Revista si suplimente
MarketWatch
Inapoi Inainte

GDPR la un an de la intrarea în vigoare. Ce s-a schimbat cu adevărat?

20 Iunie 2019



În decembrie 2016, după 4 ani de la propunerea inițială, Parlamentul și Consiliul UE au convenit în cele din urmă asupra Regulamentului privind Protecția Generală a Datelor (GDPR), ce a intrat în vigoare la 25 mai 2018. Astfel a început cea mai mare schimbare a regimului european de protecție a datelor din ultimii 20 de ani.

GDPR oferă un nou cadru general complex pentru protecția datelor, cu obligații sporite pentru orice organizație, iar amploarea, complexitatea și impactul operațional este fără precedent. GDPR se aplică oricărei organizații - indiferent unde își are sediul - care gestionează datele cu caracter personal ale cetățenilor Uniunii Europene.
Voi începe ca de fiecare dată în articolele despre GDPR prin a reaminti ultimul și cel mai dureros aspect al acestui regulament:

Consecințe pentru nerespectarea GDPR: proceduri administrative complexe și amenzi mari. Mai mult decât orice drept de fond nou sau procedură complexă, noua măsură GDPR care va atrage atenția C-Level-ului din orice organizație este dispoziția privind sancțiunile și amenzile. Într-o abatere strictă față de legislația anterioară privind confidențialitatea în Europa sau în altă parte, GDPR permite și încurajează autoritățile de reglementare să perceapă amenzi remarcabil de mari. Aceste amenzi pot depăși 20 de milioane de Euro sau 4% din cifra de afaceri globală anuală.
DACA ACUM 1 AN CONSIDERAM CĂ ÎNCĂ SUNTEM ABIA LA PRIMUL PAS – NIVELUL DE CONȘTIENTIZARE – OARE ÎN CE STADIU NE AFLĂM DUPĂ 12 LUNI DE IMPLEMENTARE?

GDPR - General Data Protection Regulation – After 1 Year
Overview in Facts




Încep prin a prezenta foarte succint o imagine de ansamblu ce reiese din datele oficiale prezentate de Comisia European:
Comisia a menționat că autoritățile naționale pentru protecția datelor de pe intreg teritoriul UE au primit aproape 150.000 de plângeri din partea cetățenilor din mai 2018 și până în prezent.
Împreună cu declarația comună, Comisia UE a lansat un grafic informativ, urmărind evoluțiile GDPR în primele opt luni de la implementare.

Statisticile cheie includ:
► Cele mai frecvente tipuri de reclamații raportate DPA:
• telemarketing;
e-mailuri promoționale și
supraveghere video / CCTV.
89.000 de notificări privind breșe in securitatea datelor au fost raportate DPA în întreaga UE.
440 de investigații în curs de desfășurare efectuate de autoritățile competente asupra încălcărilor GDPR transfrontaliere.
3 amenzi emise de UE pentru încălcările GDPR - cea mai mare amendă emisă a fost în valoare de 50.000.000 EUR pentru lipsa de consimțământ pentru prelucrarea datelor cu caracter personal.

În primele nouă luni ale perioadei în care a fost aplicat GDPR, totalul sancțiunilor impuse a crescut la 55.955.871 Euro, potrivit unui raport publicat la sfârșitul lunii februarie de către Comitetul European pentru protecția datelor.
Sună impresionant până când îți amintești - așa cum a subliniat Vivienne Artz, Chief Security Officer al companiei Rafinitiv, la panoul retrospectiv din Londra - că o amendă de 50 de milioane de euro percepută Google în ianuarie reprezintă aproape 90% din suma totală. Majoritatea companiilor nu au fost încă amendate pentru că nu au reușit să își protejeze datele clienților, iar majoritatea amenzilor sunt încă prea mici pentru a fi luate in considerare în statistici.
Chiar daca 50 de milioane de euro pare o suma mare, ea reprezintă o valoare destul de trivială pentru Google, care a adus venituri în valoare de 136,8 miliarde de dolari în 2018. Pentru comparație, 50 de milioane de euro, echivalentul a aproximativ 57 milioane de dolari, adică doar 0,04% din venitul companiei Google din 2018.
În concluzie cele câteva sancțiuni aplicate marilor jucători globali au ajutat la atingerea unui prag de 50% din companiile europene mijlocii și mari, care au ajuns la un grad minimal sau satisfăcator de „compliance” cu cerințele GDPR.
Era de aștepat ca lucrurile să se miște greoi și majoritatea să aleagă soluțiile de implementare și respectare a standardului GDPR folosind tehnica “minimei rezistențe”. În cazul de față companiile au ales cu predilecție soluțiile cele mai usoare și mai puțin costisitoare, inclusiv unde a fost cazul s-a trecut la formularul de consimțământ pe hârtie decât la actualizarea și optimizarea aplicațiilor informatice.
Ca un review din articolele mele anterioare, din rețeta de aliniere simplă în 4 Pași concreți pentru implementarea GDPR, concentrarea a fost pe primii 2:
Pasul 1 - Informare și conștientizare
Pasul 2 – Angajarea sau numirea unui responsabil pentru protecția datelor (DPO – Data Protection Officer)

