Daniel Suciu: A fost nevoie de două amenzi pentru a readuce GDPR-ul în vizorul operatorilor

INTERVIU EXCLUSIV

Vizualizari: 1796

Facebooktwittergoogle_plusredditpinterestlinkedinmail

În cei peste 30 de ani de activitate profesională, Daniel Suciu s-a implicat activ în aproape toate ariile de interes pentru Protecția datelor. A avut curiozitatea și oportunitatea de a vedea problemele și soluțiile din aproape toate perspectivele, începând cu IT-ul, ca programator, administrator, tester, analist, PM, manager, auditor dar și din perspectivă financiară, HR sau relații cu clienții, managementul contractelor sau a proceselor, vânzări, audit, risk management, marketing sau juridic. A avut norocul să lucreze în multe proiecte crosfuncționale și să invețe de la specialiști din mai multe domenii, la toate nivelurile. În ciuda multor standarde sau metodologii studiate și aplicate, a încercat mereu să extragă principii și bune practici care să poată fi utilizate efectiv in toate mediile, atât cele formale cât și cele informale.

A trecut un an de la intrarea în vigoare a GDPR-ului. Ce s-a schimbat în decursul acestui an?

D.S.: În bine? Nu prea multe. Pentru cititorii în alte limbi au apărut foarte multe materiale utile, ghiduri, instrumente, clarificări... De asemenea au mai dispărut de pe piață o parte a vânzătorilor de conformitate care oricum nu aveau prea multe în comun cu domeniul, dar au văzut o oportunitate. Au apărut sau s-au maturizat în timp organizații private  - cum este si DPO.NET (și nu o spun din politețe) care contribuie, direct sau indirect, la conștientizarea si instruirea publicului si a operatorilor.

In rău, mult mai multe, pentru că până acuma s-au adeverit atitudinea celor ce spuneau că e doar o modă și o să treacă. Din păcate așa pare și chiar avântul celor inițial implicați in conformare a scăzut, în multe cazuri nici măcar nu s-au obosit să schimbe abordările inițiale, chiar dacă între timp s-au lămurit că nu erau cele mai bune, sau măcar legale. Alte priorități au luat locul GDPR-ului. Probabil o să se reia ciclul odată cu apariția amenzilor sau a proceselor intentate de către cei afectați.

În România, până în acest moment, s-au dat două amenzi pentru nerespectarea GDPR deși autoritatea condus aproape 1.000 de investigații, adoptând o atitudine orientată spre prevenție și dispunerea de măsuri corective. Considerați că amenzile au un rol important în aplicarea GDPR-ului? Din experienta dvs practică, cei mai mult operatori se conformează cu GDPR-ul din responsabilitate sau de frica amenzilor?

D.S.: Amenzile sunt, sau ar trebui să fie, doar un instrument de descurajare a practicilor ilegale, nu numai de pedepsire. De aceea peste tot în lume, indiferent de domeniu, acolo unde s-a obținut un grad mare de respectare a legislației, există pedepse care se aplică în mod consecvent. Contează foarte mult și cui vor fi aplicate amenzile și pentru ce motive, pentru a putea obține un efect de descurajare a comportamentelor ilegale.

Despre motivele reale ale conformării la GDPR, ce pot fi doar intuite de cei din domeniu, eu aș pune pe primul loc presiunea din partea acționarilor sau a partenerilor, mai ales pentru operatorii ce aparțin unor entități străine, care este generată de frica unor consecințe – amenzi sau procese care pot duce la afectarea imaginii. La modul real, cele mai multe companii nu-și propun de fapt conformarea la GDPR, ci doar acoperirea cu hărtii, fără a schimba prea mult din procesele existente. Asta e valabil și la marii operatori, unde majoritatea schimbărilor în relația cu consumatorii au constat în mai multe hîrtii, cererea consimțămîntului pentru orice, dar fără o schimbare a formularelor pline de date colectate excesiv. La fel în relațiile între companii, s-au adăugat clauze la contract, obligatoriu unul fiind operator iar altul împuternicit, fără a verifica cîtuși de puțin dacă aceștia chiar respectă legea. Practic, în cel puțin 90% din cazuri eu cred că schimbările au fost mai mult de formă, fără a adresa fondul problemei. Cred ca acest lucru va fi adresat în urmatorii ani, ca urmare a problemelor ivite și a constatării inutilității schimbărilor de formă.

Evident că există si excepții (cum ar fi clienții mei sau ai voștri J) care au înțeles necesitatea adresării problemelor de fond sau a oportunităților oferite de GDPR.

Ce înseamă mai exact primă amendă GDPR în Romania acordată Bancii Unicredit ? Ce sfaturi le dați operatorilor care doresc să evite să facă obiectul unei anchete și eventual a unei amenzi din partea autorității?

D.S.: Un prim pas în direcția potrivită, în special pentru motivele acestei amenzi, adresând probleme de fond ce ar trebui sau ar fi trebuit implementate. Pentru toți operatorii, indiferent de stadiul confomării, le-aș transmite că nu este prea târziu pentru a începe tratarea problemelor de fond. Mai bine mai târziu decât prea tarziu! Oricum varianta de a le ignora în continuare va fi sigur una pierzătoare.  Pentru a-și minimiza riscurile unei amenzi, eu i-aș sfătui să trateze cu mare atenție toate solicitările sau observațiile venite din partea persoanelor vizate, fie ei clienți, angajați, colaboratori. Să nu neglijăm aspectul că problemele pentru care a fost amendat operatorul în cauză sunt comune foarte multor operatori, dar investigațiile autorității au pornit de la o reclamație.

In decurs de doar cateva zile a fost anuntata si a doua amenda GDPR in Romania, acordata unui operator din turism pentru implementarea deficitara a masurilor tehnice si organizatorice. Ce ar trebui sa invatam din acest studiu de caz ? Din experienta relatiei cu proprii clienti, cat de mult accent pune un operator pe aceste masuri ?

