Revista si suplimente
MarketWatch
Inapoi Inainte

Regulamentul privind Protecția Generală a Datelor (GDPR): un nod gordian pentru companiile şi autorităţile româneşti

25 Mai 2017



În decembrie 2016, după 4 ani de la propunerea iniţială, Parlamentul și Consiliul UE au convenit în cele din urmă asupra Regulamentului privind Protecția Generală a Datelor (GDPR), ce urmează să intre în vigoare la 25 mai 2018. GDPR oferă un nou cadru general complex pentru protecția datelor, cu obligații sporite pentru orice organizație, iar amploarea, complexitatea și impactul operațional este fără precedent. GDPR se aplică oricărei organizații - indiferent de locul unde își are sediul - care gestionează datele cu caracter personal ale cetățenilor Uniunii Europene.



Din nefericire, orice astfel de act normativ sau cadru legislativ adoptat de UE găsește de fiecare dată România total nepregătită. Însă, în acest caz impactul este semnificativ chiar și pentru țările bine dezvoltate din UE. Scopul acestui articol este de semnal de alarmă pentru toate autoritățile și companiile din România care trebuie să înțeleagă că aceste norme europene au un impact major pentru orice organizație. GDPR înseamnă o realiniere a proceselor, procedurilor, angajaților, strategiei de vânzare, departamentului de marketing și al departamentului legal. Poate genera de la investiții masive pentru alinierea la standarde, până la amenzi usturătoare pentru cazurile în care aceste măsuri nu vor fi implementate.

Regulamentul general privind protecția datelor (GDPR) impune multor organizații ca unul din primii pași în aliniere este să numească un responsabil pentru protecția datelor (DPO – Data Protection Officer). IAPP (The International Association of Privacy Professionals) estimează că vor fi necesari mai mult de 75.000 de noi angajați certificați la nivelul UE pentru a îndeplini cerințele de conformitate cu GDPR.
Sunt companiile din UE pregătite? Dar cele din România?

Mulți ne întrebăm cine și când va reuși să pregătească și să certifice un volum atât de mare de specialiști de tipul Responsabil pentru Protecția Datelor cu caracter personal astfel ca peste 1 an să putem respecta Regulamentul pentru Protecția Datelor. Personal consider că încă suntem abia la primul pas – nivelul de conştientizare!

Impactul GDPR

Voi încerca să transpun foarte succint un Top 10 al obligațiilor cu cel mai mare impact operațional, conform cu ordinea prezentantă de IAPP:
1. Obligația de notificare privind orice breșă în structura securității informatice și a accesului la datele cu caracter personal;
2. Obligația de a numi un responsabil pentru protecția datelor (DPO – Data Protection Officer);
3. Obligația de a avea consimțământul subiectului înainte de a prelucra datele sale cu caracter personal și, evident, trasabilitatea și dovada acordului prealabil;
4. Limitarea transferului de date cu caracter personal în alte țări care nu intră sub incidența GDPR, o prevedere ce poate fi un subiect de sine stătător cu multe implicații juridice;
5. Realizarea de profiluri ale consumatorilor va fi mult mai dificilă, deoarece persoanele vizate de către departamentele de marketing vor avea dreptul să aleagă dacă vor sau nu să-și pună la dispoziție datele personale.
6. Creșterea drepturilor existente ale persoanelor vizate pentru a primi notificări cu privire la activitățile de prelucrare, pentru a avea acces la informațiile care sunt procesate și pentru a-i rectifica pe administratori cu privire la inexactități. Dreptul persoanei vizate de a se opune prelucrării este mai amplu decât în temeiul directivei, mai mult decât atât, îi permite să se opună prelucrării în orice moment, cu excepția cazului în care operatorul are motive legitime convingătoare. Cel mai important este dreptul la ștergere a acestor informații.
7. Controlul procesării datelor cu caracter personal se schimbă, astfel obligațiile detaliate ale regulamentului pentru contractele realizate cu entități de procesare de date și controller pot obliga unii operatori de date să-și reevalueze acordurile de furnizori pentru a-și atinge respectarea normativelor. Procesatorii de date (o persoană fizică sau juridică, o autoritate publică, o agenție sau un alt organism care prelucrează date cu caracter personal în numele operatorului) au sarcini suplimentare în cadrul GDPR, și, de asemenea, se confruntă cu răspunderea sporită pentru nerespectarea sau pentru acționarea în afara autorității acordate de un controller (agenție sau alt organism care singură sau împreună cu alții stabiliește mijloacele de prelucrare a datelor cu caracter personal). Cu toate acestea, sarcina pentru protecția datelor cu caracter personal în cadrul GDPR rămâne în continuare, în primul rând, a controller-ilor. Aici deja au apărut și vor apărea noi organizații specializate, noi certificări, transformarea fiind totală și impactul fiind general valabil.
8. „Pseudoanonimizarea" este un proces prin care datele nu sunt nici anonime, nici direct identificate. „Pseudoanonimizarea” este separarea datelor de identificatorii direcți, astfel încât legătura cu o identitate nu este posibilă fără informații suplimentare care sunt ținute separat. Prin urmare, „pseudoanonimizarea” poate reduce semnificativ riscurile asociate procesării datelor, menținând totodată utilitatea datelor. Din acest motiv, GDPR creează stimulente pentru controllerii organizațiilor de a „pseudoanonimiza” datele pe care le colectează.
9. Codurile de conduită și certificările specifice ce pot oferi mijloace eficiente pentru a demonstra conformitatea, însă aici, la fel ca și în celelalte cazuri, discutăm despre o întreagă „biblie” ce va trebui transpusă în practică. Vor apărea organizații noi de certificare și consultanță, de unde deducem că multe lucruri se vor schimba în UE datorită acestor noi certificări și coduri de conduită în privința operării de date cu caracter personal.
10. Consecințe pentru violarea GDPR: proceduri administrative complexe și amenzi mari. Mai mult decât orice drept de fond nou sau procedură complexă, noua măsură GDPR care va atrage atenția C-Level-ului din orice organizație este dispoziția privind sancțiunile și amenzile. Într-o abatere strictă față de legislația anterioară privind confidențialitatea în Europa sau în altă parte, GDPR permite și încurajează autoritățile de reglementare să perceapă amenzi remarcabil de mari. Aceste amenzi pot să depășească 20 de milioane de euro sau 4% din cifra de afaceri globală anuală, oricare este mai mare.

