Andrei Săvescu: Uniunea Europeană încearcă să pună presiune pe operatori, prin intermediul cetățenilor

INTERVIU EXCLUSIV

Vizualizari: 1822

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Andrei Săvescu este membru în Baroul București din 1994 și are o vastă experiență atât ca avocat, cât și ca arbitru la Curtea de Arbitraj Comercial de pe lângă Camera de Comerț și Industrie a României, fiind unul dintre cei mai apreciați practicieni ai dreptului. Predă cyberlaw din anul 2005, la Universitatea Româno-Americană și, din anul 2015, la  Universitatea de Vest din Timișoara. A susținut conferințe și ateliere cu privire la GDPR la care au participat sute de manageri, consilieri juridici și avocați specializați. Este președintele Societății de Științe Juridice din România (2009), coordonator JURIDICE.ro (2004), cercetător asociat în cadrul Institutului de Cercetări Juridice „Acad. Andrei Rădulescu” al Academiei Române (2010) și membru fondator al Asociației pentru Tehnologie și Internet (2004).  A acceptat cu entuziasm să realizăm acest interviu în exclusivitate pentru dpo-net.ro, fiind unul din cei mai renumiți profesioniști din România în domeniul protecției datelor. 

 

Marius Dumitrescu: Scopul GDPR nu este de a da amenzi, ci de a proteja persoanele. Cu toate acestea, după 3 ani de la intrarea în vigoare a Regulamentului, doar 67% dintre Europeni au auzit de GDPR, în timp ce doar 36% au declarat că știu ce este acest regulament (date prezentate de Comisia Europeana în sondajul Eurobarometru). Credeți că aceste cifre sunt rezultatul dezinteresului persoanelor în ceea ce privește protejarea datelor lor?

Andrei Săvescu: O reglementare europeană de care au auzit peste două treimi dintre oameni iar peste o treime știu ce este ea mi se pare foarte mult. Nu cred că există o altă reglementare atât de cunoscută. Probabil că nici măcar Legea 31/1990 nu este cunoscută în România la un asemenea nivel, prin raportare la întreaga populație. În termeni relativi, conștientizarea GDPR este foarte bună, dar în termeni absoluți într-adevăr nu. În ce privește conștientizarea la nivelul instituțiilor și mediului de afaceri, sunt convins că nivelul de conștientizare este foarte ridicat, aproape de 100%.

 Marius Dumitrescu: Care credeți că vor fi consecințele acestei lipse de conștientizare a importanței datelor în rândul persoanelor, pe termen lung?

Andrei Săvescu: Conștientizarea importanței datelor cu caracter personal este relativ scăzută la nivelul publicului larg, deoarece datele cu caracter personal au o importanță mică, pentru fiecare persoană în parte. Oamenii trebuie să fie cunoscuți, ei chiar vor să fie cunoscuți, este foarte normal să fie cunoscuți. De fapt nici nu este normal să acționăm în societate cu un fel de cagulă. Datele cu caracter personal sunt importante când sunt foarte multe, datele unui număr mare de persoane. Ele sunt importante pentru organizații. Cu alte cuvinte, există o foarte mare diferență între importanța datelor cu caracter personal ale unei anumite persoane și importanța unui volum mare de date, ale unui număr mare de persoane. Această diferență la nivelul importanței datelor cu caracter personal este cauza diferenței de conștientizare: persoanele fizice au o conștientizare mai scăzută pe bună dreptate, pentru fiecare în parte datele cu caracter personal au o importanță mică.

Marius Dumitrescu: Este esențial ca persoanele să identifice prelucrările ilegale de date pentru a-și putea exercita drepturile. Cât este de important sa-ți cunoști drepturile atâta timp cât nu poți identifica o prelucrare ilegală? Pe ce ar trebui să se axeze campaniile de informare a persoanelor?

Andrei Săvescu: Conștientizarea drepturilor protejate de GDPR este mai mare decât conștientizarea GDPR. Această împrejurare a fost evidențiată și de sondajul Eurobarometru la care v-ați referit. Protejarea drepturilor persoanelor se realiza și înainte de GDPR, prin mijloace de drept civil. Într-adevăr, înainte de GDPR protejarea drepturilor se realiza atunci când persoanele erau deranjate de încălcarea drepturilor lor. GDPR a adus un element de noutate foarte spectaculos: informarea detaliată, clară și quasi-permanentă a persoanelor vizate cu privire la drepturile lor și cu privire la scopurile și modalitățile în care se realizează prelucrarea datelor lor cu caracter personal. Această încurajare a persoanelor vizate este necesară tocmai din pricina dezinteresului imanent în ce privește fiecare persoană în parte. Uniunea Europeană desfășoară și încurajează o campanie de sensibilizare cu privire la protecția datelor cu caracter personal.