D.S.: Cred ca mesajul transmis de către autoritate este unul cât se poate de simplu: operatorii ar trebui să se focalizeze pe identificarea riscurilor asupra securitatii datelor prelucrate și implementarea de masuri efective pentru a elimina sau minimiza aceste riscuri, prin modificarea proceselor operaționale în acest sens. Cred ca începe sa fie vizibilă și necesitatea unei abordări multidisciplinare, necesitatea implicării funcțiilor operaționale în procesul de conformare.

Scopul GDPR-ului nu este de a da amenzi ci de a proteja persoanele. Cu toate acestea, după 3 ani de la intrarea în vigoare a Regulamentului doar 67% dintre Europeni au auzit de GDPR, în timp ce doar 36% au declarat că știu ce este acest regulament (date prezentate de Comisia Europeana în sondajul Eurobarometru). Credeți ca aceste cifre sunt rezultatul dezinteresului persoanelor în ceea ce privește de protejarea datelor lor?

D.S.: Nu cred că este dezinteres. Cred că procentul este unul incurajator în conjunctura actuală, având in vedere că este „doar” una din multitudinea de legi Europene și naționale, iar numărul persoanelor afectate personal de incidente din acest domeniu nu este prea mare... nu încă.  De fapt, cred ca procentele sunt chiar exagerate, cel puțin procentul de 36% care „cunosc” legea.

Care credeți ca vor fi consecințele acestei lipse de conștientizări a importantei datelor în rândul persoanelor, pe termen lung?

D.S.: Din păcate, lipsa de cunoștințe minime în acest domeniu o să-i găsească nepregătiți în utilizarea în siguranță a internetului în general, vor accepta mai ușor comportamente iresponsabile ale operatorilor – considerîndu-le „normale”, nu vor putea să-și protejeze informațiile sensibile sau copiii de pericolele activităților online și vor învăța doar din greșeli, unele potențial costisitoare.

Este esențial ca persoanele să identifice prelucrările ilegale de date pentru a-și putea exercita drepturile. Cât este de important sa-ți cunoști drepturile atâta timp cât nu poți identifica o prelucrare ilegală? Pe ce ar trebui să se axeze campaniile de informare a persoanelor?

D.S.:Eu cred că informarea populației ar trebui axată pe aspecte concrete, întâlnite in viața de zi cu zi, cu exemple clare de „așa DA” și „așa NU”. Insistarea pe aspectele teoretice, eventual cu citarea legii, nu-și vor atinge scopul. Un rol major cred că l-ar avea și exemplele de pedepsire a celor ce încalcă flagrant legislația, pentru ca altfel se va accentua ideea existentă că oricum nu va fi nimeni pedepsit dacă le încalcă.

Cine credeți ca ar trebui să se implice mai mult în diseminarea importantei datelor personale? Instituțiile publice, Autoritățile naționale de supraveghere sau ONG-urile din domeniul protecției datelor?

D.S.: Nu cred ca este relevant cine ar trebui, pentru că răspunsul e clar, definit atât în lege cât și în documentele ce definesc anumite organizații. Important este cine o va face și cred că rolul esențial îl vor avea ONG-urile, firmele private (în general cele mici, nu marile nume), precum și specialiștii independenți. În plus organismele Europene sau autoritățile din țările cu tradiție sau interes in acest domeniu sunt foarte utile, fiind o lege Europeană cu intenția declarată de a fi implementată uniform in cadrul țărilor din SEE. Chiar dacă există unele diferențe, rolul de conștientizare poate fi atins și cu ajutorul acestora.

Care credeți că ar fi cea mai scurta cale spre creșterea gradului de conștientizare și complianta GDPR: educarea persoanelor sau educarea operatorilor?

D.S.:: Pentru mine este evident ca ambele au rolul lor și cel mai eficiente ar fi împreună. Aș menționa aici necesitatea unei abordări diferențiate la nivelul operatorilor și a persoanelor împuternicite, și anume „traducerea” legii în recomandări concrete, punerea la dispoziția operatorilor de instrumente pentru a-și evalua conformitatea, riscurile generice sau specifice unor domenii (resurse umane, contabilitate, vanzari online...). Exemplul autorității din UK este unul ce ar putea fi copiat, chiar dacă nu este perfect. Pe site-ul ICO există materiale dedicate micilor întreprinzători, ghiduri si chestionare pe anumite teme, cum ar fi securitatea datelor.

Credeți că instituțiile publice ar trebui sa fie un exemplu pentru restul operatorilor? Punem această întrebare pentru că în Romania avem un tratament preferențial pentru instituțiile publice, amenda maxima pentru nerespectarea GDPR-ului fiind de 200.000 lei (aproximativ 42.000 euro), cu mult inferior față de ceea ce risca operatorii privați.

D.S.:: Doamne ferește!  Până site-ul guvernului nici măcar nu se sinchisește să ia la cunoștință că există GDPR, nemaivorbind de implementarea unor obligații minime, nu cred că ar trebui să vorbim de exemplul instituțiilor publice în privința GDPR. Dacă mai adaugăm și lipsa de personal calificat, sau numirea unor DPO cu salariul minim pe economie la instituții de stat cu mii de angajați (caz concret cunoscut de mine) nu cred ca această problemă se va rezolva curănd. Mai rău este să fie luate ca exemplu.

Cu toate că România înregistrează cel mai scăzut nivel de utilizare a serviciilor de internet dintre statele membre ale UE, 86 % dintre utilizatorii români de internet au conturi pe rețelele sociale, ceea ce ne face campionii Europei la acest capitol. Având în vedere scandalurile imense în care au fost implicate rețelele de socializare, fie prin breșele de securitate, fie prin utilizarea ilicită a datelor, putem considera că suntem și cei mai vulnerabili. Cum considerați ca ar trebui să se comporte un utilizator de internet, dacă ar fi conștienți de riscurile pe care internetul le ascunde?

