Revista si suplimente
MarketWatch
Inapoi Inainte

GDPR, de la principii la aplicații concrete

24 Mai 2018



GDPR este un subiect extrem de fierbinte zilele acestea și va rămâne la o temperatură ridicată încă mult timp după data de 25 mai 2018. La acest fapt contribuie în mare măsură și faptul că numeroasele prevederi ale noului regulament nu sunt corect înțelese, încă, de către organizațiile locale. În acest context, orice efort de a aduce puțină claritate în acest domeniu complex – precum recenta conferință Eset Security Days – este salutar.

Compania Axel Soft, unic distribuitor în România al soluțiilor de securitate Eset, a organizat recent conferința Eset Security Days dedicată problematicii GDPR, abordată atât din perspectiva specialiștilor companiei, cât și a consultanților în acest domeniu.
De departe însă, cel mai mare succes la public l-a înregistrat George Bălăiți, șef Serviciu control operatori la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), care a adus în discuție mai multe aspecte practice al noului regulament, de larg interes din momentul 25 mai.

Perspectiva Autorității asupra regulamentului
Reprezentantul ANSPDCP a abordat tranșant subiectul noului regulament de protecție a datelor cu caracter personal, subliniind că: „doar pentru unii este vorba de o noutate. Zilele acestea, toată lumea se plânge: operatorii, sectorul public, ministerele, toți spun că nu au știut de regulament. Țin să vă precizez că, deși regulamentul se aplică din 25 mai 2018, el a fost adoptat din 2016. Și că noi, Autoritatea, am început să discutăm și să ieșim în spațiul public, pe Internet, pe site-ul propriu, la televiziuni etc., încă din 2014."
Șeful Serviciului control operatori a trecut ulterior la analiza câtorva dintre principiile care stau la baza GDPR și a modului lor de aplicare:
• Prelucrarea datelor în mod legal, echitabil și transparent față de persoana vizată – „De aici pleacă totul: pentru orice prelucrare trebuie să existe un temei legal și un interes legitim. Nu poate exista scop personal când prelucrați date cu caracter personal, deci atenție maximă în definirea scopului și temeiului“, a insistat Bălăiți.
• Datele legale sunt colectate în scopuri determinate, explicite și legitime, fără a fi prelucrate într-un mod ulterior – „Atenție! – orice prelucrare ulterioară trebuie descrisă și stipulată clar în scopul explicit și trebuie să beneficieze de consimțământul persoanelor ale căror date cu caracter personal sunt prelucrate. Altfel riscați penalități.“
• Datele colectate trebuie să fie adecvate, relevante și limitate, raportat la scopurile în care sunt prelucrate – „Și aici trebuie să fiți atenți să reduceți la minimum datele: trebuie să le colectați numai pe cele de care aveți nevoie în conformitate cu scopul avut. Am întâlnit operatori care colectau foarte mutle date față de un scop declarat și întrebarea noastră a fost firească: «De ce colectați și CNP-ul, dacă nu aveți efectiv nevoie de el?» Iar răspunsul cel mai frecvent primit a fost: «Păi, ne-am gândit să fie, că nu strică»... Gândiți-vă la cât de multe date cu caracter personal aveți nevoie, de exemplu, pentru o campanie de marketing – numele și adresa de e-mail sunt de ajuns. Dar dacă cereți și CNP-ul și adresa fizică depășiți scopul inițial și vă expuneți riscului de a fi penalizați“, a avertizat reprezentantul ANSPDCP. Care a mai făcut o serie de precizări pe marginea unui subiect delicat: faptul că orice informație care poate să ducă la identificarea obișnuințelor, preferințelor și comportamentului unei persoane este considerată o dată cu caracter personal. „Să luăm, de exemplu, cumpărăturile făcute într-un supermarket de o persoană: dacă colectați date despre frecvența lor, despre modalitățile de plată, aceastea sunt informații care pot duce la creionarea unui profil al persoanei. (...) De aceea, trebuie să fiți prudenți, pentru că nu putem ști, în viitorul apropiat, ce va mai constitui dată cu caracter personal.“
Un alt aspect „principial“ adus în discuție a fost și cel al conceptelor de „Privacy by design“ și „Privacy by default“, introduse de GDPR. „Sunt două principii esențiale, dar... Experiența de până acum ne-a demonstrat că 95% din cazurile unui incident de securitate în industria telecom s-au datorat unui «Dorel». Prin urmare, nu uitați că trebuie să pregătiți resursa umană și să o instruiți periodic. Faceți acest efort, pentru că altfel vă expuneți business-ul unui risc foarte mare.“