... a urmat Parțial Pasul 3 – Implementarea soluțiilor informatice suport – aici s-au adus mici adăugiri/modificări soluțiilor existente, focusul fiind pe Formularul de Consimțământ – fizic sau electronic, rar existând implementări informatice reale și complete care se pot lăuda cu o aliniere la nivel „state of the art” cu toate prevederile standardului.
Pași mai importanți s-au făcut în raportarea breșelor de securitate majore, dar tot la nivelul în care au devenit publice și au fost de anvergură, cu un real impact în mediul social, fiind astfel preluate rapid și de mass media globală.
Destul de previzibil este și faptul că breșele mici sunt multe, trec ușor neobservate și evident neraportate.
A rămas aproape neatins Pasul 4 – Armonizarea și Alinierea tuturor proceselor interne ale organizațiilor
Motivul este destul de evident: cea mai importantă parte a implementării GDPR nu a ajuns încă la maturitate, pentru că este un proces complex care va dura foarte mulți ani de acum înainte până când organizațiile vor schimba mentalitatea și GDPR-ul va intra în totalitate în ADN-ul organizațional și toate procesele informaționale vor fi redesenate sau vor fi înlocuite cu altele noi, care vor ține cont de confidențialitatea datelor personale la un nivel nativ, încă din stadiul incipient de concept.

GDPR - General Data Protection Regulation – After 1 Year Overview in Mentality
Trecând peste cifre și statistici, personal consider că cea mai importantă realizare este crearea unui precedent unic, anume reglementarea identitații și confidențialitații personale în spațiul cibernetic global. Acest precedent reglementat de UE a dus la o conștientizare globală și a dat startul unor reglementări similare și în alte țări care nu sunt membre UE.
Astfel plecând de la direcția impusă de GDPR la nivelul UE, au fost concepute legi similare în Brazilia și California, legi influențate de GDPR. Legea LGPD, prima lege a Braziliei privind protecția generală a datelor, va intra în vigoare la 15 august 2020 și, similar cu GDPR, este o lege omnibus care acoperă multe principii de protecție a datelor.
Mai multe info despre LGPD vs GDPR: https://relentlessdataprivacy.com/gdpr-and-lgpd-the-differences-between-the-eu-and-brazils-data-protection-laws-your-business-needs-to-know/
În California, California Consumer Protection Act (CCPA) intră în vigoare la 1 ianuarie 2020, dar organizațiile au fost sfătuite să nu aștepte prea mult timp pentru punerea în aplicare a cerințelor CCPA, deoarece cererile consumatorilor pot acoperi datele pentru cele 12 luni anterioare solicitării. Legislația este inspirată parțial de GDPR, dar cu siguranță nu identică, acoperind în principal drepturile persoanelor vizate, dar nici una dintre celelalte obligații de responsabilitate incluse în GDPR.
Mai multe info despre CCPA vs GDPR: (https://iapp.org/resources/article/comparing-privacy-laws-gdpr-v-ccpa/)
Cel mai frumos aspect al replicării globale a standardului european GDPR este focusul privind drepturile persoanelor vizate si responsabilizarea globală privind confidențialitatea și intimitatea în spațiul cibernetic al fiecăruia dintre noi. Mai multe țări implementează reglementări pentru a ajuta la schimbul internațional de date și ar trebui sa ne așteptăm să vedem mai multe cazuri de legislație care încorporează elemente ale GDPR în următorii ani pe tot mapamondul.

GDPR - General Data Protection Regulation – After 1 Year Conclusions

Ca să concluzionam simplu si direct, primul pas al alinierii la standard a fost facut:
• Companiile mari s-au aliniat minimal cu focus pe minimizarea investiției, cele medii parțial, iar cele mici au renunțat pe cât de mult au putut la orice practici abuzive de tipul telemarketing, direct mailing sau orice altă modalitate de a folosi datele personale fără consimțământul persoanelor vizate pentru a nu risca să intre sub incidența sancțiunilor GDPR;
• Cetățenii au conștientizat dreptul lor la confidețialitate și astfel s-au folosit de oportunitatea de a face plângeri când au considerat că intimitatea lor a fost incalcată;
• Constientizarea globala - multe alte tari au redactat standarde similare si au inceput colaborarea la nivel inter-statal in ceea ce priveste schimbul international de date si impactul imens pe care il poate avea spatiul cibernetic asupra vietii noastre de zi cu zi.
Suntem pe direcția cea bună, ritmul de aliniere fiind cel prognozat în Mai 2018, să-i spunem optimist: „încet și sigur”.
Cel mai important lucru este faptul ca mentalitatea se schimbă și oamenii ințeleg că dincolo de legi si standarde europene sau globale, avem obligația de a ne auto-proteja conștient și responsabil propria identitate virtuală în spațiul cibernetic.
Este in primul rand alegerea noastră ca indivizi să ne protejăm datele personale și apoi în cazul în care confidențialitatea ne este încălcată abuziv să raportăm civilizat și bine intenționat orice abatere pentru a se lua măsurile ce se impun pentru limitarea intruziunii în viața noastră privată.



Tags: securitate, GDPR

Parerea ta conteaza:

(0/5, 0 voturi)

Lasa un comentariu



trimite