Ana-Maria Udriște: “ Este foarte important să alegi o persoană care să te ajute în implementarea GDPR și să te facă să înțelegi că documentația nu este suficientă”

INTERVIU EXCLUSIV

Vizualizari: 7850

Facebooktwittergoogle_plusredditpinterestlinkedinmail

“România, trei amenzi GDPR, două premiere europene”, așa am putea sintetiza contextul în care se află țara noastră, asistând în ultimele zile la o lecție GDPR în trei acte: sistemul bancar, turismul și serviciile. Nu este un lucru negativ, din contră, denotă curajul Autorității noastre de supraveghere de a merge pe căi încă nebătătorite. Dacă amenda aplicată UniCredit aduce pentru prima dată în atenția tuturor principiul GDPR de confidențialitate prin design (“privacy by design”), ce-a de-a doua amendă aplicată WTC a fost fundamentată pe principiul responsabilității operatorului de a implementa și mai ales respecta măsurile tehnice și organizatorice de protecție a confidențialității datelor cu caracter personal. Ultima amendă aplicată până în prezent a fost o surpriză pentru noi toți, mai ales pentru că a vizat o companie de consultanță juridică cunoscută și pentru lansarea primului kit de documente GDPR din România. Am realizat cu toții că oricine dintre noi poate avea o breșă de securitate, indiferent de domeniul de activitate și de nivelul de profesionalism.  
Ana-Maria Udriște, fondatorul avocatoo.ro, a acceptat invitația noastră de a acorda un interviu în exclusivitate pentru dpo-NET.ro, oferind informații importante care ne vor ajuta să ne reamintim că responsabilitatea noastră se extinde și asupra acțiunilor angajaților sau, în cazul de față, a partenerilor de afaceri. 

Ana-Maria Udriște este avocat specializat în dreptul afacerilor și pasionată de tehnologie și modul în care se poate face legătura între domeniul juridic și oamenii care nu au treabă cu el, facilitându-le accesul la informație printr-un limbaj simplu și comun. Este fondatorul site-ului avocatoo.ro, prin care și-a propus să educe și să alfabetizeze juridic societatea și astfel să  ajute persoanele să se dezvolte, cunoscând nu doar drepturile pe care le au, ci și cum și se poată proteja. A reușit să explice dreptul într-un limbaj cât mai accesibil și să ofere servicii juridice online, concentrându-ne pe rezolvări concrete ale spețelor sau dilemelor vizitatorilor, nu doar pe oferirea unor soluții. De când a intrat în scenă GDPR-ul, s-am aplecat și asupra acestui domeniu. “Cred în acest set de reguli, cred în tehnologie și o folosire corectă a ei, astfel că până în prezent, eu și echipa avocatoo.ro, am reușit să punem pe picioare o bază consistentă de articole și documente prin care încercăm să elucidăm împreună fenomenul. Pe scurt, nu vindem GDPR, ci oferim un punct de plecare și înțelegere persoanelor interesate de acest domeniu, nou încă pentru majoritatea, și în continuă schimbare.” declară pentru dpo-NET.ro Ana-Maria Udriște. 

Este o premiera europeana amendarea unei companii care ofera servicii de consultanta si implementare GDPR si vorbim in acest caz chiar de compania condusa de Dumneavoastra (avocatoo.ro). Cum a fost posibila o astfel de bresa de securitate si ce masuri ati luat imediat dupa identificarea acesteia ?

U.A: Când am făcut migrarea site-ului de pe un host pe celălalt, a fost folosit un plug-in de WooCommerce pentru a migra o bază de date inactivă, care conținea date criptate despre tranzacțiile online, care vizau persoane juridice. În una dintre versiunile de back-up a rămas o versiune parțială a acestui fișier - care nu a apărut nici măcar la testarea online pentru vulnerabilitate. Iar persoana care a știut exact să se uite, pentru că s-a mers direct pe link, a făcut și plângerea. Din momentul în care am fost informați, lucru care s-a întâmplat prin intermediul chatului online de pe site chiar de către persoana care a făcut plângerea despre această vulnerabilitate, am securizat totul în mai puțin de 10 minute, fapt confirmat chiar și de respectiva persoană în cadrul conversației.

Autoritatea a spus că la data de 1 februarie 2019 informațiile erau disponibile în mod public, când problema s-a remediat imediat. Însă, deși am solicitat informații suplimentare, inclusiv să ne fie furnizate în formă confidențială, nu am avut acces la ele.

Noi am identificat imediat documentul, am făcut analiza internă pentru a decide dacă se impune sau nu notificarea autorității și a persoanelor implicate, și având în vedere natura publică datelor, volumul acestora, data tranzacțiilor și eventualul risc, risc care era practic inexistent, am acționat în consecință.

Ulterior, am refăcut site-ul de la zero, am adăugat încă un nivel superior de securitate prin tripla parolare și utilizare a cheilor, precum și definirea unor roluri mult mai bine stabilite de acces și posibilitate de modificare.

