O radiografie obiectivă a primului an de GDPR în România
0În data de 25 mai 2019 se împlineşte un an de la aplicarea Regulamentului general privind protecţia datelor personale (GDPR), moment prielnic pentru noi toţi de a realiza o scurtă retrospectivă şi de a trage câteva concluzii esenţiale.
În cadrul unei conferinţei care a avut loc în data de 21 mai, s-a urmărit realizarea unui bilanţ după un an de GDPR, aducând laolaltă reprezentanţi ai autorităţilor publice, asociaţii profesionale şi patronale, avocaţi, consultanţi, experţi în eCommerce şi tehnologii Web, ofiţeri de protecţia datelor personale, dar şi specialişti cu ani buni de experienţă în securitatea datelor, furnizori şi antreprenori în tehnologii de graniţă şi promotori ai transformării digitale.
Cu siguranţă unul dintre momentele mult aşteptate ale evenimentului a fost bilanţul prezentat de Autoritatea naţionala de supraveghere (ANSPDCP).
Iată cifrele făcute publice de autoritate:
- sunt 9.335 de responsabili cu protecţia datelor (DPO) notificaţi la Autoritate
- 391 de încălcări de securitate notificate autorităţii
- 460 de investigaţii din oficiu (69 din sesizări şi 391 în urma încălcărilor notificate autorităţii)
- 456 de investigaţii dispuse în urma plângerilor persoanelor vizate
- Peste 5000 de plângeri efective înregistrate doar în 2018
Mult, puţin?! Greu de spus, asa că am aruncat un ochi în ograda altor autorităţi de supraveghere din UE pentru a ne face o idee mai clară despre cât de grasă este găina noastră.
Primul reper l-am regăsit în raportul DLA Piper GDPR data breach survey: February 2019, de unde obserm că România este extrem de departe de media europeană în ceea priveşte plângerile privind prelucrările ilegale de date personale.
În perioada cuprinsă între 25 mai 2018 şi până în februarie 2019 când a fost elaborat studiul, la nivelul UE, au fost raportate nu mai puţin de 59.000 de breşe de securitate. Campioni la acest capitol au fost olandezii cu 15,400 breşe notificate, în timp ce România număra la acea vreme doar 270. Analizâd această situaţie am găsit două răspunsuri posibile: ori noi romanii suntem un popor norocos şi atacurile cibernetice ne evită, ori nu recunoaştem o breşă de securitate nici dacă ne împiedicăm de ea.
Al doilea reper îl regăsim în Raportul European Data Protection Board, care cuprinde datele înregistrate de autorităţile de supraveghere în primele 9 luni de la aplicarea GDPR-ului.
De aici aflam că autorităţile europene de supraveghere au deschis în total total de 94.622 de investigaţii, din care aproape 65.000 au survenit în urma notificărilor privind încălcarea datelor (a breşelor de securitate). Tot în acest raport am identificat şi câteva informaţii interesante despre autoritatea naţională din România.
- bugetul autorităţii naţionale de supraveghere este cu aproape 50% mai mic decât necesarul estimat de EDPB
- schema de personal a autorităţii este mult subdimensionata, necesitând o suplimentare de 142%
Conform datelor oferite de reprezentantul autorităţii, chiar dacă în orgnigramă sunt prevăzute 85 de posturi, structura organizatorică actuală numără 34 de angajaţi, cu tot cu şoferi şi personal TESA. Apreciez ca a fost o munca titanica sa efectuezi acest numar de investigatii cu un asa numar redus de persoane angajate in cadrul Autoritatii.
Concluziile specialiştilor după primul an de GDPR în România
Experţii care au luat parte la analiza primului an de GDPR ne-au oferit câteva concluzii extrem de importante pentru toţi cei implicaţi în aplicarea GDPR-ului.
Relaţiile defectuoase intre operatori generează cele mai frecvente greşeli
Conform Domnului Cătălin Giulescu, Director Direcţia pentru Evidenţa Persoanelor şi Administrarea Bazelor de date din cadrul MAI, raportul între operator şi împuternicit s-a dovedit a fi o nuca tare. „Operatorul are nişte responsabilităţi foarte mari cu privire la calitatea acestui împuternicit. Acel raport cost beneficiu nu trebuie să fie elementul determinant în alegerea unui împuternicit. Trebuie sa aveţi garanţia că v-aţi ales un împuternicit de cea mai bună calitate“. Sfatul pentru cei care se luptă să obţină alinierea la Regulament este să acorde o importanţă sporită transparenţei prelucrărilor de date. În opinia mea, 50% din activităţile pe care Dumeavoastră trebuie să le dispuneţi pentru a ajunge compliant GDPR, în mare măsură ţin de informare şi de transparenţă“.
