect
În articolul 29 privind intrarea în vigoare și aplicarea se menționează că ”(1) Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene și că (2) Prezentul regulament se aplică efectiv după 24 de luni de la data intrării în vigoare a prezentului regulament”.
83 Iunie 2021
Despre DPO, sau ”Responsabilul” cu Protecția Datelor
DPO
(cum a fost poreclit în limba română)
Daniel Suciu
Ce este de fapt un DPO? Pentru o înțelegere mai clară a acestui rol, o să încep cu o scurtă digresiune despre drumețiile montane. O să vă întrebați ce au în comun drumețiile cu conformarea la GDPR. Este vorba în special despre călătorie, nu despre destinație. Să presupunem că știm exact unde vrem să ajungem. Însă , în ambele cazuri, realitatea nu este atât de simplă. Pentru a vă urmări traseul spre destinația selectată, trebuie înainte de toate, să știți exact unde vă aflați, nu doar destinația. Ce avem nevoie pentru asta? Un GPS, nu? Din păcate acesta nu este la fel de util pe munte precum este într-un oraș. Poate o hartă ar fi mai utilă. Citirea unei hărți este importantă, dar identificarea poziției reale pe teren necesită o corelație între elementele de pe hartă și mediu, ceea ce nu este
tocmai intuitiv pentru cineva care n-a făcut asta niciodată. Chiar și pentru cunoscători, este o lecție ce trebuie învățată de fiecare dată.
Dar despre timpul necesar pentru a ajunge la destinație? Pentru cei care au străbătut munții, este destul de evident că distanța reală până la un reper nu este cea care pare, bazat pe estimarea vizuală a distanței în linie dreaptă, iar ca efort, drumul până la vârf poate fi de multe ore.
Să mai amintim că la munte există hăuri ascunse, pâraie, vegetație neprietenoasă și asta într-o zi frumoasă. În ploaie sau ceață chiar și urmarea unei căi marcate necesită eforturi mari și muncă în echipă. Nu uitați că actualizarea poziției curente este necesară pe tot parcursul, altfel ne putem trezi chiar mai departe de țintă decât atunci când am plecat.
84
Catalog GD
Cea mai bună și ușoară soluție este apelarea la serviciile unui ghid montan, de preferință familiarizat cu traseul dorit. Ca să revenim la subiectul inițial, DPO-ul este acel ghid. El va ghida echipa pe cel mai bun traseu către conformare, în funcție de destinația dorită, timpul avut la dispoziție, factorii externi, precum și gradul de pregătire a echipei.
Dar el nu va hotărî destinația, timpul de plecare, cine participă la drumeție… Va face recomandări despre acestea, despre timpul necesar în diferite condiții de vreme, va propune echipamentele necesare, drumul de urmat, și va fi responsabil ”doar” de menținerea echipei pe traseul stabilit.
Cum alegem un DPO? La modul ideal, ar trebui ca DPO-ul să poate fi o persoană care să înțeleagă atât domeniul protecției datelor cât și activitățile organizației. Ar trebui să poată fi înțeles și in care să aibă încredere atât conducerea cât și cei din linia întâi. Să înțeleagă problemele de zi cu zi atât ale
celor din IT, dar si HR sau Marketing. Dar asta depinde și de mărimea organizației, de specificul acesteia și impactul protecției datelor în activitățile operaționale. Nu există o rețetă unică, ci o decizie informată pe baza nevoilor specifice și a posibilităților
DPO intern vs. Extern DPO intern versus extern Prima întrebare ar fi dacă este preferabil angajarea unui DPO intern (dedicat sau parțial) sau utilizarea unui serviciu de DPO extern. Nici aici nu este o rețetă, dar criteriile general folosite pentru a lua o decizie informată sunt:
GDPR Iunie 2021
•Independența •Conflictul de interese •Autoritatea (Reputația) •Gradul de încredere •Gradul de implicare •Costurile (directe și indirecte) •Competențele •Riscurile implicate
Sursa imagini: Daniel Suciu
85
DPO
Ce cunoștințe sunt necesare pentru a fi un DPO eficient? În afara cunoștințelor despre Protecția datelor, juridice și IT/ cybersecurity, singurele menționate în GDPR, mai sunt unele utile, sau chiar absolut necesare, în afara de cunoașterea domeniului de activitate a organizației.
Management, Audit sau Risk Management aș spune că sunt critice, dar mai există multe altele care pot fi necesare, dintre care aș enumera măcar înțelegerea domeniilor de IT si HR, cunoștințe de Business Analysis, Vendor Management, Stakeholder Management, Marketing sau Dintre acestea cunoștințele de tocmai intuitiv pentru cineva care n-a Ce este de fapt un DPO? Software Development și Quality, Data Governance, Project făcut asta niciodată. Chiar și pentru dar lista celor utile poate Management, Pentru o înțelegere mai clară aChange acestui continua... cunoscători, este o lecție ce trebuie rol, o să încep cu o scurtă digresiune învățată de fiecare dată. despre drumețiile montane. O să vă întrebați ce au în comun drumețiile cu conformarea la GDPR. Este vorba în special despre călătorie, nu despre Dar despre timpul necesar pentru a destinație. Să presupunem că știm ajunge la destinație? Pentru cei care exact unde vrem să ajungem. Însă , în au străbătut munții, este destul de ambele cazuri, realitatea nu este atât evident că distanța reală până la un reper nu este cea care pare, bazat pe de simplă. estimarea vizuală a distanței în linie Pentru a vă urmări traseul spre dreaptă, iar ca efort, drumul până la destinația selectată, trebuie înainte de vârf poate fi de multe ore. toate, să știți exact unde vă aflați, nu doar destinația. Ce avem nevoie Să mai amintim că la munte există pentru asta? Un GPS, nu? Din păcate hăuri ascunse, pâraie, vegetație acesta nu este la fel de util pe munte neprietenoasă și asta într-o zi precum este într-un oraș. frumoasă. În ploaie sau ceață chiar și urmarea unei căi marcate necesită Poate o hartă ar fi mai utilă. Citirea eforturi mari și muncă în echipă. Nu unei hărți este importantă, dar uitați că actualizarea poziției curente identificarea poziției reale pe teren este necesară pe tot parcursul, altfel necesită o corelație între elementele ne putem trezi chiar mai departe de de pe hartă și mediu, ceea ce nu este țintă decât atunci când am plecat.
