Cu o experiență de peste 13 ani în proiecte de audit (internet banking, securitate IT, proiecte IT, proiecte finanțate prin fonduri UE), consultanță (continuitatea afacerii, analiză de impact, analiza decalajelor, evaluarea  maturității  proceselor,  evaluarea  riscurilor, soluții tehnice de securitate – DLP, SIEM, endpoint etc), implementarea de  standarde  și  bune  practici  de  securitate (ISO 27001, COBIT, ISO 20000/ITIL) și instruire IT&C (CISA, CIPM), Adrian  Munteanu este profesor universitar doctor în cadrul Facultății de Economie și Administrarea Afacerilor – Univ. Alexandru Ioan Cuza din  Iași,  unde  predă  securitatea  informațiilor,  auditul sistemelor informaționale, guvernare și managementul serviciilor IT. În perioada  2017 -2018 a fost președintele  filialei din  România a  IAPP (International  Association  of  Privacy Professionals). Este  expert  ENISA  (European  Union  Agency  for  Network  and Information Security, 2014) în domeniul managementului riscurilor. De asemenea, este Certified Information Privacy Manager (CIPM) Computer Information System Auditor (CISA), Certified in Risk and Information Systems Control  (CRISC) COBIT Foundation Certificate, ITIL Foundation Certificate.

La invitatia Dpo-NET.ro - Data Protection Officers Network, acesta a acceptat să răspundă in exclusivitate la unele din cele mai arzătoare întrebări în domeniul protecției datelor din România.

Scopul GDPR-ului nu este de a da amenzi ci de a proteja persoanele. Cu toate acestea, după 3 ani de la intrarea în vigoare a Regulamentului doar 67% dintre Europeni au auzit de GDPR, în timp ce doar 36% au declarat că știu ce este acest regulament (date prezentate de Comisia Europeana în sondajul Eurobarometru). Credeți ca aceste cifre sunt rezultatul dezinteresului persoanelor în ceea ce privește de protejarea datelor lor?

AM: Putem să ne întoarcem în timp, în 2001 – cînd a apărut directiva europeană sau chiar mai devreme, la începutul Internetului. Păstrînd raportul, lucrurile au evoluat. Poate nu cu viteza dorită, dar cu certitudine gradul de conștientizare în aceste vremuri este mai mare. Nu cred că este „dezinteres„ ci mai degrabă lipsă de informare sau de explicații. Omul de astăzi caută să obțină lucrurile cît mai repede, cît mai ușor, cu un click. Și pînă nu este afectat direct, nu acordă importanță subiectului.

Pentru că nu a fost informat încă, acordă mai puțină importanță datelor oferite pe un site și mai multă reducerii sau prețului produsului/ serviciului pe care și-l dorește.

Educația însă ar trebui să înceapă din primii ani de școală: cum cauți informații pe Internet? Cum deosebești informațiile false? Cum identifici un site fals? Ce date oferi și de ce?

Care credeți ca vor fi consecințele acestei lipse de conștientizări a importantei datelor în rândul persoanelor, pe termen lung?

AM: : Sunt destul de sceptic. Consider că acum, la gradul de dezvoltare al tehnologiei – machine learning, artificial intelligence, big data, analytics – lupta cu apărarea vieții private în online este aproape pierdută. De fapt acum cred că facem „damage control„ – încercăm să protejăm ce se mai poate. Genetic nu sîntem ființe etice iar economic nu luăm decizii raționale. Vor exista în continuare suficienți oameni care își vor oferi datele în contrapartida unui bun sau serviciu.„Technics get the job, business does the money„. Trăim într-o economie bazată pe servicii în care informațiile despre consumator (comportment) sînt combustibilul cu care se alimentează motorul vînzărilor on-line. Ori de cîte ori constrîngerile/regulile contravin credințelor/dorințelor noastre sau cîștigul obținut va fi mai mare decît costul, vom fi dispuși să încălcăm regulile.

Un studiu ASCPD atragea atentia la inceputul acestui an asupra acestor statistici din unitatile medicale Romanesti: 37,44% din instituţiile sanitare cuprinse în analiză s-au confruntat cu incidente de securitate şi cu toate acestea 73,85% din total nu au implementat un plan de reacţie la incidentele de securitate. De asemenea, sondajul a scos în evidenţă că 70,26% încă folosesc adrese de email @yahoo.com şi @gmail.com în interes profesional în interiorul reţelei, expunând astfel organizaţia unor riscuri care pot fi evitate. Din sondaj a mai reieşit că 11,28% nu au implementat sisteme tehnice de protecţie antivirus, cel mai des invocând lipsa fondurilor. Cum comentati aceste rezultate ?

AM: Din interacțiunile mele, consider că situația este chiar mai gravă decît o relevă sondajul. Văd lucruruile din două perspective: una financiară și una care ține de viziune/strategie.

Pentru un spital, o investiție în licențele pentru o soluție antivirus reprezintă o sumă mare și nu este în prim planul obiectivelor. Dacă mai adăugăm protecția bazelor de date, soluții DLP etc…deja discutăm de sume consistente. Ar trebui să spună managerii spitalelor ce procent din bugetul anual al unui spital este alocat investițiilor, din acesta cît reprezintă investiții IT și din acestea cît investiții în Securitate. Vom discuta de procente mult subunitare, care tind spre zero. Prin urmareș știrile nu îmi spun nimic nou.

Cea de a doua perspectivă, are în vedere „rotița„ numită spital, ce face parte dintr-un angrenaj/sistem mai mare. Deși avem din 2013 o strategie de securitate cibernetică, abia odată cu transpunerea Directivei NIS în legislația națională se încearcă a se face ceva în direcția securității informațiilor. Sistemul informațional al unui spital nu este o insulă pe care o protejezi singular.