Concluzii

Viitorul nu sună deloc bine, însă recomand cu căldură tuturor persoanelor din conducerea organizațiilor private sau autorităților publice să urmeze o rețetă simplă:
1. Pasul 1 - Informare și conștientizare: în acest moment sunt din ce în ce mai multe evenimente dedicate informării, primul pas fiind de a participa la cât mai multe de astfel de evenimente, actorii direct interesați fiind CEO, CIO, Legal și Marketing.
Smart Alliance – Innovation Technology Cluster a demarat o astfel de inițiativă, pe 24 Mai 2017, cu fix 1 an inainte de intrarea in vigoare a GDPR, organizând un eveniment de informare (http://www.smartalliance.ro/ro/event). Mai mult decât atât, este prima Asociație Profesională din industria IT din România care oferă și suita de soluții informatice construite pe cerințele GDPR pentru a veni în întâmpinarea organizațiilor și cu soluția de a armoniza și alinia Departamentul IT la cerințele sufocante ale GDPR.
2. Pasul 2 – Angajarea sau numirea unui responsabil pentru protecția datelor (DPO – Data Protection Officer): având în vedere complexitatea și obligativitatea acestor norme europene, cel mai indicat ar fi să alocăm din timp o resursă care să gestioneze și să realizeze un plan de aliniere la GDPR. Deși mai avem un an, timpul este extrem de scurt iar implicațiile sunt complexe și implică mai multe departamente ale organizației, impactul principal pornind de la bugetul alocat până la modificarea proceselor și strategiei de vânzare și marketing. Evident, o persoană dedicată care să coordoneze eforturile tuturor departamentelor implicate este imperioasă.
3. Pasul 3 – Implementarea soluțiilor informatice suport: este extrem de evident că vom avea nevoie de automatizare pentru a putea să construim și să respectăm cerințele GDPR, vorbim de un amalgam extrem de stufos de obligații și implicații la toate nivelurile unei organizații.
Din experiența mea sunt necesare două direcții majore privind sistemele informatice:
• Soluție de management GDPR – aici includem managementul riscurilor, raportarea, posibilitatea de anonimat, ștergerea datelor la cerere, tot ce ține de compliance sau risk management. În concluzie o soluție complexă ce va trebui integrată cu toate soluțiile existente sau viitoare de securitate care să fie transpusă într-un Tablou de Bord al organizației în privința operării datelor cu caracter personal.
• Soluţii informatice de securitate – noi am identificat 11 soluţii diferite, pornind de la cele clasice de securitate, pe care majoritatea organizațiilor le au deja, până la soluții de tipul Data Loss Prevention (DLP), dar și mai complexe.
4. Pasul 4 – Armonizarea și Alinierea tuturor proceselor interne ale organizațiilor: acesta va fi „Cuiul lui Pepelea”, însă dacă primii trei pași vor fi implementați cu succes, mai ales soluția de management GDPR, alinierea și respectarea standardelor va fi mult mai lină. De asemenea, va permite, mai ales, o monitorizare a respectării acestor normative în vederea evitării unor măsuri administrative sau amenzi ce pot afecta extrem de puternic imaginea și stabilitatea financiară a oricărei organizații mature.



Tags: securitate, GDPR

Parerea ta conteaza:

(0/5, 0 voturi)

Lasa un comentariu



trimite