86 Catalog GDPR
Cum alegem un DPO?
Greșeli în alegerea unui DPO Greșeala nr. 1: numirea în funcția de
DPO intern versusaextern DPO (extern) unui specialist de profil
înalt, chiar prof. Dr. ..., care nu va fi niciodată implicat în vreo activitate reală de conformitate, discutând doar cu conducerea superioară, în general aspecte pur teoretice. Acesta ar fi „Ghost DPO”. Greșeala nr. 2: numirea unui bun specialist în protecția datelor, dar cazarea lui într-o „cușcă” drăguță, care nu ar trebui să „deranjeze” oamenii operaționali, responsabilitățile sale fiind de a documenta lucrurile și de a scrie „proceduri” GDPR frumoase. Rezultatul va fi „Innocent Monkey DPO”. Greșeala nr. 3: Desemnarea unui angajat de profil scăzut, dispus să învețe (mai ales pe cont propriu), dar care nu îi oferă acces la informații relevante sau șansa de a vorbi vreodată cu conducerea superioară. Acesta ar fi „Diligent Ant DPO”. Greșeala nr. 4: Desemnarea unui
angajat de profil înalt, cu cunoștințe bune din domeniu, cu „singura” problemă că el / ea este, de asemenea, responsabil pentru multe alte domenii pe care nimeni nu și le-a dorit, mulți aflându-se în conflict puternic de interese cu responsabilitățile DPO. Acesta este „Chameleon DPO”. Greșeala nr. 5: Desemnarea unui angajat intern, posibil calificat, ca o responsabilitate suplimentară, dar care nu are timp și resurse pentru a îndeplini responsabilitățile de rol, rezultând un „DPO Scapegoat”. Greșeala nr. 6: Desemnarea unui angajat ”ascultător”, care nu se află în conflict de interese, este dispus să învețe, scrie toate documentele necesare, pentru toată lumea. Toată lumea este fericită, deoarece nimeni nu este distras de la activitățile lor operaționale cu orice problemă. Nu par probleme, în afară de eficiența pentru „Pussy Cat DPO”.
87 Iunie 2021
DPO
Viața unui DPO în câteva imagini…
88 Catalog GDPR
89 Iunie 2021
Tehnologie
10 greșeli frecvente despre anonimizare
Evoluțiile tehnologice din ultimii ani au crescut constant cererea de date de calitate. În acest context, atât entitățile publice, cât și cele private consideră anonimizarea ca un mijloc de a partaja date fără a aduce atingere drepturilor fundamentale ale persoanelor. Cu toate acestea, pe fondul unei creșteri S greșite legate de anonimizare au continue de popularitate, câteva concepții devenit tot mai răspândite. Într-un document comun realizat de EDPS și AEPD - autoritatea pentru protecția datelor din Spania se încearcă dezamorsarea acestor păreri greșite și creșterea gradului de conștientizare privind acceptarea afirmațiilor nefondate legate de tehnologie.
90 Catalog GDPR
1.„Pseudonimizarea este la fel ca anonimizarea” – În realitate, pseudonimizarea nu este același lucru ca anonimizarea. GDPR definește „pseudonimizarea” ca fiind „Prelucrarea datelor cu caracter personal într-o asemenea modalitate prin care datele cu caracter personal nu mai pot fi atribuite unor date specifice despre subiect fără a utiliza informații suplimentare, cu condiția ca acestea să fie păstrate separat și supuse unor măsuri tehnice și organizatorice speciale pentru a se asigura că datele cu caracter personal nu sunt atribuite unei persoane naturale identificabile”. 2.„Criptarea este același lucru cu anonimizarea” - Criptarea în sine nu este o tehnica de anonimizare, dar poate fi un puternic instrument de pseudonimizare. 3.„Anonimizarea datelor este întotdeauna posibilă ” – de fapt nu este întotdeauna posibil să coborâm riscul de S reidentificare sub un prag definit anterior, în timp ce păstrăm un set de date util pentru o anumită prelucrare. Anonimizarea este un proces care încearcă să găsească echilibrul corect între reducerea riscului de reidentificare și păstrarea utilității a unui set de date pentru scopul preconizat. 4.„Anonimizarea este pentru totdeauna" - Există riscul ca unele procese de anonimizare să poată fi reluate în viitor. Împrejurările se pot schimba în timp prin apariția de noi inovații tehnologice și disponibilitatea informațiilor suplimentare ar putea compromite anumite procese de anonimizare anterioare. 5.„Anonimizarea reduce întotdeauna probabilitatea de reidentificare a unui set de date la zero” – În realitate, tehnicile folosite în procesul de anonimizare și modul în care acesta este Iunie 2021
implementat vor avea o influență directă asupra probabilității de riscuri de reidentificare. 6.„Anonimizarea este un concept binar care nu poate fi măsurat” - este posibilă analiza și aprecierea gradului de anonimizare. 7.„Anonimizarea poate fi complet automatizată” - deși pot fi utilizate instrumente de automatizare în timpul procesului de anonimizare, trebuie avută în vedere importanța intervenției factorului uman în procesul general de evaluare. 8.„Anonimizarea face datele inutile” – în fapt, un proces adecvat de anonimizare păstrează datele funcționale pentru un scop sau o anumită dată. 9. „Un proces de anonimizare folosit de alții va avea același succes și pentru organizația noastră, cu rezultate echivalente ” – de regulă procesele de anonimizare trebuie să fie adaptate naturii, sferei, contextului și scopurilor prelucrării, cu riscuri de probabilitate și impact pentru drepturile și libertățile persoane fizice. Anonimizarea nu poate fi aplicată ca pe o rețetă, deoarece contextul (natura, domeniul de aplicare, contextul și scopurile de prelucrare a datelor) sunt diferite de la o împrejurare la alta și de la o organizație la alta. 10. „Nu există niciun risc și nici interesul de a afla la cine se referă aceste date” – să nu uităm că indiferent de natura lor, datele personale au o valoare în sine, pentru indivizii înșiși și pentru terțe părți. Reidentificarea unui individul ar putea avea un impact serios pentru drepturile și libertățile sale. Sursa:https://edps.europa.eu/dataprotection/ourwork/publications/papers/aepd-edps-jointpaper-10-misunderstandings-related_en
91
Tehnologie
5G
Cursa pentru și efectele asupra confidențialității
Avansul tehnologilor de comunicații a fost categoric marcat de ”cursa pentru 5G” și impactul pe care îl poate avea asupra economiilor și societăților. Drumul către 5G a început în 2015 și astăzi este tehnologia mobilă cu cea mai rapidă creștere, cu operațiuni comerciale în direct pe 24 de piețe.