Care au fost etapele anchetei desfasurate de Autoritatea de Supraveghere care a condus la aplicarea acestei amenzi ? Ati primit si recomandari sau masuri corective? Vi se pare justificata aplicarea acestei masuri ?

U.A.: Etapele au fost simple și la obiect. Am primit cererea de furnizare a informațiilor pe e-mail și am răspuns tot prin e-mail. Niciun fel de procedură scrisă în afară de înmânarea propriu-zisă a procesului-verbal de sancționare. Nu am primit recomandări sau măsuri corective, nici propuneri, nici măcar nu s-a făcut mențiune despre acest aspect vreodată.

Dacă este să raportăm la cifra de afaceri, amenda este în cuantum de 2.6%, ceea ce este mult mai ridicată prin raportare la celelalte două sancțiuni aplicate. La World Trade Center amenda ar fi de aproximativ 0.2%, iar la Unicredit Bank se învârte în jurul aceleiași valori, asta conform informațiilor disponibile public. Am putea spune ca pare un pic cam disproporționat, însă eu pot înțelege și abordarea autorității de a fi mai dură cu operatorii pentru a transmite un semnal de genul "GDPR funcționează la orice nivel chiar și în România".

În România, până în acest moment, s-au aplicat trei amenzi pentru nerespectarea GDPR, Autoritatea de supraveghere conducand aproape 1.000 de investigații in primul an si adoptând o atitudine orientată spre prevenție și dispunerea de măsuri corective. Considerați că amenzile au un rol important în aplicarea GDPR-ului? Din experienta practică, cei mai mult operatori romani incearca sa se conformeze cu GDPR-ul din responsabilitate sau de frica amenzilor? Se gandeste cineva si la riscul reputational ?

U.A.: Amenzile nu rezolvă această problemă. Fac o paralelă cu dreptul concurenței, unde Consiliul este foarte activ și duce campanii de informare la nivelul întregii țări.

Din punctul meu de vedere, și nu numai al meu, avem nevoie de o campanie de informare din partea autorității și a altor organisme din domeniul digital sau care protejează consumatorii, ca tu om simplu sau entitate comercială să știi ce drepturi ai, ce obligații, DE CE e important și ce pași să adopți. 

Nu e o idee încetățenită, dar suntem un popor căruia îi place să introducă acțiuni în instanță, așa că amenzile nu vor face decât să crească numărul litigiilor, iar la final vom rămâne doar cu ideea că ”ei, data viitoare scap”.

Hai să ne uităm la autoritățile din Marea Britanie, Irlanda, Franța, Belgia, Olanda care emit ghiduri, note cu recurență săptămânală. În Franța avem amenda aplicată Sergic unde autoritatea ”a tras” de companie să se conformeze. Abia după aproape un an, când a văzut că nu a făcut nimic din ce i s-a spus, a aplicat amenda. Ceea ce e nu cazul la noi, din păcate.

La noi operatorii, în majoritatea lor, încearcă să se conformeze pentru a bifa o acțiune pe lista numită "GDPR - de făcut". Riscul reputațional este trecut pe un plan terțiar, nici măcar secundar cum ai putea crede la prima vedere.

Până la urmă, în branșă se discută de ceva vreme deja că există indicii că datele din sănătate ”tropăie” fără vreun control și nimeni nu zice nimic și nu se supără nimeni din cauza asta.

Nouă ni s-a aplicat o amendă în cuantum de 2.6% din cifra de afaceri netă (conform informațiilor disponibile pe site-ul Ministerului de Finanțe).

Ni s-a spus de nenumărate ori în ultimele zile că trebuia să luăm avertisment, cel mult. Noi nu comentăm decizia autorității, ci o respectăm, indiferent că ni se pare mult sau puțin.

Mesajul din partea Autoritatii de Supraveghere este unul extrem de puternic, subliniind tototdata faptul ca analiza riscurilor si masurile adecvate necesita o atentie marita din partea oricarui operator. Am putea spune astfel ca identificarea riscurilor este unul din cei mai importanți pași spre a obtine un grad ridicat de conformitate GDPR. Cu toate acestea, dacă uniii dintre operatori nu reusesc sa identifice nici  macar breșele, cum putea identifica riscurile?

U.A.: Aici intervine o persoană care să aibă experiență practică și să vadă dincolo de hârtii. O chestiune constatată de-a lungul acestui an este că trebuie ca persoana care sprijină organizația în vederea implementării să aibă o viziune practică și să vadă fluxurile înainte ca organizația să se gândească la ele.

Practic să vezi cam ce fel de date sunt, de unde vin, ce se întâmplă cu ele etc. Și apoi să lucrezi cu organizația în profunzime, din aproape în aproape ajungi și la riscuri la care nu te-ai fi gândit. Și, de asemenea, cred ca e necesar să îți imaginezi un scenariu practic al unor posibile scenarii, lucru care se întâmplă frecvent în industria de comunicare, spre exemplu. Ideea este să fie cât mai detaliat și mai puțin obișnuit la început, că încet ajungi la ceva palpabil care cu siguranță se va aplica.

