Revista si suplimente
MarketWatch
Inapoi Inainte

Schimbare de paradigmă socială

16 Februarie 2018



Aşa cum arată un material din acest număr al revistei, noul regulament general de protecţie date personale, emis de Uniunea Europeană şi care va intra în vigoare din 25 mai 2018, înseamnă mult mai mult decât o nevoie de întărire a securităţii informatice pentru firmele care colectează şi procesează date personale, sub umbrela ameninţătoare a unor amenzi extrem de aspre în caz de neconformitate cu prevederile.
Similar, acest regulament, încetăţenit deja cu denumirea formată din acronimul în engleză, GDPR, înseamnă mult mai mult decât simpla desemnare a unor responsabili cu protecţia datelor în cadrul firmelor pentru a şti, în caz de furt de date, pe cine să se dea vina şi, la o adică, cine să plătească oalele sparte. În paranteză fie spus, având în vedere cuantumul amenzilor potenţiale, îmi este greu să-mi imaginez cine ar accepta în cunoştinţă de cauză să primească o astfel de sarcină doar de dragul bifării unei liste de sarcini pe documentele firmei.
Regulamentul trece dincolo de existenţa singulară a unei firme şi are în vedere întreg ecosistemul de funcţionare al acesteia. Prin extensie uşor de realizat, se poate spune că are în vedere întreg ecosistemul social al unei ţări sau, aşa cum este cazul UE, al unei întregi pieţe comune cu sute de milioane de consumatori şi cetăţeni.
Ca o consecinţă a transformării digitale, companiile se bazează tot mai mult pe o gamă în expansiune de servicii, care au potenţialul de a introduce vulnerabilităţi de securitate cibernetică în ecosistem. Un exemplu ar putea fi edificator aici, în lumina prevederilor regulamentului menţionat mai sus (GDPR). Dacă un controlor de date pune datele personale ale cetăţenilor UE în cloud, iar furnizorul de cloud suferă o breşă de securitate, responsabili pentru daunele produse vor fi atât operatorul cât şi controlorul care i-a încredinţat primului datele spre procesare sau stocare. Ca atare, în cazul GDPR, riscurile asociate terţelor părţi devin extrem de importante şi trebuie adresate în avans.
O altă diferenţă esenţială indusă de GDPR este aceea că organizaţiile care activează drept controlori de date, aşa cum sunt furnizorii de servicii cloud, pot fi acum sancţionate direct de autorităţile de protecţie date personale. Ca atare, în vreme ce multe firme se concentrează asupra amenzilor substanţiale pe care le pot primi ca urmare a nerespectării prevederilor regulamentului, pentru o bună parte a lor riscul şi mai considerabil este acela că autorităţile pot opri procesarea de date, acţiune care va duce efectiv la oprirea activităţii oricărei organizaţii care se bazează pe astfel de procesări.
Vestea relativ bună pentru România este că, datorită caracteristicilor pieţei, nu sunt mulţi operatori potenţiali de date care să apeleze la terţi sau la servicii de tip cloud pentru procesare şi stocare de date. Iar cei care sunt aparţin în mare parte de categoria firmelor multinaţionale, mult mai obişnuite cu respectarea procedurilor şi actualizarea acestora în funcţie de nevoie.
Cum categoria operatorilor mici de date va fi supusă, cel mai probabil, răspunderii de tip individual pentru eventuale breşe de securitate, rămâne de evaluat o imensă categorie de operatori de date: diversele organisme şi autorităţi publice. Aici se poate vorbi cu adevărat de o imensă necunoscută la acest moment. Imensă mai ales prin dimensiuni, deoarece zona publică priveşte fiecare cetăţean din această ţară.
Să luăm un exemplu minuscul. Nu cred să existe cetăţean care să nu fi fost nevoit, în interacţiunea cu organismele publice, să furnizeze codul numeric personal pentru orice fel de bagatelă, deoarece "aşa e procedura". În orice societate, CNP-ul este o informaţie personală vitală şi trebuie gestionată cu mare prudenţă. Mai ales dacă este asociat în diverse ocazii de interacţiune, cu furnizarea de nume, prenume, adresă şi alte date personale.
În România n-am auzit nicio entitate publică, indiferent de categorie, să răspundă public pentru modul cum sunt gestionate şi securizate astfel de date personale. Ba chiar din contra, cred că nu sunt singurul care în continuare se trezeşte cu diverse telefoane (apeluri pe numere teoretic secretizate!) legate de sondaje sau oferte comerciale, ceea ce înseamnă că bazele de date ale unor operatori publici continuă să fie de vânzare bine mersi celui care oferă mai mult.
Odată intrat în vigoare, GDPR va însemna un imperativ de conformitate pentru toate entităţile care operează în spaţiul european sau care vor să interacţioneze cu astfel de entităţi din alte spaţii geografice. Uniunea Europeană înseamnă încă aproape două treimi din exporturi şi partenerul existenţial vital din punct de vedere economic. Uniformizarea entităţilor economice ale acestui spaţiu din punct de vedere GDPR înseamnă o obligaţie şi pentru entităţile româneşti, de orice natură, indiferent că vor sau nu.
Există, desigur, şi alternativă: refuzarea conformităţii, care duce, de data asta automat, la excludere din spaţiul operaţional comun. Îşi poate permite cineva aşa ceva, indiferent de opţiunile politice?



Tags: GDPR

Parerea ta conteaza:

(0/5, 0 voturi)

Lasa un comentariu



trimite