92 Catalog GDPR
Oferind o viteză mai mare în transmisii, o latență mai mică, un control mai bun asupra aplicațiilor conectate de la distanță și capacitatea în timp real de a detecta și răspunde, 5G permite conectivitate instantanee la miliarde de dispozitive. Deși rețelele 5G alimentează deja inovarea și sporesc performanța într-o serie de industrii, prin această inovație a fost indus un risc crescut pentru confidențialitatea și protecția datelor.
software, funcțiile de rețea virtualizate (VNF) au loc la marginea rețelei virtuale, eliminând astfel punctele de inspecție și control. Fără limite fizice și o rețea 5G care utilizează stocarea datelor bazată pe Cloud, există o mare probabilitate ca operatorilor să le fie greu să controleze datele utilizatorilor stocate în mediile Cloud. Pentru a putea beneficia pe deplin de oportunitățile pe care le prezintă 5G, este important să se ia în considerare o abordare a confidențialității ”by design” și să se elaboreze instrumentele care să protejeze organizațiile împotriva atacurilor. Întrucât 5G depășește limitele a ceea ce este posibil cu tehnologia rețelei mobile, trebuie adoptate noi reglementări și linii directoare care definesc modul în care funcționează rețelele 5G, în primul rând deoarece utilizarea rețelei 5G va avea un impact asupra mai multor organizații și persoane.
Datorită capacității sale de a crea un mediu hiperconectat în care nu toate rețelele și dispozitivele sunt construite cu măsuri sau reglementări de securitate egale, șansele de fraudă online, încălcare a datelor, furt de S identitate și atacuri de ransomware sunt mai mari. Pe măsură ce ne apropiem de mai multe lansări comerciale în toate sectoarele, este important să fie luată în considerare o abordare a confidențialității prin proiectare și să fie dezvoltate acțiuni concrete Pentru o rețea superioară 5G, care să protejeze datele și să organizațiile trebuie să fie asigure confidențialitatea. pregătite cu soluții bazate pe Într-o lume bazată pe 5G, standarde ridicate de securitate infrastructura de rețea se cibernetică și cele mai bune îndepărtează de la modelul unei practici de confidențialitate rețele centralizate, bazată pe pentru a elibera cu adevărat hardware, către o rețea potențialul pe care îl oferă. descentralizată, virtuală și definită Autorul articolului original: Barry Cook, de software (SDN). Rețelele Group Data Protection Officer, VFS anterioare au funcționat cu Global puncte de conectare fizice unde https://www.analyticsinsight.net/build se fac verificări de securitate; ing-privacy-into-5g-technologycannot-be-an-afterthought/ totuși, într-o rețea definită de
93 Iunie 2021
Tehnologie
Un ghid cu valoare de standard pentru furnizorii de servicii Cloud Cloud Security Alliance Code of Conduct for GDPR Compliance
De la bun început, prevederile GDPR au pus o presiune suplimentară pe furnizorii de soluții și servicii Cloud, care la vremea aprobării Regulamentului UE 679 mai aveau încă probleme de credibilitate din partea celor care voiau să știe exact unde sunt datele lor… În plus, încrederea utilizatorilor în garanțiile de Securitate oferite de găzduirea datelor în Cloud a frânat multă vreme asimilarea mai accelerată a Cloud-ului în mediile enterprise.
94 Catalog GDPR
Dar ceea ce părea la un moment dat ca o mare problemă privind conformitatea serviciilor Cloud s-a transformat într-un cert avantaj competițional. Asociația profesională Cloud Security Alliance, prin grupul de lucru PLA WG (Privacy Level Agreement Working Group) a elaborat în mai 2019 un Cod de Conduită care reprezintă primul model de cadru coerent și cuprinzător de conformitate la nivelul unei întregi verticale industriale. Acest Cod de Conduită (Code-ofConduct sau CoC) îi ajută pe furnizorii de servicii Cloud (Cloud Service Providers – CSP) să stabilească nivelul de protecție pe care trebuie să îl asigure și oferă clienților care folosesc subscripții Cloud un instrument de evaluare a nivelului de protecție a datelor cu caracter personal oferit de un S CSP. CSA CoC pentru conformitatea GDPR se bazează pe două componente majore: Codul de bune practici al Privacy Level Agreement (PLA CoP), care este un standard tehnic care specifică cerințele incluse în GDPR, precum și mecanismele de aderare asociate acestuia. Deoarece Codul de Conduită se concentrează în principal pe cerințele legale, CSA propune adoptarea combinată a acestui cod cu alte bune practici și certificări CSA, cum ar fi Cloud Control Matrix (CCM) și certificarea STAR (sau atestarea STAR sau evaluarea STAR SelfMatrix), care oferă îndrumări suplimentare în ceea ce privește
controalele tehnice și obiectivele pentru securitatea informațiilor. Într-un astfel de context, adoptarea standardelor de securitate a informațiilor tehnice, cum ar fi Cloud Control Matrix sau echivalentele sale (de exemplu, ISO 27001 acceptat de ISO 27017 sau 27018) și schemele de certificare aferente acestora (de exemplu: certificarea STAR, atestarea STAR, autoevaluarea STAR, ISO 27001 sau SOC2) vor furniza dovezi că furnizorii de Cloud au implementat un program de securitate sau un sistem de management al securității informațiilor (ISMS) care protejează în mod adecvat datele consumatorilor de amenințările evidențiate în aceste evaluări ale riscurilor și evaluarea impactului asupra protecției datelor. CSA CoC pentru conformitatea GDPR reflectă cerințele GDPR relevante în Cloud și este o componentă a CSA Security, Transparency and Assurance Registry (STAR). Publicul țintă al CSA CoC include toți jucătorii interesați de Cloud computing și legislația UE privind protecția datelor cu caracter personal, cum ar fi furnizorii de Cloud, clienții Cloud și potențialii clienți precum și auditori și brokeri Cloud. Este important de reținut că aderarea la Codul de conduită CSA nu reduce responsabilitatea operatorului sau a procesorului de a se conforma GDPR și nu aduce atingere sarcinilor și competențelor Autorităților naționale de protecție a datelor.