Pleacă Ionel cu plicurile cu facturi către destinatari. Poate că Ionel se oprește să își ia un pachet de țigări și uită ușa deschisă la mașină. Și cineva ia toate plicurile, crezând că sunt bani. Sau Ionel e supărat pentru că soția lui nu i-a răspuns la telefon și aruncă plicurile cu pliante promoționale pe un câmp, că vrea să se ducă la birtul din sat să bea o bere. Iar avem un risc și o eventuală breșă. Te-ai fi gândit din prima la asta?

Dupa cum constatăm din analiza primelor trei cazuri in care au fost sanctionati operatorii de date romani, o amenda aplicata de Autoritatea de Supraveghere poate sa apara si in urma anchetei demarate dupa depunerea de catre operator a notificarii de bresa de securitate. Credeti ca acest lucru va scadea incidenta raportarilor de brese din partea operatorilor?

U.A.:Realitatea ne spune că majoritatea operatorilor nici măcar nu știu când trebuie notificată o breșă de securitate sau ce este aceasta. Cum scriam la un moment dat, o breșă de securitate înseamnă inclusiv atunci când scriu un e-mail și la destinatar trec, din neatenție sau pentru că majoritatea programelor de e-mail completează automat, un alt destinatar decât cel vizat.

Însă da, consider că astfel va scădea considerabil numărul de raportări din partea operatorilor. Dacă de exemplu, și iar fac paralelă cu dreptul concurenței, operatorul ar fi beneficiat de circumstanță atenuantă, de clemență sau imunitate pentru că notifică o breșă, atunci am fi fost în situația în care ar fi existat un interes real din partea operatorilor de a proceda la notificare. Dacă nu ne place paralela cu dreptul concurenței, hai să vorbim despre cum se corectează lucrurile în aviație și de ce a ajuns să fie unul dintre cele mai sigure medii.

În lipsa unor asemenea beneficii, majoritatea vor sta deoparte, pe ideea că ”lasă că poate nu notifică nimeni autoritatea - de ce să mă dau singur de gol”. Și atunci iarăși este o problemă. Legiuitorul sau chiar autoritatea ar fi putut să intervină și să ofere astfel de soluții și astfel ar fi crescut gradul de cooperare, conștientizare și asumare. Însă așa cui îi convine să notifice știind că va putea fi sancționat la fel dacă nu notifică?

Să ne aplecăm și asupra scandalului Cambridge Analytica si FTC, unde Facebook și autoritatea sunt în faza de negociere a unei tranzacții, cu anumite condiții, care să închidă investigația. Bun, pe 5 miliarde de dolari, dar putea să fie mai mult. Noi nu avem asemenea beneficii. 

Aveti o activitate bogata printre care si dezvoltarea si comercializarea unuia dintre cele mai cunoscute kituri de documente pentru implementarea principiilor GDPR, alaturi de serviciile consultanta de specialitate. Ce parere aveti despre operatorii care se rezuma la simpla achizitie a kitului, fara a investi in formarea unui specialist intern sau apelarea la un specialist extern ? Cum putem lupta ca specialisti in protectia datelor impotriva acestui fenomen prin care un operator incearca formal obtinerea unor inscrisuri care sa dovedeasca conformitatea, in lipsa unor modificari de fond in modul in care isi desfasoara activitatea ?

U.A.: Noi am încercat constant, în special prin ceea ce scriem pe blog, să oferim cât mai multe exemple și metode de identificare a riscurilor și cum să ai o abordare corectă.

Întotdeauna am afirmat că persoana care știe cel mai bine să-și facă implementarea este organizația, mai ales la nivelul firmelor mici și mijlocii pentru că de obicei persoanele care se ocupă de activitatea zilnică sunt și cele care au fondat organizația. Și acestea sunt cele mai în măsură să știe, la prima mână, pe unde le vin și pleacă datele.

De asemenea, noi am mers pe o abordare de genul ”cât mai multe exemple și îndrumări” care să te ajute să identifici într-un mod optim fluxurile de date și eventual riscurile. Asta e prima sarcină a ta ca organizație, să iei un pix și, cu o serie de documente în față, să începi să creionezi ceea ce tu consideri că ți s-ar aplica și cum vezi tu lucrurile.

Ulterior, după ce din punctul tău de vedere ai cam terminat pe partea asta, ar trebui să apelezi la o persoană care să verifice documentația și să vadă dacă sunt chestii care cumva au scăpat sau cum trebuie abordate problemele pe mai departe.  Noi am oferit constant, fără vreun cost suplimentar asistență pe partea asta. Oricum, oamenii ne scriu pe rețele de socializare sau e-mail și ne cer anumite informații sau revizuiri de documente pe care le facem în limita timpului disponibil. Iar uneori scriem și articole despre situația respectivă, când ne dăm seama că ar putea fi de interes pentru mai multă lume.

