În cei peste 30 de ani de activitate profesională, Daniel Suciu s-a implicat activ în aproape toate ariile de interes pentru Protecția datelor. A avut curiozitatea și oportunitatea de a vedea problemele și soluțiile din aproape toate perspectivele, începând cu IT-ul, ca programator, administrator, tester, analist, PM, manager, auditor dar și din perspectivă financiară, HR sau relații cu clienții, managementul contractelor sau a proceselor, vânzări, audit, risk management, marketing sau juridic. A avut norocul să lucreze în multe proiecte crosfuncționale și să invețe de la specialiști din mai multe domenii, la toate nivelurile. În ciuda multor standarde sau metodologii studiate și aplicate, a încercat mereu să extragă principii și bune practici care să poată fi utilizate efectiv in toate mediile, atât cele formale cât și cele informale.

A trecut un an de la intrarea în vigoare a GDPR-ului. Ce s-a schimbat în decursul acestui an?

D.S.: În bine? Nu prea multe. Pentru cititorii în alte limbi au apărut foarte multe materiale utile, ghiduri, instrumente, clarificări... De asemenea au mai dispărut de pe piață o parte a vânzătorilor de conformitate care oricum nu aveau prea multe în comun cu domeniul, dar au văzut o oportunitate. Au apărut sau s-au maturizat în timp organizații private  - cum este si DPO.NET (și nu o spun din politețe) care contribuie, direct sau indirect, la conștientizarea si instruirea publicului si a operatorilor.

In rău, mult mai multe, pentru că până acuma s-au adeverit atitudinea celor ce spuneau că e doar o modă și o să treacă. Din păcate așa pare și chiar avântul celor inițial implicați in conformare a scăzut, în multe cazuri nici măcar nu s-au obosit să schimbe abordările inițiale, chiar dacă între timp s-au lămurit că nu erau cele mai bune, sau măcar legale. Alte priorități au luat locul GDPR-ului. Probabil o să se reia ciclul odată cu apariția amenzilor sau a proceselor intentate de către cei afectați.

În România, până în acest moment, s-au dat două amenzi pentru nerespectarea GDPR deși autoritatea condus aproape 1.000 de investigații, adoptând o atitudine orientată spre prevenție și dispunerea de măsuri corective. Considerați că amenzile au un rol important în aplicarea GDPR-ului? Din experienta dvs practică, cei mai mult operatori se conformează cu GDPR-ul din responsabilitate sau de frica amenzilor?

D.S.: Amenzile sunt, sau ar trebui să fie, doar un instrument de descurajare a practicilor ilegale, nu numai de pedepsire. De aceea peste tot în lume, indiferent de domeniu, acolo unde s-a obținut un grad mare de respectare a legislației, există pedepse care se aplică în mod consecvent. Contează foarte mult și cui vor fi aplicate amenzile și pentru ce motive, pentru a putea obține un efect de descurajare a comportamentelor ilegale.

Despre motivele reale ale conformării la GDPR, ce pot fi doar intuite de cei din domeniu, eu aș pune pe primul loc presiunea din partea acționarilor sau a partenerilor, mai ales pentru operatorii ce aparțin unor entități străine, care este generată de frica unor consecințe – amenzi sau procese care pot duce la afectarea imaginii. La modul real, cele mai multe companii nu-și propun de fapt conformarea la GDPR, ci doar acoperirea cu hărtii, fără a schimba prea mult din procesele existente. Asta e valabil și la marii operatori, unde majoritatea schimbărilor în relația cu consumatorii au constat în mai multe hîrtii, cererea consimțămîntului pentru orice, dar fără o schimbare a formularelor pline de date colectate excesiv. La fel în relațiile între companii, s-au adăugat clauze la contract, obligatoriu unul fiind operator iar altul împuternicit, fără a verifica cîtuși de puțin dacă aceștia chiar respectă legea. Practic, în cel puțin 90% din cazuri eu cred că schimbările au fost mai mult de formă, fără a adresa fondul problemei. Cred ca acest lucru va fi adresat în urmatorii ani, ca urmare a problemelor ivite și a constatării inutilității schimbărilor de formă.

Evident că există si excepții (cum ar fi clienții mei sau ai voștri J) care au înțeles necesitatea adresării problemelor de fond sau a oportunităților oferite de GDPR.

Ce înseamă mai exact primă amendă GDPR în Romania acordată Bancii Unicredit ? Ce sfaturi le dați operatorilor care doresc să evite să facă obiectul unei anchete și eventual a unei amenzi din partea autorității?

D.S.: Un prim pas în direcția potrivită, în special pentru motivele acestei amenzi, adresând probleme de fond ce ar trebui sau ar fi trebuit implementate. Pentru toți operatorii, indiferent de stadiul confomării, le-aș transmite că nu este prea târziu pentru a începe tratarea problemelor de fond. Mai bine mai târziu decât prea tarziu! Oricum varianta de a le ignora în continuare va fi sigur una pierzătoare.  Pentru a-și minimiza riscurile unei amenzi, eu i-aș sfătui să trateze cu mare atenție toate solicitările sau observațiile venite din partea persoanelor vizate, fie ei clienți, angajați, colaboratori. Să nu neglijăm aspectul că problemele pentru care a fost amendat operatorul în cauză sunt comune foarte multor operatori, dar investigațiile autorității au pornit de la o reclamație.