Excepții de la raportarea incidentelor
Obligativitatea semnalării către autoritatea de control a unei breșe de securitate, în 72 de ore de la detectarea acesteia este o problemă care va da bătăi de cap multor organizații. Conform prevederilor GDPR, notificarea trebuie să conțină mai multe informații detaliate, printre care:
• descrierea naturii breșei de securitate;
• categoriile și volumul de date afectate;
• descrierea consecințelor probabile ale încălcării cerințelor de protecție a datelor;
• prezentarea soluțiilor de remediere a breșei.
„În 72 de ore de la constatarea unui eveniment trebuie să investigați incidentul și să completați un formular de notificare, pe care îl puteți descărca de pe site-ul nostru. Formularul trebuie semnat electronic – măsură pe care am adoptat-o pentru ca să eliminăm riscurile. Va trebui să ne notificați atât pe noi, Autoritatea, cât și persoanele vizate de respectivul incident de securitate, pentru ca acestea să poată lua măsuri de reducere sau anulare a potențialelor riscuri“, a precizat George Bălăiți.
Există însă și excepții de la regula notificării atunci când, de exemplu, incidentul de securitate nu este susceptibil să genereze un risc de securitate: „De exemplu, atunci când se pierde un suport de memorie criptat – dacă organizația poate demonstra că deține cheia de criptare în siguranță și că datele nu pot fi accesate, nu mai este necesară notificarea. Noi vă credem pe cuvânt, dar, dacă peste o luna, două, trei, informațiile respective ajung publice, atunci vom fi obligați să constatăm că nu ați adoptat suficiente măsuri de securitate.“
Și încă o precizare importantă din partea reprezentantului ANSPDCP: „În cazul unui incident de securitate, Autoritatea vă poate solicita să postați pe site-ul organizației dvs. un anunț în care să faceți public acest fapt, ce măsuri ați luat și ce măsuri recomandați persoanelor vizate să urmeze. Dacă veți refuza, vă vom trimite o decizie, iar dacă o refuzați și pe aceasta va trebuie să aplicăm acele amenzi de care ați tot auzit și care pot merge până la 4% din cifra de afaceri.“

Răspunsuri concrete de la Eset
Un al doilea pol de interes al conferinței a fost reprezentat de către prezentarea soluțiilor de securitate Eset care asigură conformitatea cu cerințele GDPR.
„Articolul 32 din GDPR privind securitatea proceselor aduce în prim-plan criptarea și precizează că procesatorul și operatorul de date trebuie să pună în aplicare măsuri tehnice adecvate pentru a asigura un nivel de securitate corespunzător datelor sensibile colectate, între care e inclusă explicit și criptarea. Prin urmare, companiile au nevoie de soluții de criptare care să poată fi administrate ușor de la distanță, cu politici de criptare eficiente și simple, care nu implică cunoștințe tehnice avansate din partea utilizatorilor. Eset Endpoint Encryption este proiectat tocmai pentru a asigura o usurință maximă în utilizare, aspect la fel de important precum cel al securității oferite“, ne-a declarat reprezentantul companiei Axel Soft, Cătălin Gligan.
Soluția Eset de criptare este completată de aplicația Secure Authentication, care oferă protecție impotriva practicilor eronate de utilizare a parolelor, fără să presupună utilizarea de hardware suplimentar dedicat. Aplicația asigură autentificarea securizată la VPN-ul companiei, la Outlook Web App, Exchange, SharePoint, Dynamics, Remote Desktop Web Access sau la aplicații custom, fiind concepută să utilizeze infrastructura existentă a companiei.
O a treia soluție care completează oferta Eset este Safetica. Aplicația ajută la atingerea conformității cu GDPR prin metode de audit a utilizării datelor, asistând implementarea de politici care impun ferm modul acceptabil de utilizare a documentelor.
„Modul complex în care amenințările informatice țin pasul cu dezvoltarea tehnologică face necesare sisteme de securitate informatică multi-stratificate. Cele trei soluții – Eset Endpoint Encryption, Secure Authentication și Safetica – răspund unor nevoi specifice, iar alăturarea lor îmbunătățește semnificativ nivelul de securitate, nu numai în ceea ce privește protecția datelor, ci la nivelul întregii infrastructurii de sistem. Alinierea la cerințele GDPR nu se poate realiza la un nivel satisfăcător fără a implementa soluții tehnice/software care să susțină procesele interne corespunzător. Iar faptul că numărul de cereri pentru astfel de aplicații a început să crească simțitor, ne confirmă faptul că piața începe să conștientizeze această nevoie“, a concluzionat Cătălin Gligan.

Companiile, pregătite nesatisfăcător pentru GDPR
„Având în vedere termenul la care a intrat în vigoare GDPR, considerăm că un număr redus de companii au avansat cu pregătirile pană la un nivel satisfăcător în raport cu noile reglementări. Întreprinderile și instituțiile din România întâmpină însă aceleași dificultăți ca și cele care își desfășoară activitatea în restul spațiului european. În principiu, companiile care activează în sectorul financiar-bancar și multinaționalele au reacționat mai rapid la aceste cerințe, începând mai din timp eforturile de aliniere. Însă mai sunt încă mulți pași de întreprins în rândul companiilor mici și mijlocii, acolo unde departamentele IT fac eforturi mari alături de management să regândească procesele prin care datele sunt colectate, stocate și securizate.“
Cătălin Gligan, Axel Soft



Tags: GDPR

Parerea ta conteaza:

(0/5, 0 voturi)

Lasa un comentariu



trimite