După trei ani, GDPR nu este încă înţeles şi respectat de majoritatea operatorilor români, inclusiv de autorităţi!
0Ne îndreptăm spre a treia aniversare a datei de 25 mai, ca punct de plecare în aplicarea prevederilor GDPR, normă legislativă europeană care s-a impus în memoria colectivă ca fiind cea care prevede aplicarea unor amenzi neegalate de nicio altă lege, în special din cauza faptului că unul dintre reperele în stabilirea cuantumului este reprezentat de un procent din cifra de afaceri la nivel mondial a operatorului sancţionat.
Regulamentul UE 679/2016, cunoscut de noi toţi sub numele de GDPR, a intrat în vigoare în 2016, în urmă cu cinci ani, dar se aplică doar din 25 mai 2018, după o perioadă de graţie de doi ani, pe care majoritatea ţărilor europene, inclusiv România, nu au folosit-o pentru a lansa campanii de educaţie pentru persoanele vizate şi operatorii.
În România, GDPR a intrat brusc în viaţa noastră printr-un bombardament al consimţămintelor, lansat de operatori şi împuterniciţii acestora din dorinţa de a obţine rapid conformitatea cu aceste noi reglementări legislative. Din păcate, chiar şi astăzi există operatori români care folosesc, de exemplu, consimţământul ca bază legală pentru prelucrarea datelor de sănătate ale persoanelor internate într-un spital, de unde deduc faptul că Responsabilul cu protecţia datelor nu şi-a câştigat încă locul pe care îl merită în organizaţie şi recomandările sale încă nu sunt luate în considerare, deoarece prelucrarea datelor în sistemul sanitar este reglementată specific şi NU este necesară obţinerea unui alt consimţământ pentru prelucrarea datelor personale.
În luna mai 2018 se estima că 20% dintre operatorii europeni începuseră un program pentru obţinerea conformităţii GDPR. Acest procent a crescut valoric în mod semnificativ în ultimii trei ani, fiind estimat astăzi la peste 60%, dar, în acelaşi timp, îngrijorează, din ce în ce mai mult, calitatea conformităţii obţinute la nivel european. Conform studiilor făcute de specialişti, în 2019 au fost deja create primele 500.000 de roluri de DPO, fără a fi modificate organigramele şi fără a fi asigurate şi garantate resursele necesare pentru ca un DPO să îşi poată îndeplini cu succes acest rol. Consider că operatorii de date cu caracter personal trebuie să nu mai caute soluţii de formă, de faţadă şi să înţeleagă că această mult dorită conformitate GDPR nu se realizează prin apăsarea butonului „Print” şi că oricine alege această cale rămâne la fel de expus riscurilor, ca oricare alt operator care decide să ignore GDPR.
În ultimii trei ani, strategia de marketing şi vânzări a multor companii de consultanţă GDPR s-a bazat pe „crearea panicii”, folosind marketingul înşelător, care accentua, în primul rând, dimensiunea astronomică a amenzilor, în loc să promoveze nevoia de instruire a personalului. Plătim în continuare pentru campaniile de marketing din aceşti trei ani care au vândut conformitatea “de faţadă”, fără a include serviciile specializate ale unui responsabil cu protecţia datelor.
Sper că într-un final vom înţelege că în tot acest GDPR este vorba despre oameni, sau mai bine spus despre NOI! Nu este vorba despre creşterea birocraţiei şi despre proceduri sufocante. Este vorba despre respectul pe care trebuie să îl acordăm şi să îl obţinem unii de la ceilalţi, respect de care am uitat datorită, în principal, avantajelor obţinute prin utilizarea tehnologiilor bazate pe tranzacţionarea datelor cu caracter personal şi a informaţiilor confidenţiale.