In decurs de doar cateva zile a fost anuntata si a doua amenda GDPR in Romania, acordata unui operator din turism pentru implementarea deficitara a masurilor tehnice si organizatorice. Ce ar trebui sa invatam din acest studiu de caz ? Din experienta relatiei cu proprii clienti, cat de mult accent pune un operator pe aceste masuri ?

D.S.: Cred ca mesajul transmis de către autoritate este unul cât se poate de simplu: operatorii ar trebui să se focalizeze pe identificarea riscurilor asupra securitatii datelor prelucrate și implementarea de masuri efective pentru a elimina sau minimiza aceste riscuri, prin modificarea proceselor operaționale în acest sens. Cred ca începe sa fie vizibilă și necesitatea unei abordări multidisciplinare, necesitatea implicării funcțiilor operaționale în procesul de conformare.

Scopul GDPR-ului nu este de a da amenzi ci de a proteja persoanele. Cu toate acestea, după 3 ani de la intrarea în vigoare a Regulamentului doar 67% dintre Europeni au auzit de GDPR, în timp ce doar 36% au declarat că știu ce este acest regulament (date prezentate de Comisia Europeana în sondajul Eurobarometru). Credeți ca aceste cifre sunt rezultatul dezinteresului persoanelor în ceea ce privește de protejarea datelor lor?

D.S.: Nu cred că este dezinteres. Cred că procentul este unul incurajator în conjunctura actuală, având in vedere că este „doar” una din multitudinea de legi Europene și naționale, iar numărul persoanelor afectate personal de incidente din acest domeniu nu este prea mare... nu încă.  De fapt, cred ca procentele sunt chiar exagerate, cel puțin procentul de 36% care „cunosc” legea.

Care credeți ca vor fi consecințele acestei lipse de conștientizări a importantei datelor în rândul persoanelor, pe termen lung?

D.S.: Din păcate, lipsa de cunoștințe minime în acest domeniu o să-i găsească nepregătiți în utilizarea în siguranță a internetului în general, vor accepta mai ușor comportamente iresponsabile ale operatorilor – considerîndu-le „normale”, nu vor putea să-și protejeze informațiile sensibile sau copiii de pericolele activităților online și vor învăța doar din greșeli, unele potențial costisitoare.

Este esențial ca persoanele să identifice prelucrările ilegale de date pentru a-și putea exercita drepturile. Cât este de important sa-ți cunoști drepturile atâta timp cât nu poți identifica o prelucrare ilegală? Pe ce ar trebui să se axeze campaniile de informare a persoanelor?

D.S.:Eu cred că informarea populației ar trebui axată pe aspecte concrete, întâlnite in viața de zi cu zi, cu exemple clare de „așa DA” și „așa NU”. Insistarea pe aspectele teoretice, eventual cu citarea legii, nu-și vor atinge scopul. Un rol major cred că l-ar avea și exemplele de pedepsire a celor ce încalcă flagrant legislația, pentru ca altfel se va accentua ideea existentă că oricum nu va fi nimeni pedepsit dacă le încalcă.

Cine credeți ca ar trebui să se implice mai mult în diseminarea importantei datelor personale? Instituțiile publice, Autoritățile naționale de supraveghere sau ONG-urile din domeniul protecției datelor?

D.S.: Nu cred ca este relevant cine ar trebui, pentru că răspunsul e clar, definit atât în lege cât și în documentele ce definesc anumite organizații. Important este cine o va face și cred că rolul esențial îl vor avea ONG-urile, firmele private (în general cele mici, nu marile nume), precum și specialiștii independenți. În plus organismele Europene sau autoritățile din țările cu tradiție sau interes in acest domeniu sunt foarte utile, fiind o lege Europeană cu intenția declarată de a fi implementată uniform in cadrul țărilor din SEE. Chiar dacă există unele diferențe, rolul de conștientizare poate fi atins și cu ajutorul acestora.

Care credeți că ar fi cea mai scurta cale spre creșterea gradului de conștientizare și complianta GDPR: educarea persoanelor sau educarea operatorilor?

D.S.:: Pentru mine este evident ca ambele au rolul lor și cel mai eficiente ar fi împreună. Aș menționa aici necesitatea unei abordări diferențiate la nivelul operatorilor și a persoanelor împuternicite, și anume „traducerea” legii în recomandări concrete, punerea la dispoziția operatorilor de instrumente pentru a-și evalua conformitatea, riscurile generice sau specifice unor domenii (resurse umane, contabilitate, vanzari online...). Exemplul autorității din UK este unul ce ar putea fi copiat, chiar dacă nu este perfect. Pe site-ul ICO există materiale dedicate micilor întreprinzători, ghiduri si chestionare pe anumite teme, cum ar fi securitatea datelor.