Având în vedere atacurile cibernetice asupra sistemului sanitar românesc din ultimele saptămâni, ce măsuri considerați că trebuie luate imediat ?

AM: Este cam dificil să ofer un răspuns general valabil în cazul spitalelor deoarece managementul este cel care a decis în fiecare caz în parte. Majoritatea spitalelor folosesc sisteme la cheie, fie pe serverele proprii, fie pe serverele furnizorilor. Informațiile medicale ajung și în SIUI sau la alți furnizori de servicii, chiar furnizorul soluției are de obicei acces total la datele medicale. Aș fi curios să citesc informații cu privire la numărul spitalelor publice din România care au un departament IT și numărul de angajați din departament.

Teoria ne învață despre „security by design„ -  adică să ne gîndim la protecția informațiilor încă din faza de proiectare/achiziție a unui sistem. Astfel costurile vor fi cu totul altele.

GDPR se referă la același lucru, scris altfel: „asigurarea protecției datelor începând cu momentul conceperii și în mod implicit „. Pornind de la această cerință putem să estimăm ce costuri presupune „pseudonimizare„ sau „criptarea datelor„. Se face cu ajutorul algoritmilor proprietari SGBDR-ului folosit de aplicații? Se cumpără o soluție la cheie? Cine face analiza? Cine identifică rolurile, drepturile și permisiunile?

Întrebările ar trebui să continue și vom ajunge la următoarele măsuri/soluții/controale minimale: criptare/pseudonimizare; copii de siguranță și arhivare; clasificarea datelor; prevenirea pierderii datelor (DLP); managementul conturilor utilizatorilor (inclusiv conturile privilegiate); managementul incidentelor; antivirus; managementul amenințărilor... Protecția datelor trebuie asigurată în toate cele 3 situații în care acestea se pot afla: utilizate, în tranzit sau stocate. Dacă am pune pe hîrtie costurile, vom constata că sînt mari. Foarte mari pentru o organizație iar pentru un spital, cred că sînt considerate enorme.

Dar asta nu este o scuză. Pentru că o mulțime din cerințele GDPR ar fi trebuit puse în practică începînd cu anul 2001 cînd a intrat în vigoare fosta lege 677.

Știrile din presă despre incidente de securitate confirmă că nu sînt deloc puține cazurile din practica autohtonă în care conformitatea înseamnă să te acoperi de hîrtii. Aproape nimeni nu verifică dacă ceea ce este scris prin acele hîrtii chiar funcționează în realitate. Cam asta se întîmplă și acum.

Este esențial ca persoanele să identifice prelucrările ilegale de date pentru a-și putea exercita drepturile. Cât este de important sa-ți cunoști drepturile atâta timp cât nu poți identifica o prelucrare ilegală? Pe ce ar trebui să se axeze campaniile de informare a persoanelor?

AM: : Utilizatorul obișnuit nu are de unde să știe dacă o prelucrare este ilegală sau nu. Este responsabilitatea managementului organizației să prelucreze datele legal.

Pentru că sînt și auditor, eu plec de la premisa că o prelucrare este legală dacă este permisă de lege („tot ce nu este permis, este interzis„) și nu dacă nu este interzisă de lege („tot ce nu este interzis, este permis„).

O campanie de informare ar trebui să fie simplă, într-un limbaj accesbil oricui, fără „legaleză„ sau „securITeză„. Aș spune că orice informație, implicit deci și datele personale, au valoare: pentru organizații; pentru individ, pentru societate și pentru terți. Aș prezenta exemple cu „suferința„/„daunele„ semenilor ale căror date au fost prelucrate ilegal, folosind ca exemplu furtul de identitate care poate conduce la pierderi financiare.

Am citit cît am putut despre amenzile date de autoritățile din țările UE. Nu am identificat nici o știre în care să se menționeze și ce prejudicii/daune au suferit oamenii afectați.

Care credeți că ar fi cea mai scurta cale spre creșterea gradului de conștientizare și complianta GDPR: educarea persoanelor sau educarea operatorilor?

AM: Educația/școala indivizilor, plecînd de la concret la abstract și nu invers cum se practică acum. Generațiile care vin din urmă sînt generații care s-au născut și au crescut cu tehnologii despre care noi, la aceeași vîrstă, nici nu știam că există. Ni le închipuiam de prin literatura SF

Organizațiile fac afaceri. Afacerile presupun riscuri pe care managementul și le asumă. Și acum, după mai bine de 2 ani, percepția este că dacă ai informare pe site, semnătura anagajatului, un cookie manager și un fișier Excel cu „evidența activităților de prelucrare„, se poate spune că ești „conform cu GDPR„. Multe organizații percep acest regulament ca o constrîngere ce induce costuri suplimentare și inutile.

În România, până în acest moment s-au acordat trei amenzi pentru nerespectarea GDPR deși autoritatea condus aproape 1.000 de investigații, adoptând o atitudine orientată spre prevenție și dispunerea de măsuri corective. Considerați că Amenzile au un rol important în aplicarea GDPR-ului? Din experienta dvs practică, cei mai mult operatori se conformeze cu GDPR-ul din responsabilitate sau de frica amenzilor?

AM: După cum am spus și anterior, o afacere înseamnă riscuri iar noi oamenii nu sîntem proiectați să fim etici. În prezentări folosesc de multe ori Biblia pe post de exemplu, cu scuze dacă unii consieră că fac o blasfemie. Dar și acolo, in metafora cu alungarea din Rai, avem o inteligență artificială, ceva machine learning, o amenințare și lipsa eticii.