D.S.: „Decât” responsabil. Nu cred că ar fi rezonabil să pretindem ca toți utilizatorii să respecte bunele practici in domeniu, și nici măcar să citească și să aplice măsurile de bază din domeniul securității informatice. Cred că cea mai bună și cea mai simplă măsură ar fi să limiteze cantitatea de date postate, sau măcar să o facă pentru cei direcți interesați. Citirea efectivă a avertismentelor și mesajelor de „consimțământ” ar fi utilă pentru conștientizare.

Restul de educare va veni cu timpul, din păcate majoritar în urma unor experiențe neplăcute. Cred ca și publicitatea în jurul breșelor de securitate are un rol pozitiv, de „sperietoare”, făcând publicul mai atent la aspectele securității informatice.

Accesul copiilor la internet este deja o normalitate. Ar trebui acest lucru sa ne îngrijoreze? Considerați că o educație privind privind accesul la internet al copiilor ar trebui sa fie o sarcina a părinților sau sistemul de învățământ ar trebui să-și asume acest rol?

D.S.: Din păcate acest aspect este unul mult prea puțin discutat și adresat, cel puțin la nivel național. Inclusiv materialele de conștientizare existente par să ocolească acest subiect. Faptul că mulți utilizatori nu-și protejează datele personale este trist, dar faptul că nu-și pot proteja copiii este mult mai grav și cu efect și pe termen lung. Din observațiile mele, de multe ori cei mai mici știu mai multe decât părinții lor despre pericolele activităților online, doar că acest lucru nu-i face neapărat să le și evite. Sistemul de învățământ ar trebui să se implice în mod evident, dar nu au nici cunoștințele și nici autoritatea in fața copiilor in acest domeniu. Cred că cea mai bună măsură ar fi obligarea producătorilor de software, în special jocuri si social media să contribuie mai mult la educarea copiilor. Rolul specialiștilor în domeniu, firme de consultanță, ONG-uri, specialiști independenți cred că poate fi un factor mai mult decăt util în acest demers.

Facebook a lansat Study, un program de cercetare de piață bazat pe recompense. Cum vi se pare un asemenea concept: să fim plătiți pentru datele pe care le facem publice? Este acesta direcție una corectă?

D.S.: Din perspectiva mea personală, cred că nu este cea mai bună metodă. Inclusiv pe plan personal eu unul nu cred în educarea prin recompense și pedepse. Mie îmi seamănă prea mult a dresaj, nu a educație. Recompensele, ca și pedepsele pot avea rolul lor în stimularea unui comportament dorit, dar doar ca măsură secundară, după educarea propriuzisă prin înțelegerea fenomenelor și a posibilelor repercursiuni.

Aspectul pozitiv al acțiunii este conștientizarea publicului că aceste date au o valoare, precum și a scopurilor în care pot fi utilizate.

Conform unui raport DLA Piper (GDPR data breach survey: February 2019), de la data aplicării GDPR-ului și pana în februarie 2019, Autoritatea de supraveghere din Olanda înregistrase 15,400 de notificări de breșe, în timp ce România număra la acea vreme doar 270. Care credeți că este motivul acestei discrepanțe? Suntem noi romanii un popor norocos și breșele de securitate ne evită, ori nu recunoaștem o breșă de securitate nici dacă ne împiedicăm de ea?

D.S.: Nu cred că problema noastră este lipsa de inteligență, implicit recunoașterea unei breșe de securitate, ci resposabilitatea. Întrebarea pe care și-o puni mulți factori responsabili din organizații este de ce ar raporta ei o breșă? Pentru a fi investigați de către autoritate? Si ce se întamplă daca nu se raportează? Se pare că nimic, deci de ce ar raporta? Adică ei sunt mai fraieri?  Ca specialist în domeniu este imposibil să nu vezi încălcări ale GDPR și chiar breșe de securitate la aproape orice interacțiune cu vreun operator de date, unele fragrante, inclusiv la marii operatori.

Un exemplu elocvent, întâlnit de mine în mod constant, și ușor de tratat, este modul de tratare a formularelor greșite ( inclusiv de către bănci, operatori telecom, furnizori de servicii, unități medicale...). Aproape în mod invariabil, acestea ajung la gunoi, eventual rupte în două ca „anonimizare”. Dacă întrebați de ce nu folosesc un „tocător” de documente o să vă răspundă cel mai probabil că vor folosi dacă cineva le va cumpăra unul.... Este un aspect minor, dar cred că este reprezentativ pentru „seriozitatea” cu care sunt tratate datele personale.

Identificarea riscurilor este unul din cei mai importanți pași spre complianta GDPR. Dar dacă noi nu resuim sa identificam nici breșele, cum am putea identifica riscurile?

D.S.: E mai simplu decât pare, chiar in lipsa unui proces formal de management al riscurilor, problemă întâlnită și la companiile cu sute sau mii de angajați. Cum anume? Citind care sunt amenințările generice pentru orice activitate sau cele specifice domeniului. Există foarte multe materiale gratuite în care acestea sunt evidențiate și chiar se oferă recomandări pentru adresarea lor.  Dacă s-ar rezolva măcar cele mai comune riscuri ar fi un mare pas inainte. Care sunt cele mai comune? Cred că utilizarea emailului personal în scopuri de business sau utilizarea unui email gratuit (Gmail, Yahoo,...) ar fi cap de listă. Utilizarea unor softuri licențiate si actualizate ar fi pasul următor. La nivel individual utilizarea unor parole adecvate sau mai bine a autentificarii prin doi factori ar fi de dorit, precum și utilizarea doar a rețelelor sigure de comunicare, evitarea retelelor publice wi-fi. La nivel de organizații, crearea unor copii de rezervă, o politică de acordare a drepturilor pe bază de nevoi și protejarea rețelei de calculatoare ar fi un minim de multe ori ignorat. Comunicarea cu partenerii de business sau furnizorii de servicii ar fi bine să nu fie facută pe email fără criptarea datelor. Nu e o lista completă, dar de multe ori cel puțin una dintre aceste reguli, dacă nu majoritatea, sunt complet ignorate. De conștientizarea și instruirea angajaților este inutil să menționez, pentru că deși este cea mai sigură metodă este și cea mai ignorată.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Timis Horea: Frica de amenzi GDPR a oprit inovația în multe domenii