Marius Dumitrescu: Care credeți că ar fi cea mai scurtă cale spre creșterea gradului de conștientizare și complianță GDPR: educarea persoanelor sau educarea operatorilor?

Andrei Săvescu: Operatorii se educă singuri. Instituțiile și companiile pot fi suspectate de multe lucruri rele, însă în realitate greșesc destul de puțin, pentru că ele reprezintă partea activă, dinamică și totodată stabilă, solidă a oricărei societăți. Conștientizarea GDPR și creșterea nivelului de complianță, ca să ne exprimăm barbar, trebuie să vină de la persoanele vizate. Cred că aceasta este calea cea mai bună. Oamenii ar trebui să citească politicile de confidențialitate și să împărtășească doar datele necesare sau pe care doresc să le împărtășească. Educarea persoanelor vizate cred că este calea cea mai bună și totodată cea mai scurtă. Pe de altă parte, cred că acesta este spiritul GDPR: protejarea persoanelor fizice, nu chinuirea operatorilor.

Marius Dumitrescu: În România, până în acest moment, nu prea s-au dat amenzi pentru nerespectarea GDPR, deși autoritatea a condus aproape 1.000 de investigații, adoptând o atitudine orientată spre prevenție și dispunerea de măsuri corective. Considerați că amenzile au un rol important în aplicarea GDPR-ului? Din experiența dumneavoastră  practică, cei mai mulți operatori se conformează cu GDPR din responsabilitate sau de frica amenzilor?

Andrei Săvescu: Prin GDPR Uniunea Europeană încearcă să pună presiune pe operatori, dar prin intermediul cetățenilor, nu prin intermediul Autorităților. Datele personale conferă o anumită putere (comercială) celui care le deține. Transparența este dușmanul puterii în această privință, căci puterea nu are nevoie de transparență, dimpotrivă, preferă să fie ocultă. Autoritatea națională din România a sesizat foarte bine orientarea reglementării europene. Scopul GDPR este să fie pedepsiți cei care sar calul, nu cei care trag la căruță. Potrivit experienței mele, operatorii sunt preocupați de conformarea GDPR. În calitate de consultanți, noi, avocații, răspundem în fiecare zi întrebărilor clienților, atât managementului cât și responsabililor cu protecția datelor. Este adevărat că există o teamă de amenzi, însă nu am sentimentul că acesta este motivul determinant, ci unul mult mai subtil și mult mai frumos, determinat de faptul că GDPR încurajează, la nivelul operatorilor, o dorință esențială și foarte pozitivă pentru afaceri: dorința de a fi ordine.

Marius Dumitrescu: Credeți că instituțiile publice ar trebui sa fie un exemplu pentru restul operatorilor? Punem această întrebare pentru că în România avem un tratament preferențial pentru instituțiile publice, amenda maximă pentru nerespectarea GDPR fiind de 200.000 lei (aproximativ 42.000 euro), cu mult inferior față de ceea ce riscă operatorii privați.

Andrei Săvescu: Da, cred că instituțiile publice ar trebui să fie un exemplu de conformare GDPR. De altfel am sesizat o preocupare constantă la nivel legislativ de a impune instituțiilor conformarea, prin trimiterea la GDPR în numeroase acte normative noi provenind de la Guvern. Fără îndoială că la nivelul instituțiilor conformarea GDPR este mai dificilă, dar asta în principal din pricina constrângerilor bugetare, nu din rea-voință. Pe de altă parte, la nivelul instituțiilor, o eventuală amendă ar putea fi catastrofală pentru persoanele vinovate, atunci când va sosi Curtea de Conturi...

Marius Dumitrescu: Cu toate că România înregistrează cel mai scăzut nivel de utilizare a serviciilor de internet dintre statele membre ale Uniuni Europene, 86% dintre utilizatorii români de internet au conturi pe rețelele sociale, ceea ce ne face campionii Europei la acest capitol. Având în vedere scandalurile imense în care au fost implicate rețelele de socializare, fie prin breșele de securitate, fie prin utilizarea ilicită a datelor, putem considera că suntem și cei mai vulnerabili. Cum considerați că ar trebui să se comporte un utilizator de internet, dacă ar fi vorba de riscurile pe care internetul le ascunde?