95 Iunie 2021
Cybersecurity
Efectele digitale ale crizei generate de pandemie Pe măsură ce trece timpul, efectele crizei generate de Covid sunt tot mai diverse, cu consecinţe tot mai ample. Rezultatele unui studiu de piață comandat de compania Veeam sunt destul de contradictorii. În zona infrastructurilor Enterprise, ne-am fi așteptat ca migrarea în masă către soluțiile de lucru de la distanță să genereze acel val de transformare digitală impus de asimilarea accelerată a inovațiilor. Dar adopția noilor soluții a fost puternic frânată de lipsa continuității în business și instabilitatea economică generate de aceeași criză. Practic, paradoxul constă în faptul că, deși ne-am fi așteptat la o adopție în masa a noilor tehnici digitale, amenințările informatice tot mai diverse și proasta gestionare a nevoii unei transformări rapide au produs un efect invers. Majoritatea companiilor au fost surprinse de această criză pe picior greșit. Pe lângă pericolele curente legate de creșterea generală a criminalității informatice, lipsa unei strategii unitare de asigurare a securităţii și integrității datelor s-a suprapus cu nevoia de adoptare rapidă a unor soluții care au venit cu noi amenințări, pentru care foarte puțini erau pregătiți.
96
Ce să mai vorbim de transformare digitală, când s-a dovedit că foarte puține organizații aveau un plan de business continuity, iar dintre acestea, și mai puține au
reușit să le și valorifice. Studiul Veeam Data Protection 2021 comandat companiei independente de cercetare Vanson Bourne, a fost realizat pe un eșantion de 3.000 de manageri IT din cadrul companiilor globale și a avut ca principal obiectiv înțelegerea abordărilor în materie de protecție a datelor și de gestionare a acestora. Prin amploare și număr de interviuri, studiul este cel mai mare de acest fel la nivel global și analizează modul în care organizațiile gestionează provocările cu care se confruntă în domeniul IT, inclusiv reacția lor la schimbările înregistrate la nivelul cererii și întreruperea serviciilor, impactul global al unor evenimente precum COVID-19, modernizarea sistemelor IT și transformarea digitală. Studiul arată că pandemia COVID19 a avut un impact semnificativ asupra cheltuielilor legate de transformarea digitală, 40% dintre cei intervievați considerând că incertitudinea economică este cea mai mare barieră în calea transformării digitale în următoarele 12 luni, iar o treime dintre aceștia afirmă că au încetinit sau chiar au oprit astfel de inițiative în ultimul an. Reacția este normală, la urma urmei… E firesc să ne gândim la protejarea și continuarea afacerii, înainte de a risca o serie de investiții în tehnologie, oameni și proceduri care ne promit garantarea eficienței după o perioadă nedefinită. Catalog GDPR
Cine mai poate acum să facă planuri și estimări pentru următoarele 6 luni? Cu toate acestea unele companii au riscat, accelerând investițiile în transformarea digitală, considerând că acum este cel mai bun moment, nu numai pentru asigurarea continuității în business, dar și pentru implementarea acelor soluții capabile să aducă certe avantaje competitive. Conform rezultatelor studiului, majoritatea celor intervievați afirmă că sistemele de protecție a datelor nu sunt în măsură să țină pasul cu cerințele transformării digitale, ceea ce ar putea deveni chiar o amenințare pentru continuitatea afacerii, cu consecințe dificil de estimat. Un alt paradox este legat de faptul că, în ciuda rolului pe care îl joacă soluțiile de backup în strategiile clasice de protecție a datelor, sunt 14% cazuri în care nu există de loc backup, iar acolo unde există, cam 58% din încercările de recuperare a datelor nu reușesc, ceea ce lasă datele companiilor complet neprotejate și imposibil de recuperat în cazul unei întreruperi cauzate de un atac cibernetic. Un alt semnal de alarmă ridicat de raport este frecvența întreruperilor neașteptate, raportate de peste 95% dintre organizații. E destul de greu să devii productiv și să te digitalizezi, în condițiile în care unul din 4 servere a înregistrat cel puțin o întrerupere neașteptată în anul care a trecut. Cu toate acestea, actuala criză este cel mai bun moment în care și ultimii partizani ai soluțiilor onIunie 2021
premise să se gândească la migrarea în Cloud. Cam 91% dintre participanții la survey au folosit mai mult serviciile Cloud în primele luni ale pandemiei, în timp ce 60% plănuiesc să adauge mai multe servicii Cloud la strategia lor de furnizare a serviciilor IT. Cu toate acestea, 40 % dintre participanți admit faptul că incertitudinea economică îi face să pună inițiativele de dezvoltare pe un plan secundar, prioritatea maximă fiind pe continuitatea afacerii. 30% dintre managerii intervievați recunosc încetinirea sau chiar stoparea inițiativelor de transformare digitală. Printre obstacolele în calea transformării se numără concentrarea echipelor IT pe menținerea operațiunilor în timpul pandemiei (53%), dependența de sistemele IT tradiționale (51%) și lipsa abilităților personalului IT pentru implementarea noilor tehnologii (49%). Alte aspecte importante ale Raportului Veeam Data Protection 2021 se referă la o tendință clară de regândire a strategiei de protecție a datelor pentru noi modele de producție prin reducerea treptată a dependenței de serverele fizice și accelerarea virtualizării infrastructurii. Pe același trend, soluțiile de Backup vor migra de la de stocarea locală la soluțiile bazate pe Cloud, a căror pondere va evalua de la 29% în 2020 la 46% până în 2023. Studiul poate fi consultat la adresa: ttps://www.veeam.com/wp-2021data-protection-trends.html
97
Cybersecurity
Datele a 700 de milioane de conturi LinkedIn scoase la vânzare pe un forum de hackeri La câteva luni după ce 500 de milioane de profiluri de pe site-ul LinkedIn au fost scoase la vânzare pe un popular forum al hackerilor, a apărut o nouă postare cu 700 de milioane de înregistrări LinkedIn disponibile pentru cei interesați. Vânzătorul, „GOD User” TomLiner, a declarat că deține cele 700 de milioane de înregistrări pe 22 iunie 2021 și a inclus un eșantion de 1 milion de înregistrări pe RaidForums pentru a-și dovedi revendicările. Cercetătorii în probleme de securitate au studiat eșantionul și au confirmat că înregistrările în cauză includ informații precum nume complete, sex, adrese de email, numere de telefon și informații legate de domeniul de activitate. Într-un răspuns solicitat de diferite canale media, specialiștii LinkedIn relevă faptul că setul de date include informații extrase de pe LinkedIn, dar și informații obținute din alte surse. Din punct de vedere tehnic se consideră că nu este vorba despre o breșă de date ce încalcă siguranța și confidențialitatea clienților, ci despre o scurgere de date publice colectate din multiple surse. Descărcarea datelor de pe LinkedIn reprezintă o încălcare a Termenilor și condițiilor de utilizare a site-ului și este sancționabilă.