INTERVIU EXCLUSIV

Vizualizari: 2117

Facebooktwittergoogle_plusredditpinterestlinkedinmail

De profesie medic, Timis Horea este expert in Management Sanitar si fost director de proiecte europene pe componenta socio-medicala, la Primaria Alba Iulia, director de spital, director al Directiei de Sanatate a judetului Alba, consilier cabinet subsecretar de stat in Ministerul Sanatatii. A colaborat in echipa de elaborare a  Strategiei Nationale de Sanatate 2014-2020 si este antreprenor privat, actionar in mai mult companii din sferea medicala pe partea de strategii de sanatate pentru administratia locala, proiectare circuite epidemiologice, consultant pe analize de marketing, analiza indicatorilor de performanta si calitate in managementul sanitar .

Din 2018 s-a implicat in domeniul startup-urilor medicale si a castigat doua selectii internationale in cadrul EIT Health (European Institute of Innovation and Technology in Health, https://www.eithealth.eu/) SmartAgeingCamp si Go2China),a urmat mai multe cursuri si specializari in domeniul eHealth la Health EIT – Europa, Denmarca - Copenhaga - DTU - Tehnical University of Denmark, Ungaria - Budapest - Semelweis Univeristy of Medicine, Germania - Nuremberg - Medical Valley -You Delft, Iralnda - Dublin - Trinity College Dublin, Polonia - Medical Univeristy of Lodz, China - Shenzhen Medical University, Olanda – Groningen – University. A infintat compania Doclink care in urma unui parteneriat cu un fond de investiii privat,  dezvolta impreuna cu o echipa de experti si parteneriate international un stratup medical https://feeel.health/ axat pe analiza datelor de Public Health, marketing medical statistic, inteligenta artificiala și predictie disponibil din 2020.

Timis Horea a acceptat sa acorde acest interviu portalului Dpo-NET.ro - Data Protection Officers Network

Scopul GDPR-ului nu este de a da amenzi ci de a proteja persoanele. Cu toate acestea, după 3 ani de la intrarea în vigoare a Regulamentului doar 67% dintre Europeni au auzit de GDPR, în timp ce doar 36% au declarat că știu ce este acest regulament (date prezentate de Comisia Europeana în sondajul Eurobarometru). Credeți ca aceste cifre sunt rezultatul dezinteresului persoanelor în ceea ce privește de protejarea datelor lor?

TH: In primul rand exista doua directii in comunicarea GDPR-ului, una preponderentă care produce doar panica si este  de genul ”Breaking News”  ce percutează tot timpul, cum că datele persoanelor se fura.  Acesta este abordarea greșită si total neprofesionala.  Si alta directie corecta este că avem nevoie de date pentru  a  ne imbunatatii si oamenii trebuie incurajati sa ofere date, iar GDPR-ul este o garantie in acest sens ca datele tale vor fi folosite corect in procesul de imbunatatire. Oameni reactioneaza corect spre reticenta tocmai pentru ca informarea in mare este greșit transmisă.

Care credeți ca vor fi consecințele acestei lipse de conștientizări a importantei datelor în rândul persoanelor, pe termen lung?

TH: Cum am spus, cand comunicare devine corecta, societatea si inteligenta sociala se muleaza pe un lucru corect. Cat timp este o sperietoare va exista un pas inapoi si o lipsa de preocupare. Ce facem ca in ultimii doi ani s-au generat mai multe date decat in toata istoria internetului? Constientizarea este direct proportionala cu calitatea comunicarii.

Un studiu ASCPD atragea atentia la inceputul acestui an asupra acestor statistici din unitatile medicale Romanesti: 37,44% din instituţiile sanitare cuprinse în analiză s-au confruntat cu incidente de securitate şi cu toate acestea 73,85% din total nu au implementat un plan de reacţie la incidentele de securitate. De asemenea, sondajul a scos în evidenţă că 70,26% încă folosesc adrese de email @yahoo.com şi @gmail.com în interes profesional în interiorul reţelei, expunând astfel organizaţia unor riscuri care pot fi evitate. Din sondaj a mai reieşit că 11,28% nu au implementat sisteme tehnice de protecţie antivirus, cel mai des invocând lipsa fondurilor. Cum comentati aceste rezultate ?

TH: Cred ca rezultatul este mul mai mare decat in studiu. In primul rand nu cred ca exista o reala preocupare, apoi implementarea este vazuta ca si un cost nu ca si un beneficiu pentru spital. Din nou ajungem la comunicare, de ce sa faci un anumit lucru? Cum te imbunatatesti, ce plus valoare aduce implementarea, totul se rezuma la ai nevoie de asta ca asa spune legislatia si te costa suma acesta. Nu lipsa fondurilor este problema, ci lipsa intelegerii a plus-valorii aduse prin implementare in unitate, companie. Momentan se implementeaza din frica de amenzi, nu din plus valoare adugata.

Având în vedere atacurile cibernetice asupra sistemului sanitar românesc din ultimele saptămâni, ce măsuri considerați că trebuie luate imediat ?

TH: In primul rand nimeni nu raspunde de sistemul de sanatate, acesta este administrat de o persoana numita de o autoritate publica care are spitalul in subordine, dar entitatea este a...statului. Adica in caz de ceva vine statul si rezolva. Atata timp cat nu este specificat clar undeva ca este o responsabilitate a conducerii, a administratorului, a comitetului director nu o sa se intample absolut nimic. Atacuri o sa mai fie si oricum plateste statul sau administratia spitalului. Avem cateva Instituii care vegheaza  asupa sistemului dar nici una nu au o strategie in acest sens clara pe GDPR. Subiectul este tratat la diverse...si asta o sa si avem.