Indiferent dacă vorbim de organizație sau individ, comportamentul este același: facem sau nu facem unele lucruri din 3 motive- de frică, pentru o recompensă sau din conștientizarea lucrului rău/incorect.

Credeți că instituțiile publice ar trebui sa fie un exemplu pentru restul operatorilor? Punem această întrebare pentru că în Romania avem un tratament preferențial pentru instituțiile publice, amenda maxima pentru nerespectarea GDPR-ului fiind de 200.000 lei (aproximativ 42.000 euro), cu mult inferior față de ceea ce risca operatorii privați.

AM: Nu am înțeles această diferențiere din legea noastră. În unele situații acea amendă va fi inferioară costurilor cu măsurile tehnice. Prin urmare de ce ar cheltui cineva mai mult decît amenda? Care și așa nu se aplică în momentul constatării neregulilor...

Aduc in discuție cartea unui laureat Nobel în Economie: Douglas North.

În studiul său instituţiile sînt definite ca fiind regula jocului. Instituţiile pot să includă familia, firma de curînd înfiinţată, pieţele de capital, sistemul de creditare bancară, sistemul juridic, clauzele contractuale, etc. În momentul în care regulile jocului oferă o motivaţie consistentă cu interesul individual, comportamentul oamenilor se va conforma în general regulilor formale (legislaţia, clauzele contractuale de exemplu). Dar dacă aceste reguli formale intră în conflict cu interesul individual, atunci oamenii vor fi motivaţi să încalce aceste reguli şi să suporte consecinţele acţiunilor realizate. Prin urmare, instituţiile determină costul tranzacţiilor şi influenţează alegerea indivizilor!

Instituțiile ar trebui să fie un exemplu pentru că este vorba de cetățenii statului nu de „clienți„

Cu toate că România înregistrează cel mai scăzut nivel de utilizare a serviciilor de internet dintre statele membre ale UE, 86 % dintre utilizatorii români de internet au conturi pe rețelele sociale, ceea ce ne face campionii Europei la acest capitol. Având în vedere scandalurile imense în care au fost implicate rețelele de socializare, fie prin breșele de securitate, fie prin utilizarea ilicită a datelor, putem considera că suntem și cei mai vulnerabili. Cum considerați ca ar trebui să se comporte un utilizator de internet, dacă ar fi constient de riscurile pe care internetul le ascunde?

AM: Nu știu cît de vulnerabili sîntem luați ca întreg. Dacă este conștient de riscuri, utilizatorul va ști și cum să se comporte. Dacă nu, va plăti, iar într-o bună zi își va da seama și cît l-a costat. Cînd numărul celor care consideră că „nu au nimic de ascuns„ se va reduce simțitor, vom putea spune că lucrurile au intrat pe drumul cel bun.

Accesul copiilor la internet este deja o normalitate. Ar trebui acest lucru sa ne îngrijoreze? Considerați că o educație privind privind accesul la internet al copiilor ar trebui sa fie o sarcina a părinților sau sistemul de învățământ ar trebui să-și asume acest rol?

AM:  Accesul la tehnologie nu trebuie să îngrijoreze pe nimeni. Evoluția este firească, avansul tehnologic este firesc. Căruța a fost înlocuită de automobil și oamenii nu mai mor călcați de cal ci în accidente auto. Cînd în 2009 ni se vorbea despre wireles ca fiind ceva comun, ni se părea greu de acceptat. Toate lucrurile au un ciclu de viață.

Cea mai bună și sigură investiție pe care o poate face un adult este în educația copiilor săi. Astfel ei vor deveni la rîndul lor niște adulți „mai buni„ iar evoluția este asigurată.

Școala este pe primul loc cînd discutăm despre „învățare„. Părinții sînt cei care ar trebui să dea coordonatele morale/etice ale copilului iar școala ar trebui să fie cea care instruiește. La o întrebare anterioară am spus despre spitale că sînt o „rotiță„ dintr-un sistem mai mare. Școala este altă „rotiță„

Facebook a lansat Study, un program de cercetare de piață bazat pe recompense. Cum vi se pare un asemenea concept: să fim plătiți pentru datele pe care le facem publice? Este acesta direcție una corecta?

AM: Piața trebuie să fie liberă. Rațiunea de fi a oricărei organizații este satisfacerea nevoilor acționarilor. Discuția este mai degrabă despre etică. Iar aici fiecare este liber să decidă după propriile principii.

Pot da alt exemplu care se aseamănă. Un lanț de magazine a lansat carduri de fidelitate. Cardul este nominal, acumulezi puncte ori de cîte ori faci cumpărături. Magazinul oferă și reduceri la anumite produse, moment în care punctele acumulate pot fi folosite. Constat însă că au trecut mai bine de două luni de cînd nu am văzut nici o reducere, a nici un produs. Și-a oferit clientul date personale contra cost? Bineînțeles. Magazinul analizează comportamentul clienților? Cu siguranță. Așa funcționăm noi.

Conform unui raport DLA Piper (GDPR data breach survey: February 2019), de la data aplicării GDPR-ului și pana în februarie 2019, Autoritatea de supraveghere din Olanda înregistrase 15,400 de notificări de breșe, în timp ce România număra la acea vreme doar 270. Care credeți că este motivul acestei discrepanțe? Suntem noi romanii un popor norocos și breșele de securitate ne evită, ori nu recunoaștem o breșă de securitate nici dacă ne împiedicăm de ea?

AM: Cred că mai degrabă ne încadrăm în a doua situație. Am impresia că și aici sînt mai multe cauze: rușinea și frica. Rușinea de a recunoaște că ai o problemă sau ai greșit ceva, respectiv frica de sancțiune. S-ar mai putea adăuga și...neștiința. Poate unii nici nu știu ca datele lor sînt pierdute, furate, vîndute.