Andrei Săvescu: Chiar dacă ar cunoaște toate riscurile, cred că utilizatorii de Internet s-ar comporta cam la fel. Pericolele pot fi evitate doar prin inacțiune, ceea ce este în realitate imposibil. De Internet doar moartea ne va despărți. GDPR există tocmai pentru ca persoanele să poată să reclame încălcarea drepturilor lor, apoi intervin autoritățile.

Marius Dumitrescu: Accesul copiilor la internet este deja o normalitate. Ar trebui acest lucru sa ne îngrijoreze? Considerați că o educație privind accesul la internet al copiilor ar trebui să fie o sarcină a părinților sau sistemul de învățământ ar trebui să-și asume acest rol?

Andrei Săvescu: Încă nu înțelegem foarte bine impactul Internetului asupra copiilor. Internetul are un impact devastator asupra copiilor, din perspectiva noastră. Însă din perspectiva lor, a celor care vor trăi în viitor, probabil că lucrurile nu sunt deloc dramatice. Internetul este o realitate virtuală, însă este la fel de real ca orice altceva. Cred că societatea viitorul va fi diferită destul de mult de realitatea de ieri, probabil că nu va mai fi atât de socială și va fi mult mai cibernetică. În ce privește educația privind accesul la Internet al copiilor cred că sistemul de învățământ o să aibă un rol mai important decât părinții, întrucât educația făcută de profesioniști este mai bună decât educația făcută de amatori, părinții sunt educatori amatori. Pe de altă parte, este mai presus de orice îndoială că părinții sunt mai importanți decât sistemul de învățământ, pentru că iubirea este mai importantă decât educația. Tehnologiile software permit un control parental avansat, în așa fel încât părinții să-și poată proteja copiii, cu iubire și multă atenție. Însă utilizarea controlului parental este ea însăși dificilă, întrucât necesită deprinderi tehnice și un discernământ bine antrenat cu privire la pericolele Internetului. Cred însă că lucrurile vor merge din ce în ce mai bine, părinții tineri sunt mult mai pricepuți, astfel încât iubirea și priceperea lor vor putea, în măsură din ce în ce mai mare, să protejeze și să orienteze copiii.

Marius Dumitrescu: Facebook a lansat Study, un program de cercetare de piață bazat pe recompense. Cum vi se pare un asemenea concept: să fim plătiți pentru datele pe care le facem publice? Este acesta direcție una corectă?

Andrei Săvescu: Oamenii oricum își fac publice date cu caracter personal, iar dacă sunt și plătiți pentru asta e foarte bine. Cred că direcția este una corectă, în măsura în care oamenii sunt conștienți de faptele lor și de efectele faptelor lor. Împrejurarea că oamenii nu sunt mereu foarte conștienți nu înseamnă că ar trebui oprit orice lucru care se face cu un nivel scăzut de conștientizare, căci altminteri ar trebui să ne gândim și la restricții cu privire la mersul pe jos, care nici el nu se bucură de un nivel înalt de conștientizare.

Marius Dumitrescu: Conform unui raport DLA Piper (GDPR data breach survey: February 2019), de la data aplicării GDPR și până în februarie 2019 Autoritatea de supraveghere din Olanda înregistrase 15,400 de notificări de breșe, în timp ce România număra la acea vreme doar 270. Care credeți că este motivul acestei discrepanțe? Suntem noi românii un popor norocos și breșele de securitate ne evită, ori nu recunoaștem o breșă de securitate nici dacă ne împiedicăm de ea?

Andrei Săvescu: Orice sistem informatic este penetrabil. Câtă vreme vom utiliza protocoalele TCP, computerele vor fi penetrate. Diferența de expunere se situează la nivelul costurilor pentru realizarea penetrării. Prin urmare, penetrarea se va face atunci când este suficient de rentabilă. Cred că măsurile de securitate informatică sunt foarte importante, dar nu pentru că ar face imposibil furtul datelor cu caracter personal, ci pentru că măresc costurile care ar trebui făcute de cel care vizează aceste date. Acest mecanism cibernetic nu este însă specific atacurilor vizând datele cu caracter personal, ci este general, pentru orice informații ne-publice ale unei organizații. De aceea, unele organizații neglijează securitatea cibernetică, iar altele îi acordă o atenție specială. Importanța acordată de o organizație securității cibernetice nu este determinată de importanța datelor cu caracter personal, ci de importanța informațiilor ne-publice ale organizației. Organizațiile ar trebui să acorde o importanță specială protecției informațiilor în general, întrucât ele trebuie să protejeze informații cu mult mai importante decât cele care privesc datele cu caracter personal. Așa se și întâmplă în realitate: protecția informatică a datelor cu caracter personal este exact la nivelul la care se află protecția informatică a organizației. Din această perspectivă, GDPR are un rol social foarte pozitiv, întrucât cu ocazia demersurilor pentru protecția datelor cu caracter personal, organizațiile vor asigura și protecția generală a informațiilor pe care le gestionează.