Dar este foarte important și să alegi persoana care să te ajute în implementare și să te facă să înțelegi că documentația nu este suficientă, e ce am zis întotdeauna: GDPR este un mixt între juridic, tehnic și organizațional și implică atât regândirea unor procesele operaționale, cât și implementarea sau adaptarea unor soluții tehnice menite ca, în final, să crească încrederea persoanelor în organizația respectivă și să redisponibilizeze toate părțile implicate.

A trecut primul an de cand se aplica GDPR-ul si mai bine de trei ani de cand a intrat in vigoare. Care au fost provocarile cu care v-ati confruntat in calitate de specialist in protectia datelor ? Ce s-a schimbat în aceasta perioada si cum vedeti evolutia in Romania si la nivel european pe termen scurt si mediu?

U.A.: Așteptam cu nerăbdare să intre în vigoare GDPR, la nivel european. La nivel macro, noi nu conștientizăm importanța datelor noastre personale. Spre exemplu, folosim telefonul pentru localizare, pentru a ajunge la o destinație, pentru a transmite poze din vacanțe, pentru a partaja cu alții documente, informații, albume, pentru a ne face programări pe la diverse saloane pe care ulterior le salvăm cu tot cu locație în telefon în calendar, pentru a primi sau trimite bani, pentru a asculta muzică, a ne înregistra ce mâncăm, cât sport facem, când ne trezim, cu ce prieteni am fost în oraș etc.

Fără să-ți dai seama, dacă cineva are acces la un moment dat la contul tău de Google, să zicem, practic poate să-ți vadă întreaga viață.

Și nu este normal ca aceste date:

(1) să fie cerute într-un număr cât mai mare,

(2) să nu fie protejate,

(3) să nu ai idee ce se întâmplă cu ele odată colectate și stocate.

Să ne gândim doar că pe baza tuturor acestor informații, poți să faci profilul cuiva fără să te chinui prea mult. Nu mai spun de situațiile când te trezești că ai contract un credit de care habar nu aveai. O să râdeți, că poate pare imposibil, dar s-a întâmplat.

După cum spuneam, oamenii nu conștientizează importanța datelor până când nu le furnizezi exemple ca cele de mai sus. Și nici nu putem avea pretenții de la un user simplu de tehnologie. Altfel că majorității i se pare o utopie regularizarea colectării, stocării și transmiterii de date. GDPR nu e un bau-bau sau un motiv în plus să extindem birocrația. Și dacă unii doar asta înțeleg, bifarea unui to-do list ca să fie GDPR compliant, alții îl duc la absurd și își închid site-urile sau nu mai comunică date deloc - cum a fost exemplul meu personal când o clinică privată nu a vrut să-mi ofere, după o verificare prealabilă, ID-ul de pacient prin care să îmi pot verifica analizele și a trebuit să bat 40km până la centru.

Nu despre asta este vorba. În primul rând vorbim despre conștientizare, apoi de responsabilizare și asumare.

Potrivit raportului emis la nivel european de Comisia Europeană, 73% din cei avuți în vedere știu care le sunt drepturile. Dar asta e la nivel european. La nivel național tind să cred că nici măcar 15% nu știu de GDPR, ce face, cum face și ce e vreo dată cu caracter personal.

Iar amenzile nu vor rezolva această problemă pentru că ține de educare și informare. Ceea ce noi încercăm să facem pe avocatoo.ro cu pachetele de soluții GDPR. O amendă nu va face decât să zică ”ei, lasă, mai semnez niște documente și aia e, oricum amenzile sunt ceva normal la noi”.

Așadar, pe termen scurt vom vedea că vor există și mai mulți prestatori de servicii care se vor oferi să te conformezi GDPR fără să-ți bați capul.

Ce sfaturi puteti oferi specialistilor in protectia datelor, aceasta meserie nou aparută, care se confruntă probabil cu cele mai mari provocări profesionale datorită caracterului general al Regulamentului (UE) 2016/679 și lipsei unor repere unitare privind interpretarea și implementarea lui ?

U.A.:Să citească foarte mult, în special de pe site-urile autorităților externe care oferă informații foarte bune și aplicate. Chiar și articole de presă, site-uri de specialitate, can-can, situații ipotetice, pentru că fiind un domeniu nou și în permanentă mișcare, trebuie să fii conectat cu ultimele știri ca să știi exact la ce să fii atent și cum să identifici eventuale probleme care pot să apară.

In incheiere, ce trebuie sa retina un operator din acest caz si ce sfat ati oferi managerilor care au asteptat pana in acest moment "sa se intample ceva", fara a intreprinde nici un demers in sensul obtinerii conformitatii GDPR ?