Este esențial ca persoanele să identifice prelucrările ilegale de date pentru a-și putea exercita drepturile. Cât este de important sa-ți cunoști drepturile atâta timp cât nu poți identifica o prelucrare ilegală? Pe ce ar trebui să se axeze campaniile de informare a persoanelor?

TH:Pe informarea corecta. Momentan nici intre expertii si comunicatorii GDPR din tara nu este un consens clar. Sunt abordari diferite, interpretari diferite. Cred ca nu oricine trebuie sa fie expert GDPR si trebuie un control clar al cursurilor si comunicarilor oficiale. Trebuie să existe proceduri clare nu cursuri cu taxe in care mergi intr-un fel si iesi in alt fel si ai o diplomă.

Care credeți că ar fi cea mai scurta cale spre creșterea gradului de conștientizare și complianta GDPR: educarea persoanelor sau educarea operatorilor?

TH: Educatia corecta, profesionala este singura cale, profesionalismul duce la rezultate, neprofesionalismul duce la anarhie. Privatul este mai atent, dar si cheltuie mai mult, statul este mai nepasator oricum nu este o tinta directa in procesul de control.

În România, până în acest moment, s-au aplicat patru amenzi pentru nerespectarea GDPR deși autoritatea condus aproape 1.000 de investigații, adoptând o atitudine orientată spre prevenție și dispunerea de măsuri corective. Considerați că Amenzile au un rol important în aplicarea GDPR-ului? Din experienta dvs practică, cei mai mult operatori se conformeze cu GDPR-ul din responsabilitate sau de frica amenzilor?

TH: In primul rand exista o frica a amenzilor si acesta este primul aspect, care este rezultatul comunicarii de pana acuma, cel putin la noi in tara. Nimeni nu se conformeaza ca asa trebuie sau pentru ca aduce un plus valoare, toti il percep ca si un cost si o actiune birocratica. Cred ca o campanie de preventie si constientizare aduce mai multe beneficii decat o multime de amenzi prin care sperii cativa mari operatori sau omori cateva businessuri mici. Oricum acest mod de a comunica a oprit inovatia in multe domenii. Statul roman trebuia sa investeasca in comunicare in urma cu 5 ani nu să ne trezim ca din martie 2018, hop avem o lege care afecteaza pe toata lumea. Concluzia? O sa dureze inca cinci ani ca sa ne conformăm cat de cat.

Credeți că instituțiile publice ar trebui sa fie un exemplu pentru restul operatorilor? Punem această întrebare pentru că în Romania avem un tratament preferențial pentru instituțiile publice, amenda maxima pentru nerespectarea GDPR-ului fiind de 200.000 lei (aproximativ 42.000 euro), cu mult inferior față de ceea ce risca operatorii privați.

TH: Mentalitatea de a arata ca avem nevoie de exemple inca persista. Daca azi mergem la orice spital luat prin sondaj, cu siguranta am gasi incalcari ale GDPR-ului dar autoritatea nu ar indraznii din motive lesene de inteles sa aplice legea acolo. Vor fi cateva executari publice care vor tine loc de exemplu si apoi incet incet se vor conforma multi, de frica repet nu din cauza ca simt ca este plus valoare adugata.

Cu toate că România înregistrează cel mai scăzut nivel de utilizare a serviciilor de internet dintre statele membre ale UE, 86 % dintre utilizatorii români de internet au conturi pe rețelele sociale, ceea ce ne face campionii Europei la acest capitol. Având în vedere scandalurile imense în care au fost implicate rețelele de socializare, fie prin breșele de securitate, fie prin utilizarea ilicită a datelor, putem considera că suntem și cei mai vulnerabili. Cum considerați ca ar trebui să se comporte un utilizator de internet, dacă ar fi constient de riscurile pe care internetul le ascunde?

TH: Sa se comporte asa cum simte si in momentul cand utilizezi un program gratis, trebuie sa fi constient ca nimic nu este gratuit si toata lumea colecteaza date care sa te ajute sa iti imbunatateasca experienta ta, sa te ajute sa iti ofere reclamele de care tu chiar ai nevoie, sa te ajute sa gasesti predictiv mai repede ceea ce vrei sa cauti de fapt. In acelasi timp  sa aleaga cu celeritate ce date trebuie sa ofere in schimbul utilizarii si sa stie tot timpul ca exista un risc si sa evite siturile obscure. Dar fara date lumea nu evolua aici unde suntem. Azi traim intr-o frica ca cineva ne fura datele, o frica gresit indusă de multi inclusiv comunicata prost de mass media. Sensul GDPR-ului este profund denaturat si duce la un impact negativ asupra intregii economii europene si asupra inovatiei in special.

Accesul copiilor la internet este deja o normalitate. Ar trebui acest lucru sa ne îngrijoreze? Considerați că o educație privind privind accesul la internet al copiilor ar trebui sa fie o sarcina a părinților sau sistemul de învățământ ar trebui să-și asume acest rol?

TH: Educatia incepe de la cei 7 ani de acasa. Cine o are o multiplica, cine nu pune tableta 24 de ore in mana unui copil. Oricum sistemul nostru de invatamant este tot mai primitiv si antisocial construit. Educatia se face cu oameni educati nu cu programe, sloganuri si proceduri. Efectele le vedem deja in statisticle afectiunilor pediatrice la copii. Atata timp cat nu exista un inteers si un parteneriat intre Ministerul Invatamantului si Ministerul Sanatatii sa o trateze ca si  o problema de Sanatate Publica reala, nu se intampla nimic. Dar pentru acest lucru  cum am spus este enevoie de oameni cu viziune si educati cu un background stiintific.

Facebook a lansat Study, un program de cercetare de piață bazat pe recompense. Cum vi se pare un asemenea concept: să fim plătiți pentru datele pe care le facem publice? Este acesta direcție una corecta?