Marius Dumitrescu: Identificarea riscurilor este unul din cei mai importanți pași spre complianța GDPR. Dar dacă noi nu reușim să identificam nici breșele, cum am putea identifica riscurile?

Andrei Săvescu: Riscurile cu privire la protecția datelor cu caracter personal au o sferă mai largă decât riscurile informatice. Cel mai frecvent breșele sunt mai mari decât riscurile, pentru că nu există interes pentru exploatarea breșelor.

Marius Dumitrescu: A trecut un an de la intrarea în vigoare a GDPR. Ce s-a schimbat în decursul acestui an?

Andrei Săvescu: Cea mai importantă schimbare este creșterea numărului de specialiști. Această schimbare este foarte pozitivă. GDPR este mult mai cunoscut, el constituie o preocupare constantă pentru operatori, ceea ce a determinat creșterea numărului de specialiști. Acest trend cred că se va menține, și este foarte bine că va fi așa. O altă schimbare este scăderea fricii. Acum un an, frica era cauza unor reacții exagerate din partea operatorilor, reacții de natură să împiedice funcționarea normală a organizației. Acum un an, operatorii aveau tendința să sufle în iaurt. În acest moment lucrurile sunt mai așezate, iar GDPR produce efectul vizat, acela de generator de ordine în activitate. Și această schimbare mi se pare foarte bună.

Marius Dumitrescu: Cum vedeți implementarea Directivei NIS în România? Care sunt cele mai mari provocări? Ce măsuri au fost luate până în prezent?

Andrei Săvescu: Securitatea rețelelor și sistemelor informatice este o provocare pentru că necesită costuri mari, pricinuite de necesitatea utilizării unor echipamente scumpe și de necesitatea implicării unor oameni foarte calificați și foarte inteligenți, deci puțini, deci scumpi. Securitatea informatică este poziționată în zone stratosferice ale intelectului uman. Cauza dificultăților nu poate fi eliminată, pentru că adevărata cauză este modul în care a fost conceput Internetul. O schimbare a mecanicii intime a Internetului ar rezolva problemele legate de securitatea sistemelor informatice, însă probabil că asta nu se va întâmpla în curând, din pricină că problemele de securitate sunt, pentru organizații relevante, fructuoase. Prin urmare, cred că preocuparea pentru securitatea sistemelor informatice trebuie să fie în continuare susținută.

Marius Dumitrescu: Cine credeți ca ar trebui să se implice mai mult în diseminarea importanței datelor personale? Instituțiile publice, Autoritățile naționale de supraveghere sau ONG-urile din domeniul protecției datelor?

Andrei Săvescu: Am observat că Autoritatea Națională are o foarte bună implicare în diseminarea informațiilor privind protecția datelor cu caracter personal, atât în nume propriu, cât și prin sprijinirea inițiativelor în acest sens ale instituțiilor, ONG-urilor și chiar ale agenților economici. Cred că ONG-urile, așa cum este cel pe care îl conduceți, Asociația Specialiștilor în Confidențialitate și Protecția Datelor, pot face lucruri frumoase, și chiar fac. Protecția datelor cu caracter personal merită toată atenția care îi este deja acordată, și chiar mai mult.

Marius Dumitrescu: Vă mulțumesc.

Andrei Săvescu: Vă mulțumesc și eu pentru atenția pe care mi-ați acordat-o adresându-mi aceste întrebări și vă doresc mult succes în activitatea dumneavoastră, pe care o apreciez în mod special!