U.A.:Operatorii ar trebui să aibă în vedere că problema GDPR nu este "cine", ci "când". Pentru că nimeni nu scapă de o breșă de securitate și mai devreme sau mai târziu, tot suferi una, indiferent de cât de bun ești. Iar cea mai bună opțiune, în cazul în care suferi o breșă de securitate, este de a minimiza riscurile. Să conștientizăm, așadar, că este un fenomen real și că se poate întâmpla din motive la care nici nu s-a gândit cineva vreodată.

Alinierea la normele GDPR nu este o chestie de ”semnat hârtii”, ci presupune o responsabilizare a operatorului față de toți cei implicați. El trebuie să știe în primul rând ce date colectează, de unde, ce face cu ele și cui le transmite. Și să-și facă propriul audit preliminar, așa cum se pricepe mai bine, iar ulterior neapărat să apeleze la ajutorul unor persoane care, înainte de toate, înțeleg domeniul lui de activitate și cu care, împreună, să implementeze procedurile necesare din punct de vedere operațional, tehnic și juridic.

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Alexandru Gheorghe: Nu am găsit în România experți care să realizeze o „autopsie” a unui telefon mobil

INTERVIU EXCLUSIV

Vizualizari: 788

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Alexandru Gheorghe are o experiență de peste 12 ani în calitate de consilier juridic, DPO / Consultant Protectia Datelor, fiind fondatorul companiei Inperspective. El a format și condus departamentul juridic al Fashion Days pentru mai bine de 6 ani, având colaborări cu Miniprix, Best Value și Crew Shop, BusinessMark, Ollie Gang Shop, Modarena, Northfinder și Nooh Media, precum și cu un startup din Irlanda denumit PowerTiz. Este certificat ca și Data Protection Officer (Responsabil cu Protecția Datelor) de PECB Europe și este certificat ca și Formator de adulți (Trainer). Este unul din moderatorii Workshop-ulului dpo.Tools  organizat de Portalul dpo-NET.ro - Data Protection Officers Network, în data de 24 Martie 2020, în parteneriat cu Wolters Kluwer RomâniaNeoPrivacy RomâniaSAMSUNG, Inperspective, Reimens si IJV& Partners Law Firm și care abordează o tema de mare interes, "Mobilitatea, o provocare pentru aplicarea GDPR, analizând intr-un mod pragmatic avantajele si riscurile privind securitatea informatiilor si a datelor personale in contextul utilizarii din ce in ce mai mult a tehnologiei mobile pentru a comunica. Alexandru Gheorghe a acceptat să ofere un interviu în exclusivitate pentru cititorii și abonații dpo-net.ro, reușind să surprindă realitatea cu care se confruntă operatorii din Romania după aproape doi ani de când se aplică Regulamentul 2016/679.  

Participi ca speaker în cadrul workshop-ului dpo.Tools organizat în data de 24.03.2020 în parteneriat cu SAMSUNG ROMÂNIA, având titlul “MOBILITATEA, O PROVOCARE PENTRU APLICAREA GDPR”, cu o temă privind conceptul de “Mobile Forensics”. Ne poți spune despre ce este vorba?

Alex Gheorghe: Sigur. Sunt contrariat de ușurința cu care organizațiile tratează modul de utilizare al telefonului mobil personal sau de serviciu al personalului propriu. Telefoanele mobile sunt utilizate de cea mai mare parte a populației de pe glob: 5,11 miliarde de oameni utilizau telefoane smart la sfârșitul anului 2019, din care 4,39 miliarde erau utilizatori de internet unici; din aceștia 3,48 miliarde erau utilizatori ai unor rețele de socializare si 3,26 miliarde de oameni utilizau rețelele sociale pe telefoanele mobile la sfârșitul anului 2019 (cu o creștere anuala de 297 de milioane de noi utilizatori – aproape 10% creștere de la an la an).

Raportul „Digital 2019: Global Internet Use Accelerates” concluzionează că „în ciuda controverselor din jurul conceptului de viață privată, a industriei hackerilor, a realității fake news și a tuturor celorlalte aspecte negative ale vieții online, lumea continuă să îmbrățișeze utilizarea internetului și a rețelelor social media”. Predicțiile criminalității cibernetice în anul 2020 în opinia noastră, se vor intensifica în zona utilizatorului final (end-user) al unui dispozitiv smartphone.

Am descoperit conceptul de „Mobile Forensics” în Austria, unde există specialiști care examinează telefoane mobile utilizate ca mijloace ale unor infracțiuni (cybercrime sau nu), experți care colaborează cu organele de urmărire penală, instanțele de judecată și orice alte organizații private interesate de expertizarea criminalistică a dispozitivelor mobile. De asemenea, acești specialiști oferă cursuri de inițiere, examinare și perfecționare în domeniul „Mobile Forensics” personalului organizațiilor de profil.

În România există în prezent astfel de specialiști?