98
Specialiștii în probleme de protecția datelor consideră că deși datele nu au fost furate ci copiate, informațiile divulgate pot reprezenta o
amenințare pentru utilizatorii LinkedIn afectați. Care ar fi pericolele? Păi, în primul rând orice listă care conține nume, adrese de e-mail și numere de telefon poate fi folosită de orice companie care nu pune bază pe regulile de obținere a consimțământului, iar persoanele respective ar putea deveni ținta campaniilor de spam sau chiar victime ale furtului de identitate. Chiar dacă înregistrările nu par să conțină informații speciale, precum detaliile cardului de credit sau mesaje private, orice hacker mai dibaci poate obține accesul la date sensibile printr-o simplă adresă de e-mail. Utilizatorii LinkedIn ar putea fi, de asemenea, să fie vizați de campanii de înșelăciuni prin e-mail sau telefon, care îi pot păcăli să dezvăluie date mai sensibile sau mesaje de șantaj ce implică transferul unor sume mari de bani. Atacurile cu forță brută sunt, de asemenea, ceva de care utilizatorii LinkedIn afectați de scurgeri vor trebui să fie conștienți. Folosind adresele de e-mail furnizate în înregistrări, hackerii pot încerca să acceseze conturile utilizatorilor folosind diverse combinații de caractere comune de parolă. În cele din urmă, publicitatea direcționată către anumiți utilizatori devine mult mai probabilă datorită acestei liste. Cu informații despre locurile de muncă și genul utilizatorilor, companiile își pot comercializa mai ușor produsele către persoane fizice. Catalog GDPR
Aplicațiile de sănătate colectează mai multe date decât este nevoie Într-un studiu realizat de Optus Macquarie University Cyber Security Hub din Sydney se arată că până la 88% din cele aproape 21.000 de aplicații mobile din categoria sănătate și fitness (mHealth) accesibile pe magazinul Google Play din Australia au incluse secvențe de cod ce pot accesa și chiar partaja datele personale ale utilizatorilor cu părți terţe. În prezentarea rezultatelor cercetării se arată că principalele tipuri de date colectate de aplicațiile de tip mHealth includ informații de contact, locația utilizatorului și mai mulți identificatori de dispozitiv. O parte dintre acești identificatori sunt unici și persistenți, adică nu pot fi schimbați sau înlocuiți. Două din trei aplicații colectează identificatori MAC și cookieuri, o treime colectează adresele de e-mail ale utilizatorilor și aproximativ un sfert dintre aplicații ar putea presupune locația curentă a utilizatorului pe baza antenei la care sunt conectați. În timp ce studiul a concluzionat că modul în care aplicațiile mHealth colectează și partajează datele utilizatorilor ar putea fi considerat ”de rutină”, se pune
totuși problema răspunderii pentru aceste practici și a lipsei de transparență. Aproape un sfert din transmiterile de date referitoare la parole și date de localizare se fac printr-o conexiune HTTP necriptată nesecurizată. Aproape o treime din aplicațiile mHealth nu au oferit niciun fel de politică de confidențialitate care detaliază modul în care sunt tratate datele. În plus, un sfert din aplicațiile analizate au gestionat datele într-un mod în care au fost încălcate politicile de confidențialitate. Nu este prima oară când se vorbește despre o utilizare neadecvată a datelor utilizatorilor de aplicaţii mobile care necesită acces la anumite date sau la funcțiile telefonului, de obicei contacte, locație, microfon sau cameră. Cu toate acestea, în multe cazuri, aplicațiile colectează cantități excesive de informații personale și solicită permisiuni de care nu au nevoie cu adevărat pentru funcțiile promise. Sursa: ESET Romania: https://blog.eset.ro/android/st udiu-majoritatea-aplicatiilorde-sanatate-colecteaza-maimulte-date-decat-este-nevoie/
99 Iunie 2021
Digitalmania
O abordare europeană pentru Inteligența Artificială Recent a fost publicat textul unui Regulament al Parlamentului European și al Consiliului, de stabilire a unor norme armonizate privind Inteligența Artificială (Legea privind IA). Prin acest document se recunoaște că Inteligența artificială (IA) este o familie de tehnologii care evoluează rapid și care poate aduce o gamă largă de beneficii economice și societale în întregul spectru de industrii și activități sociale. Prin îmbunătățirea predicției, optimizarea operațiunilor și a alocării resurselor, precum și prin personalizarea furnizării de servicii, utilizarea inteligenței artificiale poate oferi companiilor avantaje cheie și aduce rezultate benefice pentru zonele sociale și ecologice, cum ar fi în domeniul sănătății, agriculturii, educației, gestionării infrastructurii, energiei, transportului și logisticii, serviciilor publice, securității sau adaptării la schimbările climatice. În același timp, unele dintre utilizările și aplicațiile inteligenței artificiale pot genera riscuri și pot afecta interesele și drepturile protejate de dreptul Uniunii. Un astfel de prejudiciu ar putea fi material sau imaterial, în măsura în care se referă la siguranța și sănătatea persoanelor, proprietatea acestora sau alte drepturi și interese fundamentale individuale protejate de dreptul Uniunii. Regulamentul s-a impus ca urmare a necesității unui cadru juridic care să ofere o abordare europeană asupra inteligenței artificiale, pentru a favoriza dezvoltarea și adoptarea soluțiilor bazate pe IA care pot asigura un nivel ridicat de protecție a intereselor publice, în special în situațiile privind sănătatea, siguranța și drepturile și libertățile fundamentale ale persoanelor recunoscute și protejate de dreptul Uniunii.