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Alexandru Gheorghe: Nu am găsit în România experți care să realizeze o „autopsie” a unui telefon mobil

INTERVIU EXCLUSIV

Vizualizari: 780

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Alexandru Gheorghe are o experiență de peste 12 ani în calitate de consilier juridic, DPO / Consultant Protectia Datelor, fiind fondatorul companiei Inperspective. El a format și condus departamentul juridic al Fashion Days pentru mai bine de 6 ani, având colaborări cu Miniprix, Best Value și Crew Shop, BusinessMark, Ollie Gang Shop, Modarena, Northfinder și Nooh Media, precum și cu un startup din Irlanda denumit PowerTiz. Este certificat ca și Data Protection Officer (Responsabil cu Protecția Datelor) de PECB Europe și este certificat ca și Formator de adulți (Trainer). Este unul din moderatorii Workshop-ulului dpo.Tools  organizat de Portalul dpo-NET.ro - Data Protection Officers Network, în data de 24 Martie 2020, în parteneriat cu Wolters Kluwer RomâniaNeoPrivacy RomâniaSAMSUNG, Inperspective, Reimens si IJV& Partners Law Firm și care abordează o tema de mare interes, "Mobilitatea, o provocare pentru aplicarea GDPR, analizând intr-un mod pragmatic avantajele si riscurile privind securitatea informatiilor si a datelor personale in contextul utilizarii din ce in ce mai mult a tehnologiei mobile pentru a comunica. Alexandru Gheorghe a acceptat să ofere un interviu în exclusivitate pentru cititorii și abonații dpo-net.ro, reușind să surprindă realitatea cu care se confruntă operatorii din Romania după aproape doi ani de când se aplică Regulamentul 2016/679.  

Participi ca speaker în cadrul workshop-ului dpo.Tools organizat în data de 24.03.2020 în parteneriat cu SAMSUNG ROMÂNIA, având titlul “MOBILITATEA, O PROVOCARE PENTRU APLICAREA GDPR”, cu o temă privind conceptul de “Mobile Forensics”. Ne poți spune despre ce este vorba?

Alex Gheorghe: Sigur. Sunt contrariat de ușurința cu care organizațiile tratează modul de utilizare al telefonului mobil personal sau de serviciu al personalului propriu. Telefoanele mobile sunt utilizate de cea mai mare parte a populației de pe glob: 5,11 miliarde de oameni utilizau telefoane smart la sfârșitul anului 2019, din care 4,39 miliarde erau utilizatori de internet unici; din aceștia 3,48 miliarde erau utilizatori ai unor rețele de socializare si 3,26 miliarde de oameni utilizau rețelele sociale pe telefoanele mobile la sfârșitul anului 2019 (cu o creștere anuala de 297 de milioane de noi utilizatori – aproape 10% creștere de la an la an).

Raportul „Digital 2019: Global Internet Use Accelerates” concluzionează că „în ciuda controverselor din jurul conceptului de viață privată, a industriei hackerilor, a realității fake news și a tuturor celorlalte aspecte negative ale vieții online, lumea continuă să îmbrățișeze utilizarea internetului și a rețelelor social media”. Predicțiile criminalității cibernetice în anul 2020 în opinia noastră, se vor intensifica în zona utilizatorului final (end-user) al unui dispozitiv smartphone.

Am descoperit conceptul de „Mobile Forensics” în Austria, unde există specialiști care examinează telefoane mobile utilizate ca mijloace ale unor infracțiuni (cybercrime sau nu), experți care colaborează cu organele de urmărire penală, instanțele de judecată și orice alte organizații private interesate de expertizarea criminalistică a dispozitivelor mobile. De asemenea, acești specialiști oferă cursuri de inițiere, examinare și perfecționare în domeniul „Mobile Forensics” personalului organizațiilor de profil.

În România există în prezent astfel de specialiști?

Alex Gheorghe: Ei bine, nu mi-e clar. După ce am descoperit conceptul Mobile Forensics în Viena, am cercetat ce oferă piața din România în acest domeniu, limitându-mă, ce-i drept, la internet. Pe site-ul Ministerului Justiției, există un tabel nominal actualizat cu experți criminaliști. Printre ei, găsim probabil câțiva experți în analiza aplicațiilor și datelor informatice, însă, având în vedere că lista nu precizează specializarea fiecărui expert, pare că lista nu este întocmită pentru a verifica locația expertului, existența certificării teritoriale a acestuia și.... informații privind actul de identitate și seria fiecărui expert – ceea ce în opinia noastră constituie o încălcare flagrantă a drepturilor și libertăților experților criminaliști conform GDPR de către Ministerul Justiției.

Nu am găsit însă specialiști individuali, experți care să realizeze o „autopsie” a unui telefon mobil în România. Dar, mă întreb și eu, dacă internetul nu îmi oferă informații, atunci unde aș putea să mai caut în anul 2020 astfel de experți la noi în țară?...

Spuneai că te surprinde ușurința cu care organizațiile tratează modul în care personalul utilizează telefonul mobil. Poți aprofunda afirmația?