Alex Gheorghe: Ei bine, nu mi-e clar. După ce am descoperit conceptul Mobile Forensics în Viena, am cercetat ce oferă piața din România în acest domeniu, limitându-mă, ce-i drept, la internet. Pe site-ul Ministerului Justiției, există un tabel nominal actualizat cu experți criminaliști. Printre ei, găsim probabil câțiva experți în analiza aplicațiilor și datelor informatice, însă, având în vedere că lista nu precizează specializarea fiecărui expert, pare că lista nu este întocmită pentru a verifica locația expertului, existența certificării teritoriale a acestuia și.... informații privind actul de identitate și seria fiecărui expert – ceea ce în opinia noastră constituie o încălcare flagrantă a drepturilor și libertăților experților criminaliști conform GDPR de către Ministerul Justiției.

Nu am găsit însă specialiști individuali, experți care să realizeze o „autopsie” a unui telefon mobil în România. Dar, mă întreb și eu, dacă internetul nu îmi oferă informații, atunci unde aș putea să mai caut în anul 2020 astfel de experți la noi în țară?...

Spuneai că te surprinde ușurința cu care organizațiile tratează modul în care personalul utilizează telefonul mobil. Poți aprofunda afirmația?

 Alex Gheorghe: În toate companiile cu care am colaborat, angajații care primesc telefon de serviciu utilizează dispozitivul și în scop personal, adică introduc date personale în memoria telefonului de serviciu, sau, dacă nu le este pus la dispoziție un telefon de serviciu, utilizează în relațiile profesionale telefonul personal. Spuneai chiar tu o dată, că în momentul în care introduci informații aparținând locului de muncă, sau în relație cu locul de muncă pe telefonul personal, respectivul dispozitiv nu mai întrunește condițiile unui telefon de serviciu. Sunt de acord cu asta și se aplică și vice-versa. Telefoanele mobile smartphone utilizate de angajați în scop profesional, devin baze de date complexe, care găzduiesc informațiile are aparțin companiei (sau datele cu caracter personal prelucrate de aceasta), iar aceste baze de date se multiplică cu numărul de telefoane utilizate de angajați. Astfel, mijloacele de securitate ale acestor dispozitive precum cele care vor fi prezentate în cadrul workshop-ului, aplicarea la nivel intern procedural cel puțin a măsurilor de securitate de bază pentru dispozitive cu sistem de operare IoS sau Android și nu în cele din urmă, asigurarea unei instrucții periodice a angajaților cu privire la modul de utilizare și de „îngrijire” a telefonului mobil, reprezintă o dovadă de igienă cibernetică (cyber-hygene) obligatorie.

Ca să nu mai spun că, în opina noastră, dacă telefonul este „de serviciu”, atunci ar trebui să rămână, la sfârșitul programului de lucru, la serviciu...

Vorbeai despre masurile de securitate de baza ale dispozitivelor mobile. Poți sa detaliezi?

Alex Gheorghe: Asta ar însemna să intrăm în amănunt în legătură cu subiectul nostru, ceea ce aș vrea să extindem în cadrul workshop-ului. Însă, vom detalia aceste măsuri de securitate de bază ale dispozitivelor mobile, și vom pune la dispoziția participanților documente amănunțite privind aplicarea măsurilor de securitate inițiale (security controls benchmarks) particularizate pentru cele două sisteme de operare ale dispozitivelor mobile din cadrul celor mai multe dintre organizații: IoS și/sau Android.

Totuși, sunt întotdeauna plăcut surprins atunci când utilizatorii finali (angajații) își introduc PIN pe telefon ca măsură de securitate a accesului la dispozitiv, sau când o companie utilizează ca telefon de serviciu un dispozitiv NOKIA 3310 în locul unui smartphone.

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

INTERVIU EXCLUSIV

Vizualizari: 5988

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale a Profesioniștilor în Confidențialitate (IAPP), a oferit un interviu exclusiv pentru DpoNET - Data Protection Officers Network. Prin intermediul răspunsurilor oferite, avem ocazia să înțelegem mai bine viziunea sa despre evoluția protecției datelor în ultimii 20 de ani și despre cum arată viitorul, având în vedere utilizarea tot intensă a tehnologiei bazate pe Inteligența Artificială, ajungând la concluzia că DPO-ul este o nouă profesie hibridizată care presupune înțelegerea tehnologiei, a modului în care este utilizata tehnologia in afaceri și cu siguranță, cunoasterea legii.

În lumina aniversării a 20 de ani de la înființarea IAPP, vreau să vă lansez prima întrebare și să discutăm despre cum au evoluat domeniul protecției vieții private, în ultimii 20 de ani.