Identificarea riscurilor este unul din cei mai importanți pași spre complianta GDPR. Dar dacă noi nu resuim sa identificam nici breșele, cum am putea identifica riscurile?

AM: Mă feresc să folosesc sintagma „conformitate GDPR„. Evaluarea riscurilor este o cerință, nu doar în GDPR, cu ajutorul căreia identifici în final controalele de care ai nevoie.

Teoria riscurilor este destul de complicată. Organizațiile își doresc „modele„ cît mai simple. Din păcate acest lucru nu se poate. Încerc să simplifică puțin lucrurile. Într-o organizație se întîmplă niște procese prin care se livrează bunuri și/sau servicii. Procesele implică oameni și aplicații/tehnologie. Aplicațiile implică echipamente/tehnologie și oameni. Procesele au nevoie de controale pentru ca lucrurile să se desfășoare într-un anumit fel.

Pentru a ști care sînt riscurile din IT (aplicații, echipamente și resurse umane critice) trebuie mai întîi să cunosc care sînt considerate a fi procesele/serviciile critice de către organizație. Chiar dacă discutăm despre riscuri IT, evaluarea acestora nu este doar sarcina departamentului cu același nume. Din perspectiva unui departament IT nici nu există riscuri. Cei din zona economicului au riscuri: să nu livreze bunui și servicii care, au „în spate„ tehnologie.

Impresia mea este că multe organizații au identificat riscuri doar cu privire la partea formală a cerințelor GDPR.

A trecut un an de la intrarea în vigoare a GDPR-ului. Ce s-a schimbat în decursul acestui an?

AM: Îmi este greu să pun un diagnostic general valabil. La începutul anului 2017 intereseul era destul de redus. Apoi, în 2018 a existat ceva efervescență din partea tuturor actorilor implicați. Nu pot să nu amintesc numărul imens de „consultanți GDPR„ care au apărut de nicăieri.  Este însă o evoluție firească. După cum spuneam, și aici discutăm tot despre un ciclu de viață.

Cum vedeți implementarea Directivei NIS în România? Care sunt cele mai mari provocări ? Ce măsuri au fost luate până în prezent ?

AM: Sectorul privat are cea mai mare competență în domeniul securității informatice, motiv pentru care  el trebuie să fie implicat activ în domeniul securității IT. Ori eu constat că acest lucru nu prea se întîmplă. Altfel nu îmi explic de ce, atunci cînd o lege este pusă în dezbatere publică și se primesc propuneri, nu prea se ține cont de nimic din cele ce vin dinspre industrie.

Legea 368/2018 a avut o viață cam complicată iar rezultatul mi se pare stufos, neclar ca terminologie și pe ici pe colo incomplet. Sînt acoperite aspecte care intră și sub incidența GDPR și de aici avem o anumită terminologie/cerințe. Băncile au reglementări/recomandări/ghiduri specifice (a se vedea EBA sau regulamentele BNR) dar intră și sub incidența acestei legi.

Mi-aș fi dorit să regăsesc în lege sintagme precum: „stadiul actual al tehnologiei„, „securitate implicită și din momentul proiectării„ sau „responsabilitatea managementului„,.Legea menționează „categorii„ de activități și pentru acestea vor fi elaborate „norme tehnice„. Dar sînt și „cerințe minime de securitate„.

GDPR-ul face referire la „proporționalitatea„/„adecvarea„ măsurilor de securitatea.

Legea 368 impune și ea obligativitatea operatorilor de servicii esențiale să implementeaze măsurile tehnice și organizatorice adecvate și proporționale.

Eu am o anumită înțelegere asupra „proporționalității„ și „adecvării„, dar mă întreb: oare o fi corectă, atît timp cît legea nu spune la ce se referă cele două carcateristici?

Cine credeți ca ar trebui să se implice mai mult în diseminarea importantei datelor personale? Instituțiile publice, Autoritățile naționale de supraveghere sau ONG-urile din domeniul protecției datelor?

AM: Cît de mult ar trebui să se implice cei nominalizați de dvs. îmi este cam greu să spun. Pot însă să afirm că este o responsabilitate partajată: părinți, școală, ANSPDCP, ONG-uri. Fac însă o mențiune: ONG-urile fac muncă voluntară și nu se pot substitui unor responsabilități ce revin instituțiilor publice. Acestea din urmă ar cam trebui să fie în linia întîi.

Cătălina Lungu este Responsabil cu protecția datelor (DPO) si Consultant GDPR la Proactiv Cons SRL , fiind licențiată în managementul firmei și absolventă a cursurilor postuniversitare în protecția datelor cu caracter personal (2019). Din luna mai 2019 este Director de Comunicare în cadrul Asociației Specialiștilor în Confidențialitate și Protecția Datelor din România, în iulie 2019 câștigând și titlul de “Best DPO of Romania” acordat de Universitatea de Medicină, Farmacie și Științe și Tehnologie din Târgu Mureș, în cadrul concursului “Papiu Ilarian Data Protection Moot”. Cu o experiență antreprenorială de peste 17 ani în domeniul producției, cunoaște în detaliu mecanismele organizaționale. Avand în vedere succesul de care se bucura perioada "Black Friday" in Romania si riscurile care au aparut in privinta prelucrarii datelor cu caracter personal, Cătălina a acceptat sa ofere un interviu in exclusivitate pentru dpo-net.ro. 

Black Friday este cea mai aglomerată perioadă de cumpărături a anului, pentru că, să fim sinceri, tuturor ne plac discounturile. Dar goana dupa chilipiruri ne face sa ignoram mici detaliii. La ce ar trebui să fie atenți cumparătorii să în această perioadă, în special în ceea ce privește protejarea datelor personale?