 Alex Gheorghe: În toate companiile cu care am colaborat, angajații care primesc telefon de serviciu utilizează dispozitivul și în scop personal, adică introduc date personale în memoria telefonului de serviciu, sau, dacă nu le este pus la dispoziție un telefon de serviciu, utilizează în relațiile profesionale telefonul personal. Spuneai chiar tu o dată, că în momentul în care introduci informații aparținând locului de muncă, sau în relație cu locul de muncă pe telefonul personal, respectivul dispozitiv nu mai întrunește condițiile unui telefon de serviciu. Sunt de acord cu asta și se aplică și vice-versa. Telefoanele mobile smartphone utilizate de angajați în scop profesional, devin baze de date complexe, care găzduiesc informațiile are aparțin companiei (sau datele cu caracter personal prelucrate de aceasta), iar aceste baze de date se multiplică cu numărul de telefoane utilizate de angajați. Astfel, mijloacele de securitate ale acestor dispozitive precum cele care vor fi prezentate în cadrul workshop-ului, aplicarea la nivel intern procedural cel puțin a măsurilor de securitate de bază pentru dispozitive cu sistem de operare IoS sau Android și nu în cele din urmă, asigurarea unei instrucții periodice a angajaților cu privire la modul de utilizare și de „îngrijire” a telefonului mobil, reprezintă o dovadă de igienă cibernetică (cyber-hygene) obligatorie.

Ca să nu mai spun că, în opina noastră, dacă telefonul este „de serviciu”, atunci ar trebui să rămână, la sfârșitul programului de lucru, la serviciu...

Vorbeai despre masurile de securitate de baza ale dispozitivelor mobile. Poți sa detaliezi?

Alex Gheorghe: Asta ar însemna să intrăm în amănunt în legătură cu subiectul nostru, ceea ce aș vrea să extindem în cadrul workshop-ului. Însă, vom detalia aceste măsuri de securitate de bază ale dispozitivelor mobile, și vom pune la dispoziția participanților documente amănunțite privind aplicarea măsurilor de securitate inițiale (security controls benchmarks) particularizate pentru cele două sisteme de operare ale dispozitivelor mobile din cadrul celor mai multe dintre organizații: IoS și/sau Android.

Totuși, sunt întotdeauna plăcut surprins atunci când utilizatorii finali (angajații) își introduc PIN pe telefon ca măsură de securitate a accesului la dispozitiv, sau când o companie utilizează ca telefon de serviciu un dispozitiv NOKIA 3310 în locul unui smartphone.

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

INTERVIU EXCLUSIV

Vizualizari: 5964

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale a Profesioniștilor în Confidențialitate (IAPP), a oferit un interviu exclusiv pentru DpoNET - Data Protection Officers Network. Prin intermediul răspunsurilor oferite, avem ocazia să înțelegem mai bine viziunea sa despre evoluția protecției datelor în ultimii 20 de ani și despre cum arată viitorul, având în vedere utilizarea tot intensă a tehnologiei bazate pe Inteligența Artificială, ajungând la concluzia că DPO-ul este o nouă profesie hibridizată care presupune înțelegerea tehnologiei, a modului în care este utilizata tehnologia in afaceri și cu siguranță, cunoasterea legii.

În lumina aniversării a 20 de ani de la înființarea IAPP, vreau să vă lansez prima întrebare și să discutăm despre cum au evoluat domeniul protecției vieții private, în ultimii 20 de ani.

IAPP sărbătorește într-adevăr 20 de ani în acest an. Suntem foarte mândri, mai ales când realizăm ce incredibili au fost ultimii 20 de ani. Am crescut de la zero, de la o organizație foarte mică, la o organizație cu 52000 de membri din 120 de țări din întreaga lume. Creșterea organizației IAPP este o dovadă a creșterii complexității probemelor care fac din ce în ce mai dificilă protejarea vieții private. Aceaste provocări s-au intensificat din mai multe motive diferite și, cu siguranță tehnologia este pe primul loc. Noile tehnologii creează noi așteptări, noi provocări, în privința protecției vieții private. Avem nevoie de profesioniști care să ne ajute în fața acestor noi provocări. Așadar, cred că ceea ce vedem astăzi este o creștere continuă a provocărilor tehnologice asupra domeniului protecției vieții private și observăm nevoia tot mai mare de profesioniști care au abilități pentru a răspunde cu succes acestor noi provocări, reducând riscurile și identificând soluții mai bune pentru cetățeni, pentru consumatori, crescând totodată gradul de încredere în economia digitală.