Credeți că instituțiile publice ar trebui sa fie un exemplu pentru restul operatorilor? Punem această întrebare pentru că în Romania avem un tratament preferențial pentru instituțiile publice, amenda maxima pentru nerespectarea GDPR-ului fiind de 200.000 lei (aproximativ 42.000 euro), cu mult inferior față de ceea ce risca operatorii privați.

D.S.:: Doamne ferește!  Până site-ul guvernului nici măcar nu se sinchisește să ia la cunoștință că există GDPR, nemaivorbind de implementarea unor obligații minime, nu cred că ar trebui să vorbim de exemplul instituțiilor publice în privința GDPR. Dacă mai adaugăm și lipsa de personal calificat, sau numirea unor DPO cu salariul minim pe economie la instituții de stat cu mii de angajați (caz concret cunoscut de mine) nu cred ca această problemă se va rezolva curănd. Mai rău este să fie luate ca exemplu.

Cu toate că România înregistrează cel mai scăzut nivel de utilizare a serviciilor de internet dintre statele membre ale UE, 86 % dintre utilizatorii români de internet au conturi pe rețelele sociale, ceea ce ne face campionii Europei la acest capitol. Având în vedere scandalurile imense în care au fost implicate rețelele de socializare, fie prin breșele de securitate, fie prin utilizarea ilicită a datelor, putem considera că suntem și cei mai vulnerabili. Cum considerați ca ar trebui să se comporte un utilizator de internet, dacă ar fi conștienți de riscurile pe care internetul le ascunde?

D.S.: „Decât” responsabil. Nu cred că ar fi rezonabil să pretindem ca toți utilizatorii să respecte bunele practici in domeniu, și nici măcar să citească și să aplice măsurile de bază din domeniul securității informatice. Cred că cea mai bună și cea mai simplă măsură ar fi să limiteze cantitatea de date postate, sau măcar să o facă pentru cei direcți interesați. Citirea efectivă a avertismentelor și mesajelor de „consimțământ” ar fi utilă pentru conștientizare.

Restul de educare va veni cu timpul, din păcate majoritar în urma unor experiențe neplăcute. Cred ca și publicitatea în jurul breșelor de securitate are un rol pozitiv, de „sperietoare”, făcând publicul mai atent la aspectele securității informatice.

Accesul copiilor la internet este deja o normalitate. Ar trebui acest lucru sa ne îngrijoreze? Considerați că o educație privind privind accesul la internet al copiilor ar trebui sa fie o sarcina a părinților sau sistemul de învățământ ar trebui să-și asume acest rol?

D.S.: Din păcate acest aspect este unul mult prea puțin discutat și adresat, cel puțin la nivel național. Inclusiv materialele de conștientizare existente par să ocolească acest subiect. Faptul că mulți utilizatori nu-și protejează datele personale este trist, dar faptul că nu-și pot proteja copiii este mult mai grav și cu efect și pe termen lung. Din observațiile mele, de multe ori cei mai mici știu mai multe decât părinții lor despre pericolele activităților online, doar că acest lucru nu-i face neapărat să le și evite. Sistemul de învățământ ar trebui să se implice în mod evident, dar nu au nici cunoștințele și nici autoritatea in fața copiilor in acest domeniu. Cred că cea mai bună măsură ar fi obligarea producătorilor de software, în special jocuri si social media să contribuie mai mult la educarea copiilor. Rolul specialiștilor în domeniu, firme de consultanță, ONG-uri, specialiști independenți cred că poate fi un factor mai mult decăt util în acest demers.

Facebook a lansat Study, un program de cercetare de piață bazat pe recompense. Cum vi se pare un asemenea concept: să fim plătiți pentru datele pe care le facem publice? Este acesta direcție una corectă?

D.S.: Din perspectiva mea personală, cred că nu este cea mai bună metodă. Inclusiv pe plan personal eu unul nu cred în educarea prin recompense și pedepse. Mie îmi seamănă prea mult a dresaj, nu a educație. Recompensele, ca și pedepsele pot avea rolul lor în stimularea unui comportament dorit, dar doar ca măsură secundară, după educarea propriuzisă prin înțelegerea fenomenelor și a posibilelor repercursiuni.

Aspectul pozitiv al acțiunii este conștientizarea publicului că aceste date au o valoare, precum și a scopurilor în care pot fi utilizate.

Conform unui raport DLA Piper (GDPR data breach survey: February 2019), de la data aplicării GDPR-ului și pana în februarie 2019, Autoritatea de supraveghere din Olanda înregistrase 15,400 de notificări de breșe, în timp ce România număra la acea vreme doar 270. Care credeți că este motivul acestei discrepanțe? Suntem noi romanii un popor norocos și breșele de securitate ne evită, ori nu recunoaștem o breșă de securitate nici dacă ne împiedicăm de ea?