100 Catalog GDPR
Interesant pentru acest articol mi se pare enumerarea practicilor de IA interzise, care se regăsesc în Articolul 5 din regulament: (a) introducerea pe piață, punerea în funcțiune sau utilizarea unui sistem de IA care utilizează tehnici subliminale dincolo de conștiința unei persoane, pentru a denatura în mod material comportamentul unei persoane într-un mod care cauzează sau este posibil să provoace o vătămare fizică pentru acea (sau altă) persoană sau un impact psihologic; (b) introducerea pe piață, punerea în funcțiune sau utilizarea unui sistem IA care exploatează oricare dintre vulnerabilitățile unui anumit grup de persoane legate de vârstă sau dizabilității fizice/psihice, pentru a denatura în mod material comportamentul unei persoane aparținând grupului respectiv, într-o manieră care cauzează sau este posibil să cauzeze acelei persoane/ altei persoane vătămări fizice sau psihologice; (c) introducerea pe piață, punerea în funcțiune sau utilizarea sistemelor de IA de către autoritățile publice sau în numele acestora pentru evaluarea sau clasificarea încrederii persoanelor fizice pe o anumită perioadă de timp, pe baza comportamentului lor social sau a unor caracteristici personale sau de personalitate; (d) utilizarea sistemelor de identificare biometrică la distanță „în timp real”, în spații accesibile publicului, în scopul aplicării legii, cu excepția cazului în care și în măsura în care o astfel de utilizare este strict necesară pentru unul dintre următoarele obiective: • căutarea țintită a unor potențiale victime specifice ale infracțiunilor, inclusiv copii dispăruți; • prevenirea unei amenințări specifice, substanțiale și iminente pentru viața sau siguranța fizică a persoanelor fizice sau a unui atac terorist; • depistarea, localizarea, identificarea sau urmărirea penală a unui făptuitor sau suspect al unei infracțiuni menționate la articolul 2 alineatul (2) din Decizia-cadru a Consiliului 2002/584 / JAI. Documentul original poate fi descărcat de la: https://eur-lex.europa.eu/legalcontent/EN/TXT/?qid=1623335154975&uri=CELEX%3 A52021PC0206
101 Iunie 2021
Digitalmania
GDPR și Transformarea Digitală: beneficii și false interpretări În ultima vreme toată lumea vorbește de transformarea digitală. Nu este prezentare sau listă de subiecte supusă discuțiilor într-un webinar, care să nu facă referire la beneficii, provocări sau pericole legate de transformarea digitală. În acest context a fost firească și asocierea dintre GDPR și transformarea digitală. Ideea că parcursul de asigurare a unui anumit nivel de conformitate cu cerințele GDPR poate demara sau face parte integrantă dintr-un proces de transformare digitală a fost benefică în perioada în care toate dezbaterile despre Regulamentul 679 erau doar la nivel teoretic și în care majoritatea predicțiilor erau catastrofice: amenzi astronomice, efecte devastatoare, falimentul organizațiilor care nu se pot adapta, etc. În mod firesc, odată cu trecerea vremii, au apărut tot felul de variante și de teorii, pe măsură ce toată lumea a ajuns să se priceapă la transformarea digitală, iar comunitatea specialiștilor GDPR s-a dezvoltat în mod exponențial. E distractiv să auzi părerea cuiva care crede că odată completate toate formularele dintr-un kit GDPR, orice organizație își poate atesta cele mai elevate competențe digitale, însoțite eventual și de o cocardă gen ”trust”… Pentru a față puțină ordine în multitudinea de interpretări nefondate sau parțial valabile supunem atenției câteva cazuri frecvente de înțelegere eronată, care pot baleia cu ușurință de la o extremă, la alta:
Regulile impuse de GDPR omoară dezvoltarea tehnologică – nimic mai denaturat. Între un proces GDPR și unul de asimilare a tehnologiilor există o simbioză complexă, fiecare generându-se reciproc. GDPR este rezultatul ideii că protejarea drepturilor individuale a rămas mult în urmă față de explozia tehnologică a metodelor de achiziție și prelucrare a datelor personale. Nimeni nu ne interzice folosirea de noi tehnologii pentru a ne atinge scopurile de protecție și confidențialitate. Cel mai bun exemplu este utilizarea inteligenței artificiale, care este încurajată, cu respectarea anumitor condiții. Toate aplicațiile bazate pe Cloud sunt vulnerabile și datele trebuie păstrate în siguranță doar în propriile bunkere – o altă lipsă de viziune asupra beneficiilor de securitate, eficiență și reducere a costurilor de capitalizare oferite de arhitectura Cloud. Este exact diferența între a depune banii la bancă sau a-i ține ”sub saltea”.