C.L: Având în vedere faptul că în această perioadă atenția cumpărătorilor este direcționată într-o mai mare măsură către a analiza multitudinea de oferte lansate de magazinele participante la BlackFriday2019, pentru a putea lua cea mai bună decizie de cumpărare și dată fiind presiunea dată de perioada scurtă de valabilitate și disponibilitate a ofertelor, cea mai mare parte a persoanelor care fac cumpărături online omite, din păcate, să acorde în continuare, sau în mod adăugat, atenție și modului în care datele cu caracter personal le sunt prelucrate. Acesta este un bun moment când este de datoria profesioniștilor care lucrează în domeniul protecției datelor cu caracter personal să tragă semnalul de alarmă și să îndeplinească oarecum un rol de ”reminder” cu privire la riscurile pe care comerțul online le comportă sub acest aspect.

De fapt, persoanele vizate, în această perioadă, trebuie să manifeste un interes sporit pentru modul în care datele lor cu caracter personal sunt folosite de titularii de site-uri, într-un mod direct proporțional cu dorința acestora de a menține propriile date personale în condiții de păstrarea a confidențialității, ca un manifest al dreptului acestora la intimitate și viață privată.

Cât de tare ne poate afecta o încălcare a acestora sau o eventuală bresă de securitate? Care sunt cele mai frecvente riscuri la care se expun „online shopper-ii” de  Black Friday? 

C.L: În primul rând, pentru a putea răspunde la această întrebare, este necesar să cunoaștem natura cumpărăturilor accesate online, în condițiile în care divulgarea unor anumitor tipuri de cumpărături comportă mai multe riscuri decât pot genera alte tipuri. Pentru a avea o dimensiune clară a acestei afirmații, vă invit să vă imaginați o situație în care ajung publice informații cu privire la cumpărarea, de către o persoană, a unor suplimente alimentare pentru tratarea infertilității sau achiziționarea unor gadget-uri dintr-un sex-shop virtual; acestea sunt date cu caracter personal de natura celor sensibile, așa cum sunt și datele financiare constituite de prețul de achiziție a cumpărăturilor efectuate. Putem aminti, prin urmare, un risc de devoalare a intimității persoanei vizate prin divulgarea neautorizată a cumpărăturilor prilejuite de această campanie, devoalare ce poate conduce spre etichetări, desconsiderări sau judecăți emise de terții care iau la cunoștință aceste date, terți printre care se pot afla prieteni, dar mai ales alți oameni cu care titularul datelor nu este în relații armonioase. Decizia de a face cunoscute și, mai ales cui, datele personale este și trebuie să rămână în continuare apanajul proprietarului acestora, respectiv persoana vizată. 

Datele cu caracter personal, indiferent de tipul și categoria din care fac parte, odată puse la dispoziția mediului online, sunt expuse diseminării necontrolate în lipsa măsurilor de securitate adecvate, iar prejudiciile persoanelor vizate sunt multiple, semnificative și cu efecte pe o perioadă nelimitată de timp.

Dincolo de aspectele emoționale și de imagine, prejudiciile persoanelor vizate pot fi și de natură financiară, prin prisma accesării unor date financiare (cont bancar, număr card, etc.) de către persoane cu interese ilicite. Universul prelucrărilor de date cu caracter personal în mediul online este expus necontenit amenințărilor de tipul inserării de viruși și viermi de rețea, de troieni, rootkit-uri sau spargerea calculatorului pentru colectarea datelor pe care acesta le conține. O categorie de amenințări virtuale demne de luat în seamă sunt tehnicile de phishing și pharming care induc fraudulos în eroare  utilizatorii de internet. De altfel, statistic vorbind, peste 90% dintre atacurile cibernetice sunt îndreptate împotriva utilizatorilor casnici de internet, iar evenimente online de anvergura campaniei Black Friday prilejuiesc o întețire a activităților infracționale online. Toate aceste informații se regăsesc inclusiv în Ghidul consumatorului de reduceri, pus la dispoziție de Asociația Specialiștilor în Confidențialitate și Protecția Datelor, disponibil pe site-ul propriu (www.ascpd.ro), în secțiunea campanii de informare.

Un alt risc, care nu este deloc de neglijat, este partajarea neautorizată a adresei de mail a persoanei vizate, de către site-ul pe care aceasta a comandat produse, cu diverse alte magazine online ce preiau această adresă și ulterior efectiv o bombardează cu newsletters, promoții inimaginabile și alte asemenea comunicări de marketing ce ajung efectiv să agreseze persoana vizată care, dintr-o dată, constată că se află într-o gravă criză de timp, mai ales, pentru a solicita fiecăruia restricționarea transmiterii acestui tip de corespondență.

În lumina celor spuse deja pe acest subiect, ca și conduită generală, recomandarea mea este ca fiecare utilizator să utilizeze site-uri sigure și să verifice informațiile pe care le accesează, pentru a nu fi o nouă victimă a știrilor false ce sunt atât de mult utilizate în mediul online sub denumirea de fake-news.

Dar magazinele online, ce trebuie ele să facă pentru a-și proteja clienții și implicit să se asigure că nu fac obiectul unei anchete a autorității de supraveghere și eventual a unei sancțiuni?