D.S.: Nu cred că problema noastră este lipsa de inteligență, implicit recunoașterea unei breșe de securitate, ci resposabilitatea. Întrebarea pe care și-o puni mulți factori responsabili din organizații este de ce ar raporta ei o breșă? Pentru a fi investigați de către autoritate? Si ce se întamplă daca nu se raportează? Se pare că nimic, deci de ce ar raporta? Adică ei sunt mai fraieri?  Ca specialist în domeniu este imposibil să nu vezi încălcări ale GDPR și chiar breșe de securitate la aproape orice interacțiune cu vreun operator de date, unele fragrante, inclusiv la marii operatori.

Un exemplu elocvent, întâlnit de mine în mod constant, și ușor de tratat, este modul de tratare a formularelor greșite ( inclusiv de către bănci, operatori telecom, furnizori de servicii, unități medicale...). Aproape în mod invariabil, acestea ajung la gunoi, eventual rupte în două ca „anonimizare”. Dacă întrebați de ce nu folosesc un „tocător” de documente o să vă răspundă cel mai probabil că vor folosi dacă cineva le va cumpăra unul.... Este un aspect minor, dar cred că este reprezentativ pentru „seriozitatea” cu care sunt tratate datele personale.

Identificarea riscurilor este unul din cei mai importanți pași spre complianta GDPR. Dar dacă noi nu resuim sa identificam nici breșele, cum am putea identifica riscurile?

D.S.: E mai simplu decât pare, chiar in lipsa unui proces formal de management al riscurilor, problemă întâlnită și la companiile cu sute sau mii de angajați. Cum anume? Citind care sunt amenințările generice pentru orice activitate sau cele specifice domeniului. Există foarte multe materiale gratuite în care acestea sunt evidențiate și chiar se oferă recomandări pentru adresarea lor.  Dacă s-ar rezolva măcar cele mai comune riscuri ar fi un mare pas inainte. Care sunt cele mai comune? Cred că utilizarea emailului personal în scopuri de business sau utilizarea unui email gratuit (Gmail, Yahoo,...) ar fi cap de listă. Utilizarea unor softuri licențiate si actualizate ar fi pasul următor. La nivel individual utilizarea unor parole adecvate sau mai bine a autentificarii prin doi factori ar fi de dorit, precum și utilizarea doar a rețelelor sigure de comunicare, evitarea retelelor publice wi-fi. La nivel de organizații, crearea unor copii de rezervă, o politică de acordare a drepturilor pe bază de nevoi și protejarea rețelei de calculatoare ar fi un minim de multe ori ignorat. Comunicarea cu partenerii de business sau furnizorii de servicii ar fi bine să nu fie facută pe email fără criptarea datelor. Nu e o lista completă, dar de multe ori cel puțin una dintre aceste reguli, dacă nu majoritatea, sunt complet ignorate. De conștientizarea și instruirea angajaților este inutil să menționez, pentru că deși este cea mai sigură metodă este și cea mai ignorată.

Data de 25 mai 2020 a marcat 2 ani de la implementarea regulamentului GDPR in Uniunea Europeana. Au fost doi ani plini de schimbari, atat pentru utilizatori, cat si pentru companii, dar, mai ales, pentru specialistii in protectia datelor. Cu această ocazie, colegii noștri de la SYPHER au realizat acest articol colaj in patru parti, care prezinta 2 ani de GDPR din perspectiva mai multor profesionisti in domeniul protectiei datelor.

Cum ati caracteriza, pe scurt, cei doi ani care au trecut de la implementarea GDPR in Uniunea Europeana?

Pentru Bogdan Manolea, au fost “doi ani destul de complicati. Pe de o parte, cei care au crezut ca dupa 25 mai 2018 se va sfarsi lumea si va incepe o noua era in protectia datelor personale, pot fi dezamagiti de un sistem greoi, unde de la teorie la practica e cale lunga, iar partea de aplicare arata limitele autoritilor (umane, financiare, de cunostiinte tehnice), dar si al neplanificarii (aplicarea pare mai degraba haotica si selectiva, decat un proces riguros si logic). Pe cealalta parte, cei care au crezut ca dupa 25 mai 2018 nu se va intampla absolut nimic, pot sa se simta si ei dezamagiti.  Amenzi se dau, ba chiar si la cei mici si chiar la persoane fizice. Autoritatile par a fi mai decise sa aplice textele legislative decat inainte, iar subiectul protectiei datelor personale este mult mai vizibil.”

Din punctul sau de vedere, cel mai important castig al industriei a fost ca “Toata lumea din zona de business digital stie de GDPR”.

In opinia lui Serban Popa, consultant GDPR la Unity Solutions, “Principalele caracterisitici dupa intrarea in vigoare a noului regulament au fost lipsa de intelegere, mai ales de partea responsabililor din entitatile ce opereaza cu date cu caracter personal, varietatea si ambiguitatea diverselor solutii de conformare la noul regulament puse la dispozitie de o multime de specialisti, mare majoritate fara expertiza si experienta. Au urmat luni de evenimente ce au produs mici miscari de trupe in anumite domenii; au inceput mai ales in firmele serioase si mari sa se desfasoare procese de analiza complexe”.

