Cum ai caracteriza, pe scurt, cei doi ani care au trecut de la implementarea GDPR în Uniunea Europeana?

"GDPR-ul nu este o revoluţie, este o evoluţie!", aşa îmi încep majoritatea cursurilor încercând să explic că acest pachet de reglementări legislative există încă din 1995 şi a evoluat într-un regulament european unic, influenţat mai ales de dezvoltarea tehnologică fără precedent. Mai mult, putem spune că şi în acest moment legislaţia aleargă după tehnologie, dacă ne gândim doar la inteligenţa artificială şi la tehnologia 5G.

Regulamentul UE 679/2016 cunoscut drept GDPR a intrat în vigoare în 2016, acum patru ani de zile, dar se aplică doar din 25 mai 2018, după o perioadă de graţie de doi ani, pe care majoritatea statelor europene, inclusiv România, nu au folosit-o pentru a lansa campanii de educare a persoanelor vizate şi a operatorilor. Astfel, startul a fost dat în luna mai 2018, la momentul respectiv existând o estimare că doar 20% dintre operatorii europeni au început demersurile pentru a obţine conformitatea. Aceste procent a crescut semnificativ valoric, fiind estimat astăzi ca fiind peste 60%, dar am reţineri privind calitatea conformităţilor obţinute la nivel european. Conform studiilor, în 2019 s-a ajuns deja la crearea primelor 500.000 de roluri de DPO, fără a modifica fundamental organigramele şi fără a asigura toate resursele necesare pentru a îndeplini cu succes acest rol. Operatorii de date trebuie să renunţe la a mai căuta soluţii formale şi să înţeleagă faptul că această mult dorită complianţă GDPR nu se obţine apăsând butonul "Print" şi că orice operator care alege această cale rămâne la fel de expus riscurilor.

În România, GDPR-ul a intrat brusc în vieţile noastre, acum doi ani de zile, printr-un bombardament al consimţămintelor, lansat de operatori din dorinţa de a intra rapid în legalitate. Din păcate şi astăzi mai există operatori care folosesc consimţământul ca temei legal pentru prelucrarea datelor privind sănătatea persoanelor vizate şi deduc, astfel, că DPO-ul nu şi-a câştigat încă locul pe care îl merită în organizaţie şi recomandările lui încă nu sunt ascultate.

În ultimii doi ani, strategia de vânzări a multor firme de consultanţă s-a bazat pe “crearea panicii”, folosind marketingul înşelător care accentua, în primul rând, dimensiunea astronomică a amenzilor în loc să promoveze nevoia de instruire a personalului. Plătim şi astăzi campaniile de marketing de acum doi ani care vindeau complianţă formală fără a include serviciile de specialitate ale unui DPO.

Astazi, mai mult ca oricând, trebuie să ne reamintim că în tot acest GDPR este vorba despre oameni, sau mai bine spus despre NOI! Nu este vorba despre creşterea birocraţiei şi despre proceduri sufocante. Este vorba despre respectul pe care trebuie să îl acordăm şi să îl obţinem unii de la ceilalţi, respect de care am uitat datorită banilor obţinuţi prin tranzacţionarea datelor personale şi a informaţiilor confidenţiale, ca efect direct al evoluţiei exponenţiale a tehnologiei. Să nu uităm că toţi suntem persoane vizate. Dacă la birou nu simt acest lucru pentru că sunt patron şi influenţez şi decid direct în ce direcţie îmi conduc firma, atunci când navighez pe internet sau pur şi simplu merg pe stradă, intru într-un supermarket sau într-un hotel, sunt doar o persoană fizică şi mă aştept să pot să decid cine, de ce şi ce date personale prelucrează despre mine. Cu toţii trebuie să punem umărul şi să vorbim cu prietenii, rudele, vecinii despre erorile pe care le facem atunci când vânăm gratuităţi pe internet. Trebuie să încetăm să mai credem că ceva este gratuit şi să înţelegem că, de fapt, plătim scump cu datele noastre personale care au devenit o valoroasă monedă de schimb.

Şi mai trebuie să învăţăm o lecţie : „Când eşti cunoscut, oamenilor le place să vorbească despre tine. Totuşi, nu tot ce se vorbeşte, este şi adevărat!”. Încă trebuie să învăţăm ce înseamnă Fakenews, să recunoaştem acest fenomen, să ne protejăm, să nu mai alimentăm cererea şi să sancţionăm atunci când această practică ne influenţează deciziile.

Care consideri că a fost cea mai mare provocare pentru specialiştii în protecţia datelor personale?