C.L: Pentru comunicațiile din mediul online, în completarea GDPR dar nu neapărat, acționează prevederile Legii 506/2004, a cărei încălcare este constatată și sancționată tot de Autoritatea Națională de Supraveghere a Prelucrărilor de Date cu Caracter Personal. Și, dacă tot veni vorba despre sancțiuni, aș dori să aduc în discuție un argument solid în favoarea aplicării unitare a sancțiunilor privind neconsemnarea consimțământului prealabil, exprimat în mod expres și fără echivoc a persoanei vizate cu privire la transmiterea de mesaje comerciale de către doi operatori de date cu caracter personal care diferă ca și grad de notorietate și dimensiunea afacerii promovate prin site-ul propriu. Este vorba despre amendarea, pentru aceeași abatere și cu aceeași sumă de 10.000,00 lei, atât a cunoscutului magazin online gestionat de Elefant Online S.A. (https://www.dataprotection.ro/?page=Amenda_Elefant_Online&lang=ro) , cât și a operatorului Artmark Holding S.R.L. (https://www.dataprotection.ro/?page=Comunicat_Presa_Amenda_Artmark&lang=ro), mai puțin cunoscut publicului larg. De aici, putem constata fără echivoc, tratamentul egal al operatorilor de date cu caracter personal, în evaluarea abaterilor constatate pentru acest tip de prelucrare de date cu caracter personal, indiferent că este vorba de o companie consacrată cu o cifră de afaceri importantă ori de o firmă de mai mici dimensiuni, cu un grad de notorietate mai mic. În ambele cazuri, prejudiciul de imagine este cel mai apăsător, dat fiind că acest tip de prejudiciu are ca rezultantă scăderea încrederii utilizatorului site-ului respectiv.

Revenind într-un registru mai plăcut și mai aproape de zona de control a operatorilor de date în mediul online, reiterez faptul că, pentru asigurarea legalității prelucrărilor de date personal, titularii site-urilor trebuie în mod permanent să se asigure că persoana vizată ce le calcă pragul virtual este informată corespunzător cu privire la utilizarea datelor cu caracter personal prin publicarea și menținerea în formă actualizată a unei note de informare/politică privind prelucrarea acestor date conform cerințelor instituite prin GDPR, a unei politici de utilizare cookies și punerea la dispoziția vizitatorului a unei modalități facile e acordare neviciată a consimțământului de prelucrare precum și de retragere necondiționată a acestuia; la completarea formularelor de înscriere la newsletter se vor urma pașii corecți și concreți de obținere a acordului asumat pentru prelucrările viitoare, prin acordarea garanțiilor adecvate privind prelucrarea datelor furnizate cu acest prilej. Totodată, se va avea în vedere facilitarea exercitării drepturilor persoanei vizate, drepturi consemnate în cuprinsul Cap. III din Regulamentul (U.E.) 679/2016.

Ca specialist în protecția datelor vedeți totul dintr-o altă perspectivă. Cum ați caracteriza „online shopper-ul” din România? Este el conștient de riscuri? Știe el cum să își protejeze datele?

C.L: Din păcate, populația României se află încă în zorii procesului de conștientizare a importanței datelor cu caracter personal, așa cum ne și arată concluziile studiilor de dată recentă. Este nevoie de un efort susținut al mediului profesional în domeniul protecției datelor cu caracter personal pentru a realiza o educație punctuală, în baza unor planificări realiste și de ansamblu a acțiunilor de întreprins în acest sens. 

Și, referindu-ne la pașii primordiali ai acestui proces ce nu poate fi decât unul îndelungat și laborios, găsesc că prima categorie de persoane vizate a căror ochi ai minții trebuiesc deschiși cu privire la datele cu caracter personal sunt copiii, ca semințe a unui viitor mai rațional și conștient despre impactul datelor cu caracter personal la nivel micro, dar și macro, din punct de vedere social. De altfel ASCPD își propune cu prioritate să realizeze acest lucru în viitorul apropiat, ca o inițiativă privată, posibil a fi susținută datorită cotizațiilor membrilor ce au ales să se înscrie în acest ONG și, în acest fel, să pună umărul la împlinirea acestui început.

Cu alte cuvinte, este chiar mult de lucru la acest capitol, dată fiind și lipsa de reacție a oamenilor la introducerea supravegherii video ce utilizează tehnologia de recunoaștere facială în spațiile publice. Este adevărat, așa cum spune și zicala românească „unde-i lege, nu-i tocmeală”, însă și legile sunt făcute tot de oameni pentru oameni și trebuie să rămână printre prioritățile astringente asigurarea dreptului oamenilor la intimitate și viață privată. 

În același context, nu pot rămâne într-un registru pesimist cu privire la percepția importanței datelor cu caracter personal de către persoana vizată, în condițiile în care, din datele făcute publice de Autoritate, numărul plângerilor primite de acesta este într-o continuă creștere semnificativă – un indicator ce ne arată că oamenii încep să se trezească în a-și apăra dreptul la protecția datelor cu caracter personal. Să rămânem încrezători, așadar!

Ce îi sfătuiți pe cei care vânătorii de chilipiruri, în special în această perioadă?  Cum se pot ei proteja în mediul online pentru a nu cădea în plasa persoanelor rău intenționate?