În afacerea mea, ca angajator, influenţez direct şi decid modalităţile prin care sunt procesate datele cu caracter personal. Dar, ca persoană fizică, atunci când navighez pe internet, când merg pe stradă, la un supermarket sau mă cazez la un hotel am aşteptarea naturală de a cunoaşte cine, de ce şi ce date personale sunt prelucrate în ceea ce mă priveşte. Chiar şi după aceşti trei ani, acest lucru nu se întâmplă aproape niciodată şi am încetat să mai cred că ceva poate fi gratuit, dându-mi seama că în aceste situaţii plătesc de fapt cu datele mele personale, care au devenit o monedă de schimb foarte valoroasă.
Din punct de vedere personal, cea mai mare provocare pentru companii în procesul de obţinere şi menţinere a conformităţii GDPR rămâne lipsa unei culturi generale a responsabilităţii în rândul angajaţilor asupra confidenţialităţii datelor. Această deficienţă poate fi substanţial corectată prin programe de instruire cu privire la importanţa protecţiei datelor, în conformitate cu practicile generale şi politicile specifice activităţii companiei. Responsabilizarea angajaţilor din perspectiva protecţiei datelor cu caracter personal va adăuga valoare companiei. Un angajat conştient şi informat este un angajat vigilent care acţionează responsabil, riscurile specifice erorii umane se diminuează semnificativ, în timp ce eficienţa muncii creşte. Mai mult, identificarea rapidă a posibilelor breşe de securitate şi respectarea procedurilor de răspuns la incidente vor reduce la minimum pierderile reputaţionale şi financiare ale companiei.
Persoana vizată a rămas cea mai mare provocare pentru întreg domeniul protectiei datelor din România, deoarece, din cauza lipsei educaţiei populaţiei în acest domeniu al protecţiei datelor, Autoritatea de Supraveghere şi întreg corpul profesional de specialişti se confruntă cu solicitări nejustificate şi insuficient documentate privind stergeri selective sau rectificari neîntemeiate a datelor personale. Cu siguranţă, aceste solicitări nu sunt soluţionate întotdeauna în favoarea persoanei vizate, existând mai multe reglementări specifice în ceea ce priveşte termenul de retenţie şi posibilităţile de restricţionare şi condiţionare a accesului la date.
Gardianul modului în care sunt respectate confidenţialitatea şi mecanismele de protecţie a datelor cu caracter personal rămâne Responsabilul cu protecţia datelor (DPO), această profesie „tânără”, care probabil se confruntă cu una dintre cele mai mari provocări profesionale, datorită caracterului general al Regulamentului (UE) 2016/679 şi a lipsei unor repere unitare pentru interpretarea şi punerea sa în aplicare.
Modul în care această nouă funcţie de DPO a fost tradusă în limba română, înlocuind termenul de „ofiţer” cu „responsabil” este o eroare cu efecte pe termen lung, deoarece induce greşit ideea că responsabilitatea stă pe umerii acestei persoane, făcând să fie şi mai greu de conştientizat faptul că responsabilitatea conformităţii este în permanenţă a managementului operatorului şi că rolul Responsabilului cu protecţia datelor este de a susţine şi de a monitoriza acest proces şi nu răspunde efectiv de implementare sau de consecinţele neimplementării GDPR în entitate.
Dacă ne oprim asupra obligaţiilor operatorilor publici din România de a desemna un responsabil cu protecţia datelor, conform datelor furnizate de Autoritatea de Supraveghere, constatăm că doar o parte din aceste instituţii publice şi-au notificat decizia de numire a unui DPO, aproximativ 2000 de notificări fiind înregistrare din partea acestora, restul aparţinând operatorilor din domeniul privat. Dacă luăm în considerare că în România avem aproximativ 20,000 de instituţii publice, reiese un grad de conformare de doar 10% în privinţa respectării obligaţiilor conform articolului 37 din Regulament, restul de 90% alegând asumat să nu ducă la îndeplinire această obligaţie legală.