102
Folosesc o aplicație care zice că e conformă cu GDPR și cu și nu mai îmi bat capul cu ce se întâmplă cu datele mele – indiferent cât de populară este aplicația respectivă, este datoria mea ca operator să fac o analiză de impact privitoare la consecințele folosirii acestei aplicații. Mai e și situația în care soluția în sine respectă majoritatea cerințelor GDPR, dar felul în care o folosim nu este întotdeauna cel mai conform. Catalog GDPR
Compania are o echipă completă de specialiști certificați în securitate, toate aplicațiile de protecție și recuperare a datelor și a implementat ISO27001, deci nu mai are nevoie de alte dovezi birocratice pentru a demonstra alinierea la GDPR – parcurgerea pașilor într-un proiect de obținere a unei certificări tehnice este un mare pas înainte, dar nu și o garanție a conformității GDPR. Există o serie de atribute legate de respectarea unor politici și a principiilor care nu fac parte din lista de controale ale sistemelor de management al securității. Obținerea conformității GDPR oferă o garanție palpabilă a faptului că organizația s-a transformat digital – suntem în situația unei afirmații parțial valabile, neîndoielnic există o similaritate, dar lipsește de aici cadrul temporal. Ideea este că ambele concepte reprezintă procese cu derulare în timp, iar principalul atribut al conformității GDPR este contextualitatea; implicit, conformitatea GDPR nu poate fi palpabilă… Pe de altă parte asimilarea elementelor ce conduc la transformarea digitală trebuie să fie efectivă, totul evoluând pas cu pas, în mod natural, întrun proces ireversibil. Am scanat toate documentele pe hârtie, facem backup automat la toate bazele de date, deci chiar dacă se pierd sau se fură datele, le putem recupera aproape integral - cea mai frecventă greșeală constatată și în proiecte este neluarea în considerare a valorii datelor pentru organizație, adică esența GDPR și a transformării digitale. Nu se ține cont de modul în care procesele organizaționale, platformele, persoanele și practicile modelează valoarea datelor unei organizații. Procesele structurează modul în care organizația folosește datele pentru a servi angajații și clienții. Platformele reprezintă instrumentele cu care organizația lucrează cu angajații și Iunie 2021
clienții săi. Oamenii și datele lor sunt capitalul cel mai prețios al companiei. În fine, practicile se referă la modul în care diferitele părți interesate participă la gestionarea datelor și a resurselor organizaționale. Concluzionând, scopul final al GDPR este de a influența mentalitățile cu privire la modul în care o organizație utilizează datele pentru a interacționa cu angajații și clienții lor, pentru a propune produse și servicii noi și pentru a monitoriza performanța. Transformarea digitală nu se măsoară în MegaBytes, ci în sensibilizarea mentalităților manageriale privind luarea deciziilor bazate pe date. E important să înțelegem că practicile de management măsurabile oferă indicatori mult mai buni ai valorii strategiei digitale a unei organizații decât investițiile totale în procesarea datelor. Valoarea totală a datelor pe care le deținem depinde de scenariile de utilizare a acestora și de modul în care datele sunt transformate dintr-o înșiruire binară în rezultate de business. Cum putem să transformăm „obstacolul” GDPR într-o oportunitate de a ne îmbunătăți proprietățile digitale? Implementarea GDPR este o ocazie excelentă de a ne concentra asupra proceselor și rețelelor care definesc modul în care organizația folosește datele pentru a inova și a evalua produsele, serviciile și experiențele sale. Confidențialitatea prin design și securitatea implicită oferă organizației oportunitatea de a experimenta noi tehnologii și de a concentra resursele acolo unde acestea vor oferi beneficii tangibile. Să nu uităm însă că orice nouă implementare trebuie abordată doar după efectuarea unei analize de impact care să ne relevă pericolele legate de noile procese și modificarea fluxurilor de date.
103
Digitalmania
Etica digitală: de la teorie la practică… Iată un alt domeniu extrem de sensibil pentru realitatea digitală din care ne place să credem că facem parte. Etica digitală nu este menită să ne interzică folosirea aplicațiilor de zi cu zi, pentru că toate marile companii ”ne fură datele și fac ce vor cu ele…” Într-o lume din ce în ce mai conectată avem nevoie de niște baze morale la cere să ne raportăm și care să ne îndrume în luarea unor decizii. Putem vorbi deci despre etica digitală din multiple puncte de vedere, fiecare oferind alte perspective. Ca indivizi, avem nevoie de o recunoaștere a faptului că tehnologia ne respectă drepturile fundamentale la siguranță și confidențialitate. La nivel de organizație, avem nevoie de angajați responsabili, care să fie încurajați să pună întrebări critice despre tehnologie și folosirea acesteia, pentru a obține reguli ce ne vor ajuta atât la asigurarea unei conformități optime GDPR, cât și la o digitalizare corectă. S-a vorbit de multe ori, chiar și în această publicație, despre rolul tehnologiei de a induce valoare sau de a ne distruge intimitatea. Fiecare individ înțelege asta altfel. Mulți nu își deschid conturi de Facebook din dorința de a-și proteja valoarea informației despre familie și prieteni dar trimit vrute și nevrute pe WhatsApp, inclusiv imagini de natură mai intimă cu ”jumătatea” sau cu copii…. Alții n-au nicio teamă. Postează, răspund și dau like-uri la toate postările, că te întrebi când mai au timp să facă și altceva? Se scoală și se culcă pe FB?