Persoana fizică în sine a rămas cea mai mare provocare pentru întreg domeniul protecţiei datelor din România, deoarece, prin lipsa de cultură, întreg corpul profesional se confruntă cu solicitări nejustificate şi insuficient documentate privind ştergeri selective sau rectificări neîntemeiate a informaţiilor înregistrate în documente. Cu siguranţă aceste solicitări nu vor fi soluţionate în favoarea persoanei vizate, existând mai multe reglementări specifice în ceea ce priveşte termenul de retenţie şi posibilităţile de acces restricţionat şi condiţionat. Gardianul modului în care se respectă confidenţialitatea şi mecanismele de protecţie a datelor cu caracter personal rămâne în continuare Responsabilul cu protecţia datelor cu caracter personal (DPO), această meserie nou apărută, care se confruntă probabil cu cele mai mari provocări profesionale datorită caracterului general al Regulamentului (UE) 2016/679 şi lipsei unor repere unitare privind interpretarea şi implementarea lui.

Poate şi denumirea postului, care induce ideea responsabilităţii concentrate pe umerii unei singure persoane, a îngreunat ascensiunea şi recunoaşterea profesională, mulţi DPO făcând educaţie managementului în momentul semnării contractelor de consultanţă.

Care a fost cea mai mare provocare a companiilor în procesul de obţinere şi menţinere a conformităţii GDPR?

Angajaţii reprezintă unul dintre cele mai mari riscuri în ceea ce priveşte securitatea unei organizaţii. Şi nu spun eu asta, mergând pe principiul 80/20 al lui Pareto, transpus în business (80% din probleme sunt cauzate de 20% dintre angajaţi), ci studiul State of Cybersecurity 2019 realizat de ISACA.

Din punctul meu de vedere, cea mai mare provocare a companiilor în procesul de obţinere şi menţinere a conformităţii GDPR este carenţa unei culturi a responsabilităţii, în rândul angajaţilor, privind protecţia datelor personale. Acesta carenţă poate fi diminuată substanţial în urma instituirii unor programe de instruire cu privire la importanţa protecţiei datelor în concordanţă cu practicile generale şi politicile specifice activităţii companiei. Responsabilizarea angajaţilor din perspectiva protecţiei datelor personale va aduce un plus de valoare companiei. Un angajat conştient şi informat este un angajat vigilent şi care acţionează cu responsabilitate, riscurile unei erori umane scăzând, în acelaşi timp în care randamentul muncii creşte. Mai mult, identificarea rapidă a eventualelor breşe de securitate şi respectarea protocolului de răspuns la incidente va minimiza pierderile companiei.

Rămân un visător şi sper ca în următoarea perioadă să vedem campanii de educare a persoanelor vizate din România, şi de ce nu, campanii de educaţie în scoli.

Care a fost cea mai importantă lecţie pe care companiile, dar şi specialiştii în protecţia datelor personale au învăţat-o în această perioadă?

Constat că în ultimele două luni, de când a fost recunoscută oficial pandemia Covid -19, s-a vorbit despre GDPR mai mult decât în toată perioada de când a intrat în vigoare Regulamentul UE 679/2016 şi este trist că a fost nevoie de acest coronavirus ca să-i acordăm atenţia pe care o merită.

Societatea în care trăim s-a schimbat, fiind supusă la unul din cele mai dificile teste de stres. Frica este cea care a obligat societatea noastră să se adapteze şi să se maturizeze forţat, făcând, în primul rând, un salt mare către digitalizare. Vorbim astăzi mai mult ca niciodată despre tele-muncă, tele-medicină, tele-educaţie şi mai ales despre ştirile false.

Fiind un act de responsabilitate să stăm acasă în aceste condiţii, utilizăm din ce în ce mai mult tehnologia, din dorinţa de a comunica cu cei dragi şi cu colegii de serviciu. Am auzit că s-au organizat zile de naştere online, că oamenii au continuat să se întâlnească şi să bea o cafea cu prietenii, printr-o conexiune video şi că se pot vizita muzee sau chiar să participi la concerte din confortul fotoliului de acasă. Citim cărţi pentru care până acum nu găseam timpul necesar. Pentru o parte din oameni, autoizolarea este un test greu de trecut şi de suportat şi nimeni nu conştientizează, încă, faptul că procesul de autoizolare socială este un fenomen apărut o dată cu reţele de socializare. Se vorbeşte de ani de zile de această tendinţă de a petrece mai mult timp în casă, conectat cu mii de prieteni online, cu care poate nu te-ai întâlnit niciodată faţă în faţă. Astăzi, mai mult ca niciodată, preţuim interacţiunea fizică şi testăm efectul nociv şi pervers al dezinformărilor care abundă pe reţelele de socializare. Este o lecţie pe care am învăţat-o în timpul acestei pandemii şi cred că societatea noastră nu va mai fi niciodată la fel ca înainte.