IAPP sărbătorește într-adevăr 20 de ani în acest an. Suntem foarte mândri, mai ales când realizăm ce incredibili au fost ultimii 20 de ani. Am crescut de la zero, de la o organizație foarte mică, la o organizație cu 52000 de membri din 120 de țări din întreaga lume. Creșterea organizației IAPP este o dovadă a creșterii complexității probemelor care fac din ce în ce mai dificilă protejarea vieții private. Aceaste provocări s-au intensificat din mai multe motive diferite și, cu siguranță tehnologia este pe primul loc. Noile tehnologii creează noi așteptări, noi provocări, în privința protecției vieții private. Avem nevoie de profesioniști care să ne ajute în fața acestor noi provocări. Așadar, cred că ceea ce vedem astăzi este o creștere continuă a provocărilor tehnologice asupra domeniului protecției vieții private și observăm nevoia tot mai mare de profesioniști care au abilități pentru a răspunde cu succes acestor noi provocări, reducând riscurile și identificând soluții mai bune pentru cetățeni, pentru consumatori, crescând totodată gradul de încredere în economia digitală.

Ce părere aveți despre viitorul domeniului Inteligenței Artificiale. La ce ar trebui să ne așteptăm? În ce direcție se îndreaptă acest domeniu în următorii ani?

Viitorul Inteligenței Artificiale, ca și domeniul confidențialității și protecției datelor, este foarte complicat și cred că este plin de riscuri pentru organizații. Știm că Inteligența Artificială folosește cantități masive de date și astfel pot exista probleme legate de protecția acestor date. Trebuie să ne asigurăm că procesarea algoritmică este transparentă și știm de ce Inteligeța Artificială ia anumite decizii. Trebuie să ne asigurăm că rezultatele proceselor decizionale automate nu sunt discriminatorii. Cred că putem învața multe din lecțiile pe care ni le-a oferit domeniul confidențialității și protecției datelor și va trebui să implementăm măsuri astfel încât lansarea acestor noi tehnologii să fie confortabile și acceptate de toată lumea.

Care sunt poveștile din acest domeniu care nu primesc suficientă atenție, există ceva la care jurnaliștii nu s-au gândit?

Este o întrebare grozavă. Există întradevăr povești care nu primesc suficientă atenție. Când mă gândesc la protecția datelor, realizez că în tot acest timp ne-am concentrat cel mai mult pe încălcările de securitate a vieții private și provocările pentru domeniul protecției datelor introduse de noile tehnologii.

Dar ce văd în fiecare zi este în primul rând volumul mare de munca, văd foarte multe organizații care investesc în oameni, în tehnologii și procese, în managementul riscurilor, pentru a ajuta la îmbunătățirea protecției datelor și a vieții private. Așadar, unul dintre lucrurile pe care cred că trebuie să le promovăm mai mult este existența celor 52000 de membri IAPP din întreaga lume care lucrează în fiecare zi pentru a crește nivelul de protecție a vieții private. Există tehnologii și instrumente pe care companiile le utilizează deja în acest scop și suntem foarte departe fața de cum am fost acum 20 de ani în ceea ce privește protecțiea vieții private în cadrul organizațiilor. Responsabilul cu protecția datelor este o profesie a viitorului și cred că ar trebui să promovăm mai mult aceste povești.

Aveți câteva sfaturi personale pentru profesioniștii în domeniul confidențialității datelor și implicit pentru cei care sunt DPO?

Da. Sfaturile pe care le dau oricărui tânăr care se gândește la o carieră în acest domeniu și oricărui profesionist care se gândește la o specializare în aceste domeniu este că nu este suficient să fii avocat, nu este suficient să fii manager, nu este suficient să fii un informatician. Cu siguranță, puteți obține o diplomă într-unul din aceste domenii, dar trebuie să fiți un profesionist hibrid. Dacă ești avocat, trebuie să înțelegi managementul afacerii, să te specializezi în managementul riscului și să obții cât mai mult cunoștințe în informatica pentru a avea succes și a fi eficient. Ceea ce vedem astăzi este o nouă profesie hibrid. Sfatul meu este fiecare profesionist trebuie să înțelegă tehnologia și modul în care este utilizata in afaceri, să cunoască legea și astfel va avea o carieră lungă de succes.

Mulțumesc foarte mult.

 

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Cursul postuniversitar UMFST Târgu Mureș de protecția datelor a ajuns la debutul celei de-a treia ediție

Cursul postuniversitar „Formare si pregatire a Responsabilului cu Protecția Datelor”, organizat de Centrul de cercetare pentru protecția datelor, constituit in cadrul Universității de Medicina, Farmacie, Științe și Tehnologie […]

Nicolae Ploeșteanu: „Consider că fiecare practician trebuie să aibă această carte”

In domeniul protecției datelor în România, anul 2020 a debutat cu lansarea pe piață a acestui volum, intituat „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016”, […]

Stefan Gabriel Iancu: România este in top 3 din Europa la numarul de amenzi GDPR aplicate

Stefan Gabriel Iancu are o experiență de peste 21 ani în calitate de consilier juridic, DPO / Consultant Protectia Datelor, fiind fondatorul companiei iPrivacy. El si-a dezvoltat expertiza […]

„Operatorii ar trebui sancționați pentru desemnarea persoanelor nepotrivite în functia de DPO?”