TH:Daca nu ofeream date la Facebook poate nu ne gaseam prietenii din copilarie. Da este un lucru bun, trebuie sa intelegem ca datele tale , ale mele, ale altora ne ajuta pe toti, datele noastre este contributia noastra la evolutia societatii si datele oferite de tine, de mine, de toti, candva undeva ajuta pe cineva sau salveaza o viata undeva. Acesta este rolul datelor de a crea o lume mai buna, mai sigura mai predictiva.

Conform unui raport DLA Piper (GDPR data breach survey: February 2019), de la data aplicării GDPR-ului și pana în februarie 2019, Autoritatea de supraveghere din Olanda înregistrase 15,400 de notificări de breșe, în timp ce România număra la acea vreme doar 270. Care credeți că este motivul acestei discrepanțe? Suntem noi romanii un popor norocos și breșele de securitate ne evită, ori nu recunoaștem o breșă de securitate nici dacă ne împiedicăm de ea?

TH: Tine de nivelul de cultura si de educatie atata tot. Nu poti cere de unde nu ai. Este un alt indicator care certifica acest lucru ca mai avem mult pana ajungem din urma societati civilizate. Si pana la urma Romania reala nu estea cea din birourile noastre care este infimă statistic.

Identificarea riscurilor este unul din cei mai importanți pași spre complianta GDPR. Dar dacă noi nu resuim sa identificam nici breșele, cum am putea identifica riscurile?

TH: Prin educatie, prin comunicare prin invatamant prin oameni educati prin startegii coerente indreptate spre cetatean in parteneriat cu mediul privat sau de stat in care toti conlucra spre ”binele comun” a unei comunitati, a unei societati in care toti sunt de aceiasi parte. Riscul individual este si un risc comunitar, iare politicile sociale se reflecta la nivel de individ. Daca nu ai o strategie in acest sens nu ai cum sa te astepti la rezultate intr-o curba care sa iti arate imbunatatire continua.

A trecut mai bine de un an de la intrarea în vigoare a GDPR-ului. Ce s-a schimbat în decursul acestui an?

TH: Am invatat ca exista ceva nou care vine de la UE...de care toti ne dam cu parerea dar nimeni nu stie cum functioneaza exact si ce rol are si pe cine ajuta si momentan este o sperietoare cu amenzi nicidecum un intrument de imbunatatire. Pe partea cealata oamenii au invatat ca au depturi si sunt propietarii datelor si sunt mult mai atenti si constienti.

Cum vedeți implementarea Directivei NIS în România? Care sunt cele mai mari provocări ? Ce măsuri au fost luate până în prezent ?

TH: Se spune ca omul sfienteste locul si implementarea va fi exact ca si cei care o implementeaza, daca va fi bine se va implementa bine, daca nu nu, Orice lucru functioneaza exact asa cum il proiectezi si il conduci. Daca va fi haotica, haotica va fi implementata, daca va exista niste puncte strategice, niste cursuri corecte niste masuri, indicatori de calitate, indicatori de performanta masurabili, cuantificabili si acceptati bilateral atunci vom avea rezultate masurabile.

Cine credeți ca ar trebui să se implice mai mult în diseminarea importantei datelor personale? Instituțiile publice, Autoritățile naționale de supraveghere sau ONG-urile din domeniul protecției datelor?

TH: Cred ca toti dintre noi trebuie sa comunicam si sa educam. Schimbarea se face oricum in timp si timpul tine de educatie. In viata importat este sa iti doresti sa faci ceva bun si lucrurile se intampla. Dar cand DPO-ul este doar o alta forma de birocratie si consultanta este o bagatelizare si fiecare spune ce vrea in mediul online atunci ne intoarcem in anarhia sociala a lucrurile fara fond si apare reactia de respingere si rezistenta tocmai pt ca diseminarea informatiei nu a fost facuta corect. Fa un lucru bun si corect si rezultatele vin. Fa o strategie pe termen lung, masoara ce faci, cunatifica ce faci, analizeaza performanta, lucreaza cu indicatori masurabili si nu uita daca nu ai inovatie nu ai nimic.

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Radu Crahmaliuc: „Spitalele de stat din România nu sunt pregătite să ne proceseze datele”

INTERVIU EXCLUSIV

Vizualizari: 2125

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Radu Crahmaliuc este fondatorul Cloud☁mania, una dintre cele mai populare platforme independente de cunoștințe și servicii din Europa de Est Centrală care s-a dezvoltat pe următorul principiu: "cele mai bune practici se bazează pe diversitatea serviciilor profesionale, abilitatea de personalizare, expertiza internațională și oferta flexibilă centrată pe client.". În prezent este Analist GDPR și Consilier în afaceri la  GDPR Ready! și a acceptat provocarea dpo-NET a de răsăunde al cele mai arzătoare întrebări despre GDPR ale momentului. 

Scopul GDPR-ului nu este de a da amenzi ci de a proteja persoanele. Cu toate acestea, după 3 ani de la intrarea în vigoare a Regulamentului doar 67% dintre Europeni au auzit de GDPR, în timp ce doar 36% au declarat că știu ce este acest regulament (date prezentate de Comisia Europeana în sondajul Eurobarometru) Credeți ca aceste cifre sunt rezultatul dezinteresului persoanelor în ceea ce privește protejarea datelor lor?

RC: Fără să luăm aceste cifre la modul absolut, ca cetățeni europeni se poate spune că principalul motiv este lipsa de informare legată de drepturile noastre fundamentale la viață privată și la protecția datelor cu caracter personal, garantate de art. 7 și art. 8 din Carta Drepturilor Fundamentale a Uniunii Europene și de art. 16 din Tratatul privind Funcționarea Uniunii Europene. De unde această lipsă de informare? Ori nu le pasă ce se întâmplă cu datele lor personale, considerându-se în afara oricărui risc cu implicații majore, ori, pur și simplu nu știu... Deși din 2016 se tot vorbește despre asta, sunt foarte mulți cei care nu știu pentru că nu a stat nimeni să le explice. Și acesta este rezultatul direct al lipsei de eficiență al programelor de comunicare din partea autorităților naționale de supraveghere.