Totodata, Serban Popa mentioneaza ca, dupa mai bine de un an, cand au inceput si avertismentele si amenzile din partea autoritatii, “lumea/operatorii au inceput sa inteleaga ca avem o noua entitate de reglementare similara cu cea din domeniul concurentei. Au aparut o serie importanta de clarificari la nivel de EDPB si, mai ales, din partea DPA-urilor vestice cu traditie”.

Pentru Raluca Puscas, avocat asociat la Filip & Company,“Cel mai vizibil efect este cresterea gradului de constientizare, atat la nivelul organizatiilor, dar si la nivelul cetatenilor, asupra aspectelor legate de protectia datelor. GDPR apare in discutie din ce in ce mai des atunci cand sunt abordate subiecte din diverse zone, incepand cu securitatea datelor pe internet, mesaje si campanii de marketing, comert online si, mai recent, in context de telemunca sau al masurilor luate in cadrul starii de urgenta / alerta”.

Ea puncteaza un un alt aspect extrem de important si anume, faptul ca, este vorba despre un proces continu. Raluca Puscas remarca, de asemenea, “ca a crescut preocuparea pentru asigurarea securitatii datelor, prevenirea pierderii datelor si incorporarea cerintelor de privacy in ariile de activitate sau a produsele noi pe care companiile doresc sa le dezvolte”.

Stefan Iancu, consultant GDPR in cadrul companiei iPrivacy, afirma ca legislatia referitoare la GDPR “a determinat acordarea unei atentii sporite protectiei datelor cu caracter personal atat in Europa, cat si in afara ei. Tot mai multe state sunt interesate in implementarea de legislatii similare. Desi majoritatea operatorilor nu au fost atat de pregatiti pe cat era de asteptat, aspect demonstrat si de amenzile aplicate in Europa (peste 270), majoritatea operatorilor continua in mod proactiv eforturile de conformare”.

Din punctul sau de vedere, “Numarul de amenzi aplicate este relativ mic prin comparatie cu numarul sesizarilor, iar cuantumul acestora tinde sa fie mai aproape de minimul prevazut de Regulament, daca le raportam la cifra de afaceri. De exemplu, chiar si cea mai mare amenda, ca valoare nominala, aplicata British Airways, 204,600,000 EUR, reprezinta 1,5%din cifra de afaceri a operatorului”.

Roxana Mitroi, avocat in cadrul bpv GRIGORESCU STEFANICA, observa “o tendinta tot mai mare de constientizare a protectiei ce trebuie oferita datelor cu caracter personal. Acest aspect se remarca la nivelul tuturor organizatiilor, avand in vedere ca prevederile regulamentului se aplica tuturor companiilor, fie ca vorbim de organizatii internationale, fie ca vorbim de organizatii autohtone. Este adevarat, ca in mod cert, unele industrii sunt mai expuse decat altele, in special prin prisma volumului mare de date personale ce sunt prelucrate sau chiar al complexitatii operatiunilor de prelucrare efectuate”.

Un alt aspect important semnalat de Roxana Mitroi  este ca, „principalii jucatori au inteles ca prevederile GDPR nu pot fi ocolite prin formule contractuale care sa aloce raspunderea catre terti, catre persoanele vizate sau chiar sa le inlature raspunderea. Astfel, pentru ca s-au lovit de o constientizare rapida a impactului puternic pe care il poate avea pierderea, stergerea, sustragerea sau chiar un incident de securitate asupra datelor cu caracter personal, pentru unii operatori de date, calatoria spre conformarea cu prevederile GDPR a inceput din timp, dinainte de implementarea prevederilor GDPR la nivelul legislatiilor nationale. De asemenea, dupa doi ani de la aplicabilitatea prevederilor GDPR la nivel national, in acest domeniu se observa un ritm de munca sustinut. Acest ritm de munca continuu vizeaza inclusiv momente ulterioare finalizarii implementarii, datorita fluxurilor si proceselor de prelucrari ce pot suferi diferite modificari in timp.  De asemenea, pot interveni si procese noi de prelucrari a datelor, fapt ce poate duce la noi provocari cu privire la analizarea gradului de conformare cu prevederile GDPR”.

In opinia lui Marius Dumitrescu, specialist GDPR, “GDPR-ul nu este o revolutie, este o evolutie!”. El remarca faptul ca, “In Romania, GDPR-ul a intrat brusc in vietile noastre, acum doi ani de zile, printr-un bombardament al consimtamintelor, lansat de operatori din dorinta de a intra rapid in legalitate. Din pacate, si astazi mai exista operatori care folosesc consimtamantul ca temei legal pentru prelucrarea datelor privind sanatatea persoanelor vizate si deduc, astfel, ca DPO-ul nu si-a castigat inca locul pe care il merita in organizatie si recomandarile lui inca nu sunt ascultate”.

El mai semnaleaza faptul ca “In ultimii doi ani, strategia de vanzari a multor firme de consultanta s-a bazat pe crearea panicii, folosind marketingul inselator care accentua, in primul rand, dimensiunea astronomica a amenzilor, in loc sa promoveze nevoia de instruire a personalului. Platim si astazi campaniile de marketing de acum doi ani care vindeau complianta formala fara a include serviciile de specialitate ale unui DPO”.