Elaborarea codurilor de conduită
„Lucrul care ar fi ideal să se întâmple în următor an de aplicare GDPR în România ar fi să existe cât mai multe coduri de conduită sectoriale. Mi se pare aspectul crucial care poate sa ajute să crească industriile pe nişă. Este clar că autoritatea nu o să poată să dea sfaturi în toate domeniile şi toate spetele astfel că acesta a încurajat Responsabilii în protecţia datelor să se implice în scrierea codurilor de conduită“, a declarat Bogdan Manolea Trusted.ro
Confirmări şi sprijin din partea ANSPDCP
Reacţia Doamnei Simona Zamfir, a fost una extrem de pozitivă, specificând că unele industrii, cum este cea de telecom, care au făcut deja paşi importanţi în acest sens „Nu putem decât să-i ajutăm şi să aşteptăm să ne aducă aceste coduri nu doar la avizat, sa le aducă în faza de lucru să le discutăm, să putem să lucrăm împreuna şi să construim pe acest regulament“, a declarat a Simona Zamfir, consilier în cadrul Biroului Juridic şi comunicare al Autorităţii.
Sfaturi utile pentru DPO
Domnul Daniel Suciu, consultant GDPR, a oferit sfaturi extrem de practice tuturor celor implicaţi în domeniul protecţiei datelor. „Prioritatea absolută eu o văd ca trecerea de la formalismul iniţial la obţinerea unor procese mature, operaţionale pentru ariile GDPR. Pentru asta, DPO-ul şi managementul ar trebui să analizeze modul în care se desfăşoară activităţile sau testarea lor acolo unde nu sunt activităţi recurente. Unde ar trebui corectat şi îmbunătăţit? Teoretic acolo unde sunt riscurile mai mari de încălcare a GDPR-ului, dar practic ordinea ar putea fi aleasă şi în funcţie de interesul manifestat de responsabilii pe anumite zone. Un succes într-o zonă nu foarte critică poate fi folosit ca exemplu pozitiv şi poate fi impus pentru alte zone. Şi evident, informarea continuă şi networking-ul pentru a beneficia de experienţa altora.“
Numărul unic de sesizare a unui incident de securitate
Centrul Naţional de Răspuns la Incidentele de Securitate Cibernetică (CERT-RO), după lansarea de săptămâna trecută a numărului unic 1911 prin care persoanele fizice, juridice şi instituţiile publice din România vor putea raporta incidentele de securitate cibernetică, a anunţat dezvoltarea unei platforme, care va fi pusă la dispoziţia autorităţilor şi celorlalţi parteneri cu care colaborează, prin intermediul care se va realiza interconectare inclusiv cu platforma comuna europeană. Un instrument extrem de important în procesul de eficientizare a prevenirii, identificării, comunicării şi neutralizării ameninţărilor cibernetice.
Proiecte ambiţioase dedicate educaţiei operatorilor şi a persoanelor vizate
Societatea civilă din România a reacţionat în acest prim an prin infiinţarea Asociaţiei Specialiştilor în Confidenţialitate şi Protecţia Datelor, ajungând în scurt timp la peste 100 de membrii. Proiectele deja finalizate au presupus desfăşurarea a doua studii, unul privind gradul de conştientizare a persoanei vizate din România privind importanţa datelor cu caracter personal şi un al doilea studiu care a vizat evaluarea gradului de conformare în cadrul domeniului sanitar românesc.
„Persoana fizică în sine a devenit o provocare pentru întreg sistemul de protecţie a datelor din România, deoarece prin lipsa de educare întreg corpul profesional se confruntă cu solicitări nejustificate şi insuficient documentate privind ştergeri selective sau rectificări neîntemeiate a informaţiilor înregistrate în documente. Cu siguranţă aceste solicitări nu vor fi soluţionate în favoarea persoanei vizate, existând mai multe reglementări specifice în ceea ce priveşte termenul de retenţie şi posibilităţile de acces restricţionat şi condiţionat. Gardianul modului în care se respectă confidenţialitatea şi mecanismele de protecţie a datelor cu caracter personal rămâne Responsabilul privind protecţia datelor, o meserie nou aparută, care se confruntă probabil cu cele mai mari provocări profesionale datorită caracterului general al Regulamentului (UE) 2016/679 şi lipsei unor repere unitare privind interpretarea şi implementarea lui.“, declară Marius DUMITRESCU, preşedintele ASCPD.
Asociaţia Specialiştilor ca continua să lanseze proiecte de educaţie a membrilor, a operatorilor şi a persoanelor vizate, în trecut organizând campanii de informare privind
- Retragerea consimtâmantului GDPR din domeniul sanitar şi condiţionatea actului medical de semnarea unui document formal
- Pericolul fenomenului Fakenews, „Ştirile false, adevărate bombe invizibile“
- Ghidul consumatorului de reduceri - Sfaturi si trucuri pentru cumpărături online în singuranţă
- exercitarea dreptului de acces la datele prelucrate de operatori.