Care credeți ca vor fi consecințele acestei lipse de conștientizări a importantei datelor în rândul persoanelor, pe termen lung?

RC: Pe termen lung trebuie să privim figura de ansamblu asociată eforturilor UE de construire a pieței unice digitale. O Europă digitală nu poate fi construită fără cetățeni digitali. Așa că, să fim optimiști, și să sperăm că pe termen lung oamenii vor deveni tot mai conștienți de drepturile lor, și de importanța respectării drepturilor celorlalți prin prelucrarea adecvată a datelor personale în procesele de business în care sunt antrenați.  

Un studiu ASCPD atragea atentia la inceputul acestui an asupra acestor statistici din unitatile medicale Romanesti: 37,44% din instituţiile sanitare cuprinse în analiză s-au confruntat cu incidente de securitate şi cu toate acestea 73,85% din total nu au implementat un plan de reacţie la incidentele de securitate. De asemenea, sondajul a scos în evidenţă că 70,26% încă folosesc adrese de email @yahoo.com şi @gmail.com în interes profesional în interiorul reţelei, expunând astfel organizaţia unor riscuri care pot fi evitate. Din sondaj a mai reieşit că 11,28% nu au implementat sisteme tehnice de protecţie antivirus, cel mai des invocând lipsa fondurilor. Cum comentati aceste rezultate?

RC: Ținând cont de caracterul special al datelor prelucrate în unitățile medicale acest lucru mi se pare revoltător. Nu au nicio scuză pentru asta. Spitalele de stat din România nu sunt pregătite să ne proceseze datele așa cum cere legea, deși în ultima perioadă sunt tot mai multe cazuri de atacuri informatice. Și nu faptul că au adrese pe Yahoo e cel mai grav, ci că nu au un DPO. Din analiza GDPR Ready efectuată pe un eșantion de peste 450 de site-uri, a reieșit că 9 din 10 spitale publice nu au o Politică de Securitate pe site.

Având în vedere atacurile cibernetice asupra sistemului sanitar românesc din ultimele saptămâni, ce măsuri considerați că trebuie luate imediat ?

RC: Pe linia celor spuse anterior, răul trebuie tratat de la rădăcină. Ar trebui formată o echipă operațională din membrii Min. Sănătății, Min. Com.&TI, CERT.RO și alte organisme, care împreună cu Autoritatea de Supraveghere să pună la punct un set de Norme sau un Cod de Conduită menit să reglementeze politica GDPR în domeniul sănătății publice. Spitalelor care nu au capacitatea să adere la acest Cod de Conduită ar trebui să li se aplice niște penalități administrative. In paralel trebuie făcute eforturi pentru sensibilizarea conducerilor acestor spitale, care trebuie să înțeleagă faptul că pe lângă responsabilitatea actului medical o au și pe aceea de adopție de măsuri tehnice și operaționale adecvate.

Este esențial ca persoanele să identifice prelucrările ilegale de date pentru a-și putea exercita drepturile. Cât este de important sa-ți cunoști drepturile atâta timp cât nu poți identifica o prelucrare ilegală? Pe ce ar trebui să se axeze campaniile de informare a persoanelor?

RC: Nu este necesar ca persoanele vizate să identifice prelucrările ilegale. Aceasta este obligația operatorilor și procesatorilor de date. Desigur, noi putem observa în destule cazuri că ceva este în neregulă cu datele noastre, dar e mult mai important ca noi să ne cunoaștem în primul rând drepturile și să știm să acționăm în consecință.

Care credeți că ar fi cea mai scurta cale spre creșterea gradului de conștientizare și complianta GDPR: educarea persoanelor sau educarea operatorilor?

RC: Acest proces de educare trebuie să acopere tot. Ca persoane vizate avem datoria să fim primii care să ne informăm și să ne protejăm datele, cunoscându-ne drepturile. Ca operatori sau procesatori, nu trebuie să uităm că și noi suntem în aceeași situație cu persoanele vizate ale căror date le prelucrăm și în consecință trebuie să ne înțelegem responsabilitatea pentru rolul pe care îl jucăm. În proiectele mele și la cursuri le explic întotdeauna clienților că respectarea unor norme elementare de securitate, din care majoritatea nici nu țin de GDPR, trebuie să devină o normalitate, precum spălatul pe dinți sau verificarea apei, gazului și a electricității atunci când plecăm de acasă. O politică de securitate IT și un plan de breșe sunt la fel de obligatorii și de utile ca măsurile de protecție în caz de incendiu sau instrucțiunile de evacuare a unei clădiri.

În România, până în acest moment, s-au acordat trei amenzi pentru nerespectarea GDPR și autoritatea condus aproape 1.000 de investigații, adoptând o atitudine orientată spre prevenție și dispunerea de măsuri corective. Considerați că Amenzile au un rol important în aplicarea GDPR-ului? Din experienta dvs practică, cei mai mult operatori se conformeze cu GDPR-ul din responsabilitate sau de frica amenzilor?