În ultimul an, societatea în care trăim s-a schimbat, fiind supusă unuia dintre cele mai dificile teste de stres. Frica este cea care a forţat societatea noastră să se adapteze şi să se maturizeze forţat, făcând, în primul rând, un mare salt spre digitalizare. Astăzi vorbim mai mult ca oricând despre telemuncă, telemedicină, tele-educaţie şi, mai ales, despre ştiri false. Mediul de afaceri românesc a resimţit pe deplin efectele acestei pandemii. Unele companii şi-au suspendat în totalitate activităţile, în timp ce altele au implementat noi procese de lucru la distanţă pentru angajaţi, ţinând cont de regulile de izolare. Prioritatea a fost restabilirea cât mai rapidă a activităţii companiilor şi instituţiilor publice şi, în acest context, au existat compromisuri privind protecţia datelor, compromisuri care vor trebui rezolvate pe măsură ce situaţia se îndreaptă spre o nouă normalitate.
Putem spune că pandemia a acţionat ca un accelerator pentru deciziile de adoptare şi utilizare a noilor tehnologii, deoarece, în doar câteva luni, a devenit clar că digitalizarea nu mai este opţională, ci este absolut necesară pentru supravieţuirea companiilor şi pentru continuitatea serviciile publice furnizate de autorităţi. Această situaţie a făcut ca multe proiecte să fie lansate în regim de urgenţă, deşi, în mod normal, ar necesita ani de analiză şi planificare şi a fost practic imposibil să se ia în considerare toate efectele „secundare”.
În urma recomandărilor autorităţilor române, mai multe companii au decis să accepte, de la o zi la alta, ca angajaţii să lucreze de acasă. Din punct de vedere legal, am fost pregătiţi, legislaţia română are prevederi clare în ceea ce priveşte telemunca / munca la domiciliu şi majoritatea companiilor au semnat acum cu fiecare angajat doar o anexă la contractul de muncă, pentru a îndeplini această formalitate birocratică. Foarte puţine companii au investit în securitatea echipamentelor şi canalelor de comunicaţii, alegând adesea soluţiile cele mai rapide şi mai ieftine, folosind adesea echipamentele de calcul şi de comunicare personale ale angajaţilor.
Trebuie să ne dăm seama că toată această digitalizare în regim de urgenţă vine la pachet cu asumarea riscurilor de către operatori. Cu toate acestea, urgenţa nu înseamnă renunţarea la precauţii şi analize prealabile. Chiar şi cu timp şi resurse limitate, se pot lua măsuri pentru a reduce riscul prin identificarea proceselor a căror digitalizare are impact maxim asupra funcţionării companiei şi alocarea cu prioritate a resurselor de analiză şi control al riscurilor.
Derapajele operatorilor de la respectarea principiilor GDPR au devenit o normalitate pe care persoanele vizate le acceptă şi le trec cu vederea în speranţa că nu se vor repeta. Cu toate acestea, valorile amenzilor aplicate de Autorităţile de Supraveghere europene sunt în creştere, ajungând să depăşească 170 milioane de euro în 2020, dublu atât ca număr de amenzi, cât şi valoric, faţă de anul anterior.
În ultimul an, de când a fost recunoscută oficial pandemia Covid-19, s-a vorbit mai mult despre GDPR decât în întreaga perioadă de la intrarea în vigoare a Regulamentului UE 679/2016 şi este trist că a fost necesar acest virus pentru a oferi domeniului protecţiei datelor cu caracter personal atenţia pe care o merită cu adevărat. Numărul crescut de incidente de securitate, de multe ori prin campanii de phishing, infectând mii de computere, se datorează naivităţii utilizatorilor care citesc acum orice e-mail legat de acest Coronavirus. Din păcate, multe afaceri au suferit şi, mai mult decât efectele crizei sanitare ale acestei pandemii, sunt îngrijorat de valul de recesiune economică pe care estimez că o vom parcurge în următoarele luni şi care va pune, din păcate, protecţia datelor cu caracter personal într-un con de umbră.