Ce părere aveți despre viitorul domeniului Inteligenței Artificiale. La ce ar trebui să ne așteptăm? În ce direcție se îndreaptă acest domeniu în următorii ani?

Viitorul Inteligenței Artificiale, ca și domeniul confidențialității și protecției datelor, este foarte complicat și cred că este plin de riscuri pentru organizații. Știm că Inteligența Artificială folosește cantități masive de date și astfel pot exista probleme legate de protecția acestor date. Trebuie să ne asigurăm că procesarea algoritmică este transparentă și știm de ce Inteligeța Artificială ia anumite decizii. Trebuie să ne asigurăm că rezultatele proceselor decizionale automate nu sunt discriminatorii. Cred că putem învața multe din lecțiile pe care ni le-a oferit domeniul confidențialității și protecției datelor și va trebui să implementăm măsuri astfel încât lansarea acestor noi tehnologii să fie confortabile și acceptate de toată lumea.

Care sunt poveștile din acest domeniu care nu primesc suficientă atenție, există ceva la care jurnaliștii nu s-au gândit?

Este o întrebare grozavă. Există întradevăr povești care nu primesc suficientă atenție. Când mă gândesc la protecția datelor, realizez că în tot acest timp ne-am concentrat cel mai mult pe încălcările de securitate a vieții private și provocările pentru domeniul protecției datelor introduse de noile tehnologii.

Dar ce văd în fiecare zi este în primul rând volumul mare de munca, văd foarte multe organizații care investesc în oameni, în tehnologii și procese, în managementul riscurilor, pentru a ajuta la îmbunătățirea protecției datelor și a vieții private. Așadar, unul dintre lucrurile pe care cred că trebuie să le promovăm mai mult este existența celor 52000 de membri IAPP din întreaga lume care lucrează în fiecare zi pentru a crește nivelul de protecție a vieții private. Există tehnologii și instrumente pe care companiile le utilizează deja în acest scop și suntem foarte departe fața de cum am fost acum 20 de ani în ceea ce privește protecțiea vieții private în cadrul organizațiilor. Responsabilul cu protecția datelor este o profesie a viitorului și cred că ar trebui să promovăm mai mult aceste povești.

Aveți câteva sfaturi personale pentru profesioniștii în domeniul confidențialității datelor și implicit pentru cei care sunt DPO?

Da. Sfaturile pe care le dau oricărui tânăr care se gândește la o carieră în acest domeniu și oricărui profesionist care se gândește la o specializare în aceste domeniu este că nu este suficient să fii avocat, nu este suficient să fii manager, nu este suficient să fii un informatician. Cu siguranță, puteți obține o diplomă într-unul din aceste domenii, dar trebuie să fiți un profesionist hibrid. Dacă ești avocat, trebuie să înțelegi managementul afacerii, să te specializezi în managementul riscului și să obții cât mai mult cunoștințe în informatica pentru a avea succes și a fi eficient. Ceea ce vedem astăzi este o nouă profesie hibrid. Sfatul meu este fiecare profesionist trebuie să înțelegă tehnologia și modul în care este utilizata in afaceri, să cunoască legea și astfel va avea o carieră lungă de succes.

Mulțumesc foarte mult.

 

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Cursul postuniversitar UMFST Târgu Mureș de protecția datelor a ajuns la debutul celei de-a treia ediție

Cursul postuniversitar „Formare si pregatire a Responsabilului cu Protecția Datelor”, organizat de Centrul de cercetare pentru protecția datelor, constituit in cadrul Universității de Medicina, Farmacie, Științe și Tehnologie […]

Nicolae Ploeșteanu: „Consider că fiecare practician trebuie să aibă această carte”

In domeniul protecției datelor în România, anul 2020 a debutat cu lansarea pe piață a acestui volum, intituat „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016”, […]

Stefan Gabriel Iancu: România este in top 3 din Europa la numarul de amenzi GDPR aplicate

Stefan Gabriel Iancu are o experiență de peste 21 ani în calitate de consilier juridic, DPO / Consultant Protectia Datelor, fiind fondatorul companiei iPrivacy. El si-a dezvoltat expertiza […]

„Operatorii ar trebui sancționați pentru desemnarea persoanelor nepotrivite în functia de DPO?”