Marta Popa, Senior Partner la Voicu si Filipescu SCA, mentioneaza ca: “Regulamentul GDPR a fost <<problema anului 2000>> in domeniul protectiei datelor, nu doar in Europa, ci in intreaga lume. Organizatiile s-au straduit sa se conformeze, de teama consecintelor. Dar limbajul GDPR este foarte sofisticat, uneori vag, astfel incat, procesul de conformitate a fost marcat de incertitudini pentru multe organizatii, publice sau private. Ne asteptam sa apara si alte reglementari in domeniul protectiei datelor, inclusiv in zona de E-Privacy si vom vedea o crestere a impactului si a aplicarii legislatiei, inclusiv in ceea ce  priveste amenzile. Ne putem astepta ca si Brexit-ul sa impacteze unele companii din punct de vedere GDPR. Alte motive de ingrijorare se refera la recomandari in procesarea datelor legate de sanatate in contextul pandemiei de COVID-19 sau inteligenta artificiala (AI).

Marta Popa concluzioneaza: “Cei doi ani de GDPR au adus, cu siguranta, multe beneficii companiilor. In primul rand, GDPR a dus la o mai buna gestionare a datelor si a managementului datelor. In al doilea rand, protectia datelor a fost adusa in atentia managementului superior, ceea ce este o consecinta pozitiva. Si, in al treilea rand, companiile care au investit in conformitate beneficiaza de o crestere a gradului de incredere din partea clientilor si a partenerilor de afaceri”.

Astăzi, 25 mai 2020, se împlinesc doi ani de la aplicarea Regulamentului general privind protecția datelor personale (GDPR), moment prielnic pentru noi toți de a realiza o scurtă retrospectivă și de a trage câteva concluzii esențiale. Au fost multe provocări, atât pentru DPO cât și pentru operatorii de date care și-au propus să obțină și să mențină conformitatea GDPR. Cel mai important  lucru este să folosim pe viitor lecțiile deja învățate și tocmai despre aceste lecții vorbește Marius Dumitrescu, specialist în domeniul protecției datelor, în următorul interviu. 

Cum ai caracteriza, pe scurt, cei doi ani care au trecut de la implementarea GDPR în Uniunea Europeana?

"GDPR-ul nu este o revoluție, este o evoluție!", așa îmi încep majoritatea cursurilor încercând să explic că acest pachet de reglementări legislative există încă din 1995 și a evoluat într-un regulament european unic, influențat mai ales de dezvoltarea tehnologică fără precedent. Mai mult, putem spune că și în acest moment legislația aleargă după tehnologie, dacă ne gândim doar la inteligența artificială și la tehnologia 5G.

Regulamentul UE 679/2016 cunoscut drept GDPR a intrat în vigoare în 2016, acum patru ani de zile, dar se aplică doar din 25 mai 2018, după o perioadă de grație de doi ani, pe care majoritatea statelor europene, inclusiv România, nu au folosit-o pentru a lansa campanii de educare a persoanelor vizate și a operatorilor. Astfel, startul a fost dat în luna mai 2018, la momentul respectiv existând o estimare că doar 20% dintre operatorii europeni au început demersurile pentru a obține conformitatea. Aceste procent a crescut semnificativ valoric, fiind estimat astăzi ca fiind peste 60%, dar am rețineri privind calitatea conformităților obținute la nivel european. Conform studiilor, în 2019 s-a ajuns deja la crearea primelor 500.000 de roluri de DPO, fără a modifica fundamental organigramele și fără a asigura toate resursele necesare pentru a îndeplini cu succes acest rol. Operatorii de date trebuie să renunțe la a mai căuta soluții formale și să înțeleagă faptul că această mult dorită complianță GDPR nu se obține apăsând butonul "Print" și că orice operator care alege această cale rămâne la fel de expus riscurilor.

În România, GDPR-ul a intrat brusc în viețile noastre, acum doi ani de zile, printr-un bombardament al consimțămintelor, lansat de operatori din dorința de a intra rapid în legalitate. Din păcate și astăzi mai există operatori care folosesc consimțământul ca temei legal pentru prelucrarea datelor privind sănătatea persoanelor vizate și deduc, astfel, că DPO-ul nu și-a câștigat încă locul pe care îl merită în organizație și recomandările lui încă nu sunt ascultate.

În ultimii doi ani, strategia de vânzări a multor firme de consultanță s-a bazat pe “crearea panicii”, folosind marketingul înșelător care accentua, în primul rând, dimensiunea astronomică a amenzilor în loc să promoveze nevoia de instruire a personalului. Plătim și astăzi campaniile de marketing de acum doi ani care vindeau complianță formală fără a include serviciile de specialitate ale unui DPO.