104
Dar tot aceștia, nu au nicio ezitare să se plângă de oricâte ori vine vorba despre cât de invazive sunt aplicațiile. Cum știe Google tot ceea ce facem, când călătorim, unde ajungem și ce fel de pizza preferăm… Făcând o voltă în timp către originile Internetului, nu putem să nu ne întrebăm ce a rămas din viziunea inițială de creare a unei comunități digitale în care să punem totul la un loc, pentru a face o lume mai bună? Fiecare val tehnologic care a urmat a venit ca o amenințare perturbatoare pentru tot ce înainte era considerat ”normal” din punct de vedere moral. Tehnologiile Cloud ne-au distrus încrederea în tot ce știam despre procesarea controlată pe propriul server. Big data a aruncat în efemer limitele fizice ale spațiilor de stocare. Internetul lucrurilor a spart barierele de control pentru tot ceea ce însemna rețea și comunicare, punând cipuri de conectare pentru tot ceea ce putea să furnizeze date, de la brățări de control al sănătății și camere de supraveghere prin telefon, la frigiderele digitale. Blockchain pune (încă) sub semnul întrebării utilitatea criptării și posibilitatea de a oferi celui care ne cere, ”dreptul de a fi uitat… Catalog GDPR
Nu putem vorbi de securitate tehnologică 100%, dar nici mecanismele de protecție socială din lumea reală nu funcționează. Societatea se radicalizează. Orice postare inocentă în rețelele sociale te poate transforma în victimă sau în influenceri… Teoriile conspiraționiste legate de faptul că ”cineva știe tot timpul ce facem” și ni se inoculează tot felul de cipuri și-au găsit cel mai fertil mediu în criza legată de pandemie. Mulți dintre cei care se tem de un viitor în care ne vor conduce roboții nu stau mult pe gânduri când vine vorba să renunțe la clasicul aspirator cu pungă în favoarea unuia inteligent… Internetul oferă același nivel de cunoaștere în cele mai îndepărtate colțuri ale lumii, dar contribuie în egală măsură și la răspândirea dezinformării, a asimetriilor de putere și este cea mai perfectă formă de camuflare pentru la infracționalitatea cibernetică. Într-un oraș cu cea mai mare densitate de camere de supraveghere un om care cade pe stradă nu este băgat de nimeni în seamă, pentru că toți cei care trec pe lângă el sunt conectați și umblă ”teleghidați”. În ciuda ”zgomotelor” din cyberspace, există voci, tot mai clare și mai coerente care cer noi reguli pentru tot ce înseamnă Internet, supraveghere, conectare și monitorizare, invocând stabilirea unor reguli de etică digitală care să ne ajute la protejarea demnității și autonomiei umane. Etica digitală se învârte în jurul unei probleme filosofice fundamentale care îl preocupă pe ”homo digitalis”: Ce este mai important pentru a duce o viață mai bună – să căutăm fericirea la nivel individual sau să punem întotdeauna înainte datoria morală față de comunitate sau societate? În era informațională dilema a căpătat noi contururi, dar rămâne tot la nivel de dilemă: cum putem menține echilibrul între idealul unei societăți Iunie 2021
descentralizată de cunoaștere în care toți suntem ”cetățeni digitali”, cu drepturi egale și agresivitatea unei economii bazate pe profit, în care tot ceea ce cineva câștigă înseamnă o pierdere pentru alții. Când și cum putem să apăsăm un comutator de a renunța la toate astea? Ați încercat să stați o zi fără telefonul mobil, laptop sau televizor? Cum vi s-a părut? În practică, etica digitală ar trebui să ofere un cadru pentru umanizarea digitalizării. Lipsa acută a unui nivel constant de alfabetizare digitală va fi întotdeauna o piedică în asta. Când poți să devii conștient de valoarea sau pericolele unei tehnologii inovative. Când ajungi să o folosești sau când habar nu ai că există? Segregarea unui nivel acceptabil de conștiință digitală nu se va putea face decât atunci când s-a depășit o barieră limitativă a valorilor de educație și coduri de etică bazate pe modele testate în masă. Așa cum există studiile clinice medicale pentru lansarea unui nou vaccin sau medicament, ar trebui să existe ferme de testare a noilor tehnologii pe utilizatori reali, ce întrunesc toate condițiile statistice de pregătire digitală. Tot secretul unei abordări etice stă în faptul că tehnologia nu trebuie privită ca un scop în sine, ci ca un mijloc de a servi oamenii. GDPR nu este pentru roboți. Este pentru oameni și despre oameni. Dar asta nu trebuie să ne împiedice să folosim roboții pentru a demonstra ca avem încredere în valoarea datelor personale. Etica digitală pleacă de la premisa că demnitatea umană se află în centrul tuturor considerațiilor. Dar frica de tehnologie nu trebuie să ne împiedice să ne facem viața mai bună și să devenim mai umani, chiar dacă ne comandăm pizza de pe Internet și călătorim cu Uber...
105
Digitalmania
Volvo construiește mașina care va comunica cu producătorul și va învăța singură
Volvo Recharge Concept. Sursa: volvocars.com
Producătorul suedez Volvo Cars a organizat recent o zi tehnică în care au fost prezentate planurile de viitor ale companiei, inclusiv trecerea la vehicule electrice și bazate pe software până în 2030. O mare parte din planurile Volvo includ zece mii de mașini conectate care transmit continuu date către producătorul auto. Datele colectate de la vehiculele Volvo vor include informații continue de la senzorii vehiculelor care monitorizează mediul, inclusiv date de înaltă rezoluție pentru conducerea autonomă sau date primite de la clienți pentru utilizarea sistemelor avansate de siguranță. Din respect pentru confidențialitate, clienții Volvo vor putea alege dacă vor partaja sau nu datele despre vehicul. Tehnologia de conducere autonomă se bazează foarte mult pe algoritmi de învățare automată pentru a lua decizii de conducere. Cu toate acestea, instruirea acestor algoritmi necesită o cantitate masivă de date din lumea reală, cunoscute sub numele de „date de formare”. Flota de vehicule Volvo conectate ar furniza continuu aceste date atât de necesare, pe care producătorul de automobile le va folosi pentru a aduce îmbunătățiri sistemelor sale de siguranță a vehiculelor și software-ului de conducere autonomă. Primul model Volvo care își va partaja datele cu producătorul de automobile va fi noul SUV-pilot Concept Recharge, complet electric. Utilizarea datelor în timp real face parte din obiectivul pe termen lung al Volvo Cars privind un viitor în care accidentele nu vor avea loc niciodată. Volvo va putea îmbunătăți continuu siguranța și capacitățile sale de conducere autonomă pentru a reduce decesele și accidentele în ansamblu. În timp, mașina se va îmbunătăți și va avea capacitățile hardware și software pentru a permite mașinii să preia singură direcția sau frânarea, în cazul în care șoferul nu răspunde în situații care pun viața în pericol.
106
Biblioteca GDPR Ready Detalii: www.gdprreadyinitiative.com/contact
2Se poate comanda online. Detalii: https://gdprreadyinitiative.com/