Alexandru Gheorghe are o experiență de peste 12 ani în calitate de consilier juridic, DPO / Consultant Protectia Datelor, fiind fondatorul companiei Iperspective. El a format și condus […]

Anul 2019 văzut prin ochii unui GDPR-ist, 10 momente memorabile

Este sfarsit de an si fiind un moment de bilant nu pot sa nu ma gandesc la cat de multe lucruri am realizat pe plan profesional si mai […]

Cătălina Lungu: „De Black Friday, vânătorii de chilipiruri se pot transforma în victime”

Cătălina Lungu este Responsabil cu protecția datelor (DPO) si Consultant GDPR la Proactiv Cons SRL , fiind licențiată în managementul firmei și absolventă a cursurilor postuniversitare în protecția […]

Brittany Kaiser: Intervenția străinilor în alegerile din România încă este o amenințare (VIDEO)

În calitate de fost Director de dezvoltare a afacerilor la Cambridge Analytica, Brittany Kaiser este un celebru denuntator, demascând modul în care au fost influențați și manipulați oamenii, […]

Gradul de conformare GDPR, în domeniul sanitar românesc, nu a depășit 15%

Regulamentul General privind Protecția Datelor (GDPR-General Data Protection Regulation) a apărut pentru a oferi un grad de control într-o lume dominată de tehnologie, iar conformarea la acest Regulament […]

Adriana Ceaușescu: „Trebuie să învățăm că implementarea GDPR este un efort de echipă”

Adriana Ceaușescu este Ofiter Securitatea Informatiei si Protectia Datelor pentru companii din domeniul Asigurarilor si Sanatatii și a urmat cursurile IAPP, participând totodată la intocmirea codului de conduita […]

Timis Horea: Frica de amenzi GDPR a oprit inovația în multe domenii

De profesie medic, Timis Horea este expert in Management Sanitar si fost director de proiecte europene pe componenta socio-medicala, la Primaria Alba Iulia, director de spital, director al […]

Radu Crahmaliuc: „Spitalele de stat din România nu sunt pregătite să ne proceseze datele”

Radu Crahmaliuc este fondatorul Cloud☁mania, una dintre cele mai populare platforme independente de cunoștințe și servicii din Europa de Est Centrală care s-a dezvoltat pe următorul principiu: „cele […]

Adrian Munteanu: În România găsim „un număr imens de „consultanți GDPR„ care au apărut de nicăieri”

Cu o experiență de peste 13 ani în proiecte de audit (internet banking, securitate IT, proiecte IT, proiecte finanțate prin fonduri UE), consultanță (continuitatea afacerii, analiză de impact, […]

Filip Truță: „Noua soluție Bitdefender 2020 protejează intimitatea utilizatorilor”

Filip Truță, security analyst la Bitdefender, a acordat un interviu in exclusivitate  pentru dpo-NET .ro despre GDPR și despre tehnologiile noi din soluția de securitate Bitdefender 2020 care […]

Gordon Wade: “ANSPDCP este pregătită să treacă de la o abordare tolerantă la una activă”

Gordon Wade este avocat specializat în confidentíalitatea și protecția datelor la PwC Legal Middle East, cu sediul în Dubai, și a acceptat cu entuziasm să ofere un interviu […]

Nicolae Ploeșteanu: „ONG-urile sunt cele care trebuie să se implice cel mai mult în România”

Nicolae Ploeșteanu a absolvit studiile juridice în anul 1995, la București și este Doctor în drept din anul 2005, făcând numeroase specializări în țară și în străinătate, în […]

Ana-Maria Udriște: “ Este foarte important să alegi o persoană care să te ajute în implementarea GDPR și să te facă să înțelegi că documentația nu este suficientă”

“România, trei amenzi GDPR, două premiere europene”, așa am putea sintetiza contextul în care se află țara noastră, asistând în ultimele zile la o lecție GDPR în trei […]

Daniel Suciu: A fost nevoie de două amenzi pentru a readuce GDPR-ul în vizorul operatorilor

În cei peste 30 de ani de activitate profesională, Daniel Suciu s-a implicat activ în aproape toate ariile de interes pentru Protecția datelor. A avut curiozitatea și oportunitatea […]

Analizăm prima amendă GDPR din România împreună cu Cristiana Deca

Anunțul primei amenzi GDPR în România a răsunat pe toate canalele de știri, stârnind interesul multora, motiv pentru care am rugat-o pe Cristiana Deca, unul dintre primii specialiști […]

Sergiu Bozianu: În Republica Moldova putem aplica amenzi contravenționale persoanelor cu funcție de răspundere

Sergiu Bozianu este în primul rând un profesionist în domeniul protecției datelor din Republica Moldova, ultima funcție publică fiind cea de director adjunct în Direcția Generală Supraveghere și […]