C.L: La această întrebare îmi propun să răspund într-un mod cât mai punctual și voi promova recomandările generale făcute de ASCPD cu privire la securizarea activităților online a persoanei vizate, cu acest prilej. Prin urmare, pentru a fi echipați corespunzător navigării în magazinele online, ne vom asigura că avem echipamentele IT folosite cu soluții firewall și antivirus instalate și active, vom evita accesarea rețelelor de WiFi când facem cumpărături online și pentru acesta furnizăm datele cu caracter solicitate în momentul cumpărării - pentru aceste tipuri de activități vom utiliza exclusiv rețelele personale sau pe cele publice criptate (care utilizează Virtual Private Network). Vom prefera să cumpărăm produsele dorite de pe site-uri cunoscute sau verificate (de văzut dacă adresa site-ului respectiv începe cu https://www.....), iar parolele utilizate vor fi diferite pentru fiecare cont în parte, neintuitive (lipsite de predictibilitate) și compuse dintr-un șir complex de caractere alfanumerice și caractere speciale. Plata cumpărăturilor efectuate la comercianții online se va face cu carduri de credit, pentru trasabilitatea operațiunii efectuate și vom trata cu un grad ridicat de suspiciune ofertele cu reduceri nesustenabil de mari, în condițiile în care o reducere de 95% n-ar putea fi considerată realizabilă -  o tehnică asociată fenomenului de fake-news, nimic mai mult decât un paravan folosit cu scopul extragerii ilegale a unui volum semnificativ de date cu caracter personal din dispozitivul ce accesează „oferta”. O atitudine vigilentă în mediul online înseamnă să nu accesăm ofertele senzaționale anunțate printr-un link primit pe e-mail (cu atât mai mult de la expeditori necunoscuți), mesaje text, rețele de socializare sau găsite pe site-uri obscure, deoarece acesta este foarte probabil să ascundă programe malware care, odată instalate clandestin în device, se vor îndestula cu toate datele personale găsite acolo. O soluție fiabilă și confortabilă de gestionare securizată a corespondenței electronice este aceea de a utiliza o adresă de email dedicată shopping-ului online, reducând astfel posibilitatea pierderii datelor noastre cu caracter personal dar și a unei cantități considerabile de timp necesar a fi alocat activității de igienizare a căsuței poștale electronice, în caz contrar.

În completarea recomandărilor descrise până acum, îndrum persoanele ce fac cumpărături online să citească efectiv informările puse la dispoziție pe site-ul accesat, cu privire la prelucrările ce vizează propriile date personale și să nu furnizeze datele personale fără a ști exact cum urmează să fie folosite acestea. Atenție la faptul că, odată obținut consimțământul persoanei vizate, până la retragerea acestuia, prelucrările efectuate în acest interval sunt legale, sens în care se diminuează semnificativ posibilitatea sancționării operatorului de date pe temeiul nerespectării principiului legalității consemnat de GDPR. În același timp, la părăsirea site-ului după finalizarea comenzii, este dezirabilă delogarea din contul de pe site-ul respectiv, pentru a nu lăsa ușa întredeschisă hacker-ilor ce efectiv vânează acest tip de oportunități în a-și procura seturi de date cu caracter personal pe care le mai apoi valorifică pe piețele negre de profil.

Ce putem face dacă realizăm că suntem victime ale unei breșe de securitate? Ce drepturi avem și cum trebuie să reacționăm odată ce știm că datele noastre au fost expuse? 

C.L: Condiția de bază, sine qua non exercitarea drepturilor persoanei vizate să fie posibilă, este aceea ca persoana respectivă să cunoască, măcar în linii mari, care îi sunt drepturile pe care GDPR le garantează. Orice persoană fizică trebuie să știe că, pe lângă deja celebrul drept de a-și retrage oricând și necondiționat consimțământul dat, mai are și dreptul la informare cu privire la toate operațiunile de prelucrare în care sunt implicate datele lui, dreptul de a avea acces la prelucrările la care datele sale sunt supuse de oricare dintre operatori,  dreptul de a-și rectifica/actualiza datele prelucrate de operator, dreptul la ștergerea datelor – cunoscut și sub sintagma „dreptul de a fi uitat”, dreptul la restricționarea prelucrării – care intră în rezonanță cu obiectul amenzilor pe Legea 506/2004 amintite anterior, dreptul la portabilitatea datelor către un alt operator la cerere, dreptul la opoziție când identifică prelucrări ce sunt excesive și dreptul de a nu face obiectul unei decizii automatizate, inclusiv crearea de profiluri mai ales fără intervenția factorului uman. Pentru a consolida impunerea respectării acestor drepturi, legiuitorul a prevăzut și consemnat, în oglindă, principii de prelucrare pe care operatorul de date este obligat să le respecte, ca de exemplu cum este formulat principiul transparenței prelucrărilor în balans cu dreptul la informare a persoanei vizate, deoarece informând-o pe aceasta, implicit principiul în discuție este transpus în realitatea curentă.

În situația în care, informată și vigilentă fiind, persoana vizată constată încălcarea oricăruia dintre drepturile sale, în spiritul bunei credințe și ca o dovadă a dorinței exclusive de rezolvare, însă nu obligatoriu, firesc este a se consuma o etapă amiabilă în cadrul căreia, în baza solicitării persoanei vizate, operatorul de date să constate și eventual să remedieze situația constatată în termen de 30 zile, 60 zile în situații excepționale justificate corespunzător. Persoana vizată poate inclusiv să se adreseze Autorității cu o plângere, prin completarea formularului disponibil online pe site-ul ANSPDCP – www.dataprotection.ro, aceasta având obligația să se autosesizeze din oficiu și să demareze cercetarea necesară pentru soluționare.

Riscurile despre care ne-ați vorbit mai devreme, sunt aplicabile doar mediului online sau pot fi întâlnite și offline? Sunt mai mici riscurile dacă mergem la un magazin fizic să ne facem cumparaturile?

C.L: Mulțumesc pentru această întrebare, deosebit de utilă, în situația în care mediul online al prelucrărilor de date cu caracter personal acaparează aproape toată atenția și prelucrările de date din mediul offline al operatorilor de date tind să fie lăsate într-un con de umbră. Ei bine, da, și magazinele offline au anumite obligații de îndeplinit când vine vorba de interacțiunea cu persoana vizată, interacțiune prilejuită de punerea în vânzare a produselor din portofoliu. 