Astazi, mai mult ca oricând, trebuie să ne reamintim că în tot acest GDPR este vorba despre oameni, sau mai bine spus despre NOI! Nu este vorba despre creșterea birocrației și despre proceduri sufocante. Este vorba despre respectul pe care trebuie să îl acordăm și să îl obținem unii de la ceilalți, respect de care am uitat datorită banilor obținuți prin tranzacționarea datelor personale și a informațiilor confidențiale, ca efect direct al evoluției exponențiale a tehnologiei. Să nu uităm că toți suntem persoane vizate. Dacă la birou nu simt acest lucru pentru că sunt patron și influențez și decid direct în ce direcție îmi conduc firma, atunci când navighez pe internet sau pur și simplu merg pe stradă, intru într-un supermarket sau într-un hotel, sunt doar o persoană fizică și mă aștept să pot să decid cine, de ce și ce date personale prelucrează despre mine. Cu toții trebuie să punem umărul și să vorbim cu prietenii, rudele, vecinii despre erorile pe care le facem atunci când vânăm gratuități pe internet. Trebuie să încetăm să mai credem că ceva este gratuit și să înțelegem că, de fapt, plătim scump cu datele noastre personale care au devenit o valoroasă monedă de schimb.

Și mai trebuie să învățăm o lecție : „Când ești cunoscut, oamenilor le place să vorbească despre tine. Totuși, nu tot ce se vorbește, este și adevărat!”. Încă trebuie să învățăm ce înseamnă Fakenews, să recunoaștem acest fenomen, să ne protejăm, să nu mai alimentăm cererea și să sancționăm atunci când această practică ne influențează deciziile.

Care consideri că a fost cea mai mare provocare pentru specialiștii în protecția datelor personale?

Persoana fizică în sine a rămas cea mai mare provocare pentru întreg domeniul protecției datelor din România, deoarece, prin lipsa de cultură, întreg corpul profesional se confruntă cu solicitări nejustificate și insuficient documentate privind ștergeri selective sau rectificări neîntemeiate a informațiilor înregistrate în documente. Cu siguranță aceste solicitări nu vor fi soluționate în favoarea persoanei vizate, existând mai multe reglementări specifice în ceea ce privește termenul de retenție și posibilitățile de acces restricționat și condiționat. Gardianul modului în care se respectă confidențialitatea și mecanismele de protecție a datelor cu caracter personal rămâne în continuare Responsabilul cu protecția datelor cu caracter personal (DPO), această meserie nou apărută, care se confruntă probabil cu cele mai mari provocări profesionale datorită caracterului general al Regulamentului (UE) 2016/679 și lipsei unor repere unitare privind interpretarea și implementarea lui.

Poate și denumirea postului, care induce ideea responsabilității concentrate pe umerii unei singure persoane, a îngreunat ascensiunea și recunoașterea profesională, mulți DPO făcând educație managementului în momentul semnării contractelor de consultanță.

Care a fost cea mai mare provocare a companiilor în procesul de obținere și menținere a conformității GDPR?

Angajații reprezintă unul dintre cele mai mari riscuri în ceea ce privește securitatea unei organizații. Și nu spun eu asta, mergând pe principiul 80/20 al lui Pareto, transpus în business (80% din probleme sunt cauzate de 20% dintre angajați), ci studiul State of Cybersecurity 2019 realizat de ISACA.

Din punctul meu de vedere, cea mai mare provocare a companiilor în procesul de obținere și menținere a conformității GDPR este carența unei culturi a responsabilității, în rândul angajaților, privind protecția datelor personale. Acesta carență poate fi diminuată substanțial în urma instituirii unor programe de instruire cu privire la importanța protecției datelor în concordanță cu practicile generale și politicile specifice activității companiei. Responsabilizarea angajaților din perspectiva protecției datelor personale va aduce un plus de valoare companiei. Un angajat conștient și informat este un angajat vigilent și care acționează cu responsabilitate, riscurile unei erori umane scăzând, în același timp în care randamentul muncii crește. Mai mult, identificarea rapidă a eventualelor breșe de securitate și respectarea protocolului de răspuns la incidente va minimiza pierderile companiei.

Rămân un visător și sper ca în următoarea perioadă să vedem campanii de educare a persoanelor vizate din România, și de ce nu, campanii de educație în scoli.

Care a fost cea mai importantă lecție pe care companiile, dar și specialiștii în protecția datelor personale au învățat-o în această perioadă?

Constat că în ultimele două luni, de când a fost recunoscută oficial pandemia Covid -19, s-a vorbit despre GDPR mai mult decât în toată perioada de când a intrat în vigoare Regulamentul UE 679/2016 și este trist că a fost nevoie de acest coronavirus ca să-i acordăm atenția pe care o merită.

Societatea în care trăim s-a schimbat, fiind supusă la unul din cele mai dificile teste de stres. Frica este cea care a obligat societatea noastră să se adapteze și să se maturizeze forțat, făcând, în primul rând, un salt mare către digitalizare. Vorbim astăzi mai mult ca niciodată despre tele-muncă, tele-medicină, tele-educație și mai ales despre știrile false.