Alexandru Gheorghe are o experiență de peste 12 ani în calitate de consilier juridic, DPO / Consultant Protectia Datelor, fiind fondatorul companiei Iperspective. El a format și condus […]

Anul 2019 văzut prin ochii unui GDPR-ist, 10 momente memorabile

Este sfarsit de an si fiind un moment de bilant nu pot sa nu ma gandesc la cat de multe lucruri am realizat pe plan profesional si mai […]

Cătălina Lungu: „De Black Friday, vânătorii de chilipiruri se pot transforma în victime”

Cătălina Lungu este Responsabil cu protecția datelor (DPO) si Consultant GDPR la Proactiv Cons SRL , fiind licențiată în managementul firmei și absolventă a cursurilor postuniversitare în protecția […]

Brittany Kaiser: Intervenția străinilor în alegerile din România încă este o amenințare (VIDEO)

În calitate de fost Director de dezvoltare a afacerilor la Cambridge Analytica, Brittany Kaiser este un celebru denuntator, demascând modul în care au fost influențați și manipulați oamenii, […]

Gradul de conformare GDPR, în domeniul sanitar românesc, nu a depășit 15%

Regulamentul General privind Protecția Datelor (GDPR-General Data Protection Regulation) a apărut pentru a oferi un grad de control într-o lume dominată de tehnologie, iar conformarea la acest Regulament […]

Adriana Ceaușescu: „Trebuie să învățăm că implementarea GDPR este un efort de echipă”

Adriana Ceaușescu este Ofiter Securitatea Informatiei si Protectia Datelor pentru companii din domeniul Asigurarilor si Sanatatii și a urmat cursurile IAPP, participând totodată la intocmirea codului de conduita […]

Timis Horea: Frica de amenzi GDPR a oprit inovația în multe domenii

De profesie medic, Timis Horea este expert in Management Sanitar si fost director de proiecte europene pe componenta socio-medicala, la Primaria Alba Iulia, director de spital, director al […]

Radu Crahmaliuc: „Spitalele de stat din România nu sunt pregătite să ne proceseze datele”

Radu Crahmaliuc este fondatorul Cloud☁mania, una dintre cele mai populare platforme independente de cunoștințe și servicii din Europa de Est Centrală care s-a dezvoltat pe următorul principiu: „cele […]

Adrian Munteanu: În România găsim „un număr imens de „consultanți GDPR„ care au apărut de nicăieri”

Cu o experiență de peste 13 ani în proiecte de audit (internet banking, securitate IT, proiecte IT, proiecte finanțate prin fonduri UE), consultanță (continuitatea afacerii, analiză de impact, […]

Filip Truță: „Noua soluție Bitdefender 2020 protejează intimitatea utilizatorilor”

Filip Truță, security analyst la Bitdefender, a acordat un interviu in exclusivitate  pentru dpo-NET .ro despre GDPR și despre tehnologiile noi din soluția de securitate Bitdefender 2020 care […]

Gordon Wade: “ANSPDCP este pregătită să treacă de la o abordare tolerantă la una activă”

Gordon Wade este avocat specializat în confidentíalitatea și protecția datelor la PwC Legal Middle East, cu sediul în Dubai, și a acceptat cu entuziasm să ofere un interviu […]

Nicolae Ploeșteanu: „ONG-urile sunt cele care trebuie să se implice cel mai mult în România”

Nicolae Ploeșteanu a absolvit studiile juridice în anul 1995, la București și este Doctor în drept din anul 2005, făcând numeroase specializări în țară și în străinătate, în […]

Daniel Suciu: A fost nevoie de două amenzi pentru a readuce GDPR-ul în vizorul operatorilor

În cei peste 30 de ani de activitate profesională, Daniel Suciu s-a implicat activ în aproape toate ariile de interes pentru Protecția datelor. A avut curiozitatea și oportunitatea […]

Andrei Săvescu: Uniunea Europeană încearcă să pună presiune pe operatori, prin intermediul cetățenilor

Andrei Săvescu este membru în Baroul București din 1994 și are o vastă experiență atât ca avocat, cât și ca arbitru la Curtea de Arbitraj Comercial de pe […]

Analizăm prima amendă GDPR din România împreună cu Cristiana Deca

Anunțul primei amenzi GDPR în România a răsunat pe toate canalele de știri, stârnind interesul multora, motiv pentru care am rugat-o pe Cristiana Deca, unul dintre primii specialiști […]

Sergiu Bozianu: În Republica Moldova putem aplica amenzi contravenționale persoanelor cu funcție de răspundere

Sergiu Bozianu este în primul rând un profesionist în domeniul protecției datelor din Republica Moldova, ultima funcție publică fiind cea de director adjunct în Direcția Generală Supraveghere și […]