Recomandarea mea pentru persoana vizată este ca în acest mediu să acorde atenție sistemului de supraveghere video ce este utilizat și să citească informările specifice disponibile în loc vizibil sau să solicite comerciantului aceste informații în lipsa afișării lor. Persoana vizată trebuie informată în ce scop este folosit acest sistem, care este temeiul prelucrării, pentru ce perioadă sunt stocate înregistrările, cu cine și în ce condiții sunt partajate aceste înregistrări și să îi fie comunicate date de contact în vederea exercitării drepturilor pe care le are. Totodată, trebuie știut faptul că nu este permisă orientarea obiectivului camerelor de luat vederi către interiorul cabinelor de probă sau la casă către dispozitivul în care se introduce codul PIN al cardului, în momentul efectuării plății.

O altă chestiune care persoana vizată e bine să manifeste un real interes este capacitatea magazinului de a asigura confidențialitatea tranzacției financiare la achitarea produselor, prin asigurarea limitei de discreție cuvenite pentru tastarea PIN-ul de la card,spre exemplu, în condiții de confidențialitate deplină. Magazinul trebuie să aibă o politică generală de confidențialitate a datelor cu caracter personal, disponibilă public, caz în care și varianta publicată online este acceptată.

În calitate de fost Director de dezvoltare a afacerilor la Cambridge Analytica, Brittany Kaiser este un celebru denuntator, demascând modul în care au fost influențați și manipulați oamenii, transformand datele în adevarate arme în acest război psihologic. Fondatorul organizației Own Your Data și al campaniei #OwnYourData promovează și implementează educația digitală și participă activ la proiecte de educație în domeniul protecției datelor. Este personajul principală al documentarului original Netflix „The Great Hack” și autorul cărții Targeted.

Participand la #WebSummit 2019, a acceptat să ofere un interviu în exclusivitate pentru Dpo-NET.ro despre interventiile straine in campaniile electorale din ROMANIA si importanta DPO-ului si recomandari pentru fiecare dintre noi.

În acest weekend avem alegeri prezidențiale în România. Referitor la informațiile care au vizat țara noastră, prezentate în documentarul Netflix, ne puteți oferi mai multe detalii? Ca o glumă, știți cine a câștigat deja aceste alegeri?

Nu am informații despre consultanții politici internaționali care lucrează acum în România, dar cu siguranță Cambridge Analytica a lucrat în România. Nu-mi amintesc pentru ce partid, însă Cambridge Analytica nu a fost singura companie. Cambridge Analytica avea și o companie similară care reprezenta cealaltă parte. Deci, este foarte important ca oamenii să fie conștienți că influența străină în alegeri este o realitate, companiile de consultanță politică sunt reale și nu au dispărut doar pentru că Cambridge Analytica nu mai există.

Așadar, este important ca oamenii să-și amintească că, în timpul alegerilor, ar putea fi ținta unor dezinformari. Ar putea fi influențați prin mesaje care să îi determine să nu ia parte la procesul electoral. Încercați să nu share-uiți astfel de mesaje mai departe pe rețelele de socializare. Întotdeauna ieșiți la vot, nu deveniți indiferenți față de ce se întâmplă pe scena politică și rămâneți implicați, indiferent de ce vă sugereaza o reclamă pe Facebook.

Există o soluție pentru combaterea știrilor false și a dezinformării?

Există soluții, dar abia acum încep să create. Cred că are de-a face foarte mult cu tehnologia blockchain, este foarte importantă identificarea și urmărirea faptelor și verificarea provenienței știrilor, dacă respectă ghidurile etice sau dacă jurnaliștii de investigație sunt persoane reale.
Trebuie să putem verifica articolele fără o documentare serioasă și din surse îndoielnice, pe care orice persoană le poate publica.

Care este cel mai bun sfat pentru mine ca catățean și consumator?

Sfatul meu este ca toată lumea să aibă grijă la modul în care sunt protejate datele personale. Trebuie să citiți termenii și condițiile, înainte de a descărca o aplicație și să realizați că în acel moment datele voastre sunt deja colectate. Dacă decideți că nu sunteți de acord cu termenii, atunci trebuie să vă dați seama că nu puteți utiliza aplicația respectivă, alegând confidențialitatea în dentrimentul confortului. Și dacă începeți să faceți acest lucru zilnic, atunci treptat veți fi capabili să recunoaști o prelucrare corecta și transparentă, și veți putea decide dacă vă împărtășiți datele sau să vă păstrați confidențialitatea, realizând că totul are un cost.

Dacă ne referim la Responsabilii cu protecția datelor, aveți o recomandare pentru aceste persoane care au devenit protectorii confiențialității ?

Fiecare Responsabil cu protectia datelor trebuie să impună organizației pentru care lucrează utilzarea datelor clienților, într-un mod cât se poate de transparent. Spuneți-i clientului ce date colectați despre el, nu utilizați politici de confidențialiatete confuze, spuneți clientului ce date doriți de la el, cereți-i să își actualizeze propriile date. "Acestea sunt datele tale pe care noi le deținem. Datele acestea mai sunt actuale? Încă vă plac aceste lucruri? Aveți aceeași culoare preferată? Aveți aceleași prefeințe pentru micul dejun?". Dacă veți răsplăti clienții oferindu-le un stimulent pozitiv, probabil că veți obține un set date relevante, în timp real, pe care le puteți utiliza eficient. Astfel, oamenii vor avea ocazia să inteleagă de ce aveti nevoie de datele lor și să își dea acordul pentru prelucrarea acestora.

Când un DPO lucrează pentru o organizație, acesta luptă pentru protejarea intereselor companiei sau pentru interesele persoanelor?

Responsabilii cu protectia datelor acționează în interesul persoanelor și se asigură că organizațiile respectă regulile etice pentru a-și proteja clienții.