Fiind un act de responsabilitate să stăm acasă în aceste condiții, utilizăm din ce în ce mai mult tehnologia, din dorința de a comunica cu cei dragi și cu colegii de serviciu. Am auzit că s-au organizat zile de naștere online, că oamenii au continuat să se întâlnească și să bea o cafea cu prietenii, printr-o conexiune video și că se pot vizita muzee sau chiar să participi la concerte din confortul fotoliului de acasă. Citim cărți pentru care până acum nu găseam timpul necesar. Pentru o parte din oameni, autoizolarea este un test greu de trecut și de suportat și nimeni nu conștientizează, încă, faptul că procesul de autoizolare socială este un fenomen apărut o dată cu rețele de socializare. Se vorbește de ani de zile de această tendință de a petrece mai mult timp în casă, conectat cu mii de prieteni online, cu care poate nu te-ai întâlnit niciodată față în față. Astăzi, mai mult ca niciodată, prețuim interacțiunea fizică și testăm efectul nociv și pervers al dezinformărilor care abundă pe rețelele de socializare. Este o lecție pe care am învățat-o în timpul acestei pandemii și cred că societatea noastră nu va mai fi niciodată la fel ca înainte.

Trebuie să realizăm și că toată această digitalizare, pe repede înainte, vine la pachet cu asumarea unor riscuri de care mi-aș dori să fim conștienți încă de la început.

Nu cred că suntem pregătiți încă să îmbrățișăm digitalizarea și să ne folosim la maxim de beneficiile acesteia. În urma recomandărilor autorităților din România, mai multe companii au decis să accepte, de pe o zi pe alta, ca angajații să lucreze de acasă. Din punct de vedere legal eram pregătiți, legislația română avea prevederi clare privind tele-munca și cele mai multe firme au semnat acum cu fiecare angajat doar un act adițional la contractul de muncă, pentru a îndeplini această formalitate birocratică. Foarte puține firme au investit în securizarea echipamentelor și a căilor de comunicare, alegând deseori soluțiile cele mai rapide și ieftine, utilizând de cele mai multe ori echipamentele proprii ale angajaților.

În ultimele zile chiar am urmărit cum a crescut numărul incidentelor de securitate, prin campanii de phishing, infectând mii de computere, bazându-se pe naivitatea utilizatorilor care acum citesc orice email legat de acest Coronavirus. Din păcate, foarte multe afaceri au de suferit și, mai mult decât efectele acestei pandemii, mă sperie valul de recesiune care ne va lovi peste câteva luni.

Mi-aș fi dorit să vorbim de digitalizarea mediului de business românesc, precum și a administrației publice, în alte condiții decât cele de astăzi.

Revenind la domeniul protecției datelor, chiar dacă DPO-ul este captiv între obligațiile legale impuse de legile organice, care pot limita drepturile persoanelor, și principiile și obligațiile GDPR, există, în opinia mea, o rețetă pentru a asigura un echilibru între toate aceste reglementări:

1. Implicarea DPO-ului. El este specialistul care astăzi poate să consilieze și să ghideze organizația în respectarea GDPR și păstrarea acestui echilibru cu obligațiile legale și interesele comerciale.
2. Respectarea celor șapte principii fundamentale ale GDPR. Aceste principii trebuie să devină o realitate, trebuie să fie implementate în orice fel de procedură, ca niște filtre care trebuie aplicate înainte de a lansa orice tip de document, orice fel de procedură.
3. Informarea persoanelor vizate. Este foarte ușor să investim în această informare prealabilă și să obținem, practic, o implicare și motivarea acestor persoane, pentru că, în fond, toate aceste proceduri restrictive sunt în interesul lor, al protecției datelor lor cu caracter personal.
4. Instruirea persoanelor și obținerea de garanții adecvate. Trebuie să fim foarte atenți atunci când datele angajaților noștri, sau datele clienților noștri, datele vizitatorilor noștri sunt prelucrate de către împuterniciții noștri ca operatori și să ne asigurăm că sunt implementate măsuri tehnice și organizatorice de protecție și securitate a acestor date personale pe tot procesul de prelucrare.
5. Evaluarea nivelului de prelucrare a datelor (de exemplu, dacă este excesiv) și identificarea unor metode mai puțin intruzive de prelucrare a datelor personale, fără a creste birocrația. Să nu uităm că DPO-ul este cel care poate evalua dacă discutăm de un nivel excesiv de prelucrare a datelor, trebuie să încercăm să limităm înscrisurile, astfel încât să nu creștem birocrația doar de dragul de a ne acoperi cu documente justificative privind respectarea acestei legi. Respectarea tuturor celorlalte principii GDPR s-ar face mult mai ușor dacă principiul minimizării ar fi respectat întocmai și pun accent mai ales pe acest lucru, deoarece noi, românii, companiile românești, instituțiile statului am ridicat birocrația aproape la nivel de tradiție. Nu tot ce e mult e și bun, un singur document bine întocmit și cu responsabilitate mă protejează la fel de bine ca zece documente pline de date personale nefolositoare, dar colectate pe sistemul „să fie”.

Concluzionez că această rețeta nu se aplică exclusiv în această perioadă de pandemie, cele cinci recomandări fiind aplicabile oricărei organizații care își propune în următorul an să își adapteze cultura organizațională și să îmbrățișeze principiile GDPR.