Trebuie să realizăm şi că toată această digitalizare, pe repede înainte, vine la pachet cu asumarea unor riscuri de care mi-aş dori să fim conştienţi încă de la început.

Nu cred că suntem pregătiţi încă să îmbrăţişăm digitalizarea şi să ne folosim la maxim de beneficiile acesteia. În urma recomandărilor autorităţilor din România, mai multe companii au decis să accepte, de pe o zi pe alta, ca angajaţii să lucreze de acasă. Din punct de vedere legal eram pregătiţi, legislaţia română avea prevederi clare privind tele-munca şi cele mai multe firme au semnat acum cu fiecare angajat doar un act adiţional la contractul de muncă, pentru a îndeplini această formalitate birocratică. Foarte puţine firme au investit în securizarea echipamentelor şi a căilor de comunicare, alegând deseori soluţiile cele mai rapide şi ieftine, utilizând de cele mai multe ori echipamentele proprii ale angajaţilor.

În ultimele zile chiar am urmărit cum a crescut numărul incidentelor de securitate, prin campanii de phishing, infectând mii de computere, bazându-se pe naivitatea utilizatorilor care acum citesc orice email legat de acest Coronavirus. Din păcate, foarte multe afaceri au de suferit şi, mai mult decât efectele acestei pandemii, mă sperie valul de recesiune care ne va lovi peste câteva luni.

Mi-aş fi dorit să vorbim de digitalizarea mediului de business românesc, precum şi a administraţiei publice, în alte condiţii decât cele de astăzi.

Revenind la domeniul protecţiei datelor, chiar dacă DPO-ul este captiv între obligaţiile legale impuse de legile organice, care pot limita drepturile persoanelor, şi principiile şi obligaţiile GDPR, există, în opinia mea, o reţetă pentru a asigura un echilibru între toate aceste reglementări:

  1. Implicarea DPO-ului. El este specialistul care astăzi poate să consilieze şi să ghideze organizaţia în respectarea GDPR şi păstrarea acestui echilibru cu obligaţiile legale şi interesele comerciale.
  2. Respectarea celor şapte principii fundamentale ale GDPR. Aceste principii trebuie să devină o realitate, trebuie să fie implementate în orice fel de procedură, ca nişte filtre care trebuie aplicate înainte de a lansa orice tip de document, orice fel de procedură.
  3. Informarea persoanelor vizate. Este foarte uşor să investim în această informare prealabilă şi să obţinem, practic, o implicare şi motivarea acestor persoane, pentru că, în fond, toate aceste proceduri restrictive sunt în interesul lor, al protecţiei datelor lor cu caracter personal.
  4. Instruirea persoanelor şi obţinerea de garanţii adecvate. Trebuie să fim foarte atenţi atunci când datele angajaţilor noştri, sau datele clienţilor noştri, datele vizitatorilor noştri sunt prelucrate de către împuterniciţii noştri ca operatori şi să ne asigurăm că sunt implementate măsuri tehnice şi organizatorice de protecţie şi securitate a acestor date personale pe tot procesul de prelucrare.
  5. Evaluarea nivelului de prelucrare a datelor (de exemplu, dacă este excesiv) şi identificarea unor metode mai puţin intruzive de prelucrare a datelor personale, fără a creste birocraţia. Să nu uităm că DPO-ul este cel care poate evalua dacă discutăm de un nivel excesiv de prelucrare a datelor, trebuie să încercăm să limităm înscrisurile, astfel încât să nu creştem birocraţia doar de dragul de a ne acoperi cu documente justificative privind respectarea acestei legi. Respectarea tuturor celorlalte principii GDPR s-ar face mult mai uşor dacă principiul minimizării ar fi respectat întocmai şi pun accent mai ales pe acest lucru, deoarece noi, românii, companiile româneşti, instituţiile statului am ridicat birocraţia aproape la nivel de tradiţie. Nu tot ce e mult e şi bun, un singur document bine întocmit şi cu responsabilitate mă protejează la fel de bine ca zece documente pline de date personale nefolositoare, dar colectate pe sistemul „să fie”.

Concluzionez că această reţeta nu se aplică exclusiv în această perioadă de pandemie, cele cinci recomandări fiind aplicabile oricărei organizaţii care îşi propune în următorul an să îşi adapteze cultura organizaţională şi să îmbrăţişeze principiile GDPR.