RC: A fost un moment de evoluție a cauzelor de responsabilizare: la început, imediat după anunțarea aprobării noului regulament în mai 2016, toată lumea s-a speriat de mărimea amenzilor și de celelalte modificări cu care venea GDPR în raport cu vechea legislație. Ulterior, pe măsură ce ne apropiam de momentul 25 mai 2018 și foarte puțin după aceea, nevoia de conformitate a venit ca un tăvălug, având ca mix de surse responsabilizarea, exemplul altora sau teama de necunoscut. Apoi s-a intrat în cunoscuta perioadă de acalmie în care nimeni nu a mai făcut nimic pentru că nici nu s-a întâmplat nimic. Eram împreună la un eveniment dedicat unui an de GDPR când mulți oameni din domeniu apreciau că e nevoie de amenzi ca să se întâmple ceva. Părerea mea este că trebuie insistat pe necesitatea transformării în business, că trebuie învinsă rezistența la schimbare și că trebuie arătate celor responsabili toate beneficiile induse de un proces de asigurare a conformității: adoptarea de norme și reguli ne face mai eficienți, reduce pericolele interne și ne asigură o etichetă de încredere față de ecosistemul de business în care evoluăm. Părerea mea este că cele 2 amenzi anunțate și probabil alte 5-6 care sunt pe rol nu au cum să determine brusc peste 50% dintre managerii din România că trebuie să facă ceva. Să nu uităm că sunt încă foarte mulți care nu știu despre ce este vorba și care sunt convinși că organizațiile lor nu au nimic de-a face cu datele personale... Trebuie continuat cu mare sârguință procesul de conștientizare și sensibilizare în masă. Legat de cele 2 cazuri apărute la noi, aș comenta numai atât. E foarte ciudat că s-a ajuns la asta, pentru că ambii operatori, prin natura activității,  ar fi trebuit să fie compatibili și pentru legea 677/ 2001. Puteau fi evitate aceste vulnerabilități? Cu siguranță, dacă cei 2 operatori s-ar fi gândit și la verificarea adecvării tehnice și operaționale. Nu știu cum s-au petrecut lucrurile intern, dar cineva a tratat totul cu superficialitate, limitându-se probabil la asigurarea necesarului de documente. Legat de al doilea caz, sunt mulți care consideră că documentele pe suport de hârtie nu intră sub incidența GDPR. S-a văzut cât de păgubitoare poate să fie o astfel de atitudine...

Credeți că instituțiile publice ar trebui sa fie un exemplu pentru restul operatorilor? Punem această întrebare pentru că în Romania avem un tratament preferențial pentru instituțiile publice, amenda maxima pentru nerespectarea GDPR-ului fiind de 200.000 lei (aproximativ 42.000 euro), cu mult inferior față de ceea ce risca operatorii privați.

RC: Legat de ce se întâmplă în instituțiile publice, prefer să nu comentez. Ne batem cu morile de vânt. Politizarea schimbă radical regulile jocului. Aștept cu nerăbdare, ca pe o curiozitate profesională, nu din dorințe revanșarde, primul anunț al Autorității care vizează o instituție publică...

Cu toate că România înregistrează cel mai scăzut nivel de utilizare a serviciilor de internet dintre statele membre ale UE, 86 % dintre utilizatorii români de internet au conturi pe rețelele sociale, ceea ce ne face campionii Europei la acest capitol. Având în vedere scandalurile imense în care au fost implicate rețelele de socializare, fie prin breșele de securitate, fie prin utilizarea ilicită a datelor, putem considera că suntem și cei mai vulnerabili. Cum considerați ca ar trebui să se comporte un utilizator de internet, dacă ar fi constient de riscurile pe care internetul le ascunde?

RC: Depinde de modul în care rețelele sociale afectează integritatea datelor noastre personale prelucrate de operatori. Statisticile de utilizare a Internetului amintite se referă la activități de navigare și accesare individuale. Ca indivizi suntem expuși, iar faptul că 86% dintre utilizatorii români au cont de social media, prin extinderea analizei la volumul total al populației, cifrele devin nerelevante și nu cred că suntem cei mai vulnerabili din Europa din această perspectivă. Vulnerabilitatea noastră constă în analfabetismul digital, și în faptul că nu știm sau nu putem să folosim tehnologiile digitale așa cum trebuie. Studiile DESI ne-au situat an de an pe ultimele locuri din UE (ultimii sau penultimii într-o strânsă tovărășie cu Bulgaria). Digital Economy and Society Index (DESI) este un index compozit ce cumulează indicatorii specifici pentru 6 direcții de activitate ce implică pregătirea digitală: conectivitatea, abilitățile digitale ale capitalului uman, folosirea serviciilor Internet de către cetățeni, integrarea tehnologiilor digitale în business, folosire serviciilor publice digitale și nivelul de dezvoltare al cercetării IT&C.  Ce zice DESI 2019 despre starea digitală a României? https://ec.europa.eu/digital-single-market/en/desi

La Conectivitate suntem pe locul 27 (din 28), la abilitățile digitale tot pe 27, la folosirea Internetului pe 27, la integrarea tehnologiilor pe 27, la folosirea serviciilor publice pe digitale pe 27, iar la nivelul IT&C pe locul 6, ca procentaj al industriei din PIB. Ce e greșit aici?

Accesul copiilor la internet este deja o normalitate. Ar trebui acest lucru sa ne îngrijoreze? Considerați că o educație privind privind accesul la internet al copiilor ar trebui sa fie o sarcina a părinților sau sistemul de învățământ ar trebui să-și asume acest rol?

RC: Răspunderea pentru copii o poartă în primul rând părinții. Mulți dintre copiii care au posibilitatea intră pe Internet înainte de școală. Părinții au principalul rol în educația digitală a copiilor și asta se referă nu numai la crearea de conturi sau postarea pozelor pe Internet. În cazul GDPR pentru copii sub 16 există obligația obținerii acordului părintelui, dar să nu uităm că nu totdeauna decizia unui părinte privitoare la datele personale făcute publice presupune și acordul copiilor pentru acest lucru. Școala are rolul ei, prin integrarea elevilor în programe educaționale care să-i învețe ce și cum să folosească de pe Internet, dar educația digitală de bază se face în cei 6 ani de acasă...

Facebook a lansat Study, un program de cercetare de piață bazat pe recompense. Cum vi se pare un asemenea concept: să fim plătiți pentru datele pe care le facem publice? Este acesta direcție una corecta?

RC: Decizia aparține întotdeauna utilizatorului și întotdeauna există o miză, o momeală, prin care acesta e convins să facă ceva. Tot procesul acesta trebuie să fie transparent și dacă luăm o decizie, să cunoaștem toate implicațiile acesteia.

Conform unui raport DLA Piper (GDPR data breach survey: February 2019), de la data aplicării GDPR-ului și pana în februarie 2019, Autoritatea de supraveghere din Olanda înregistrase 15,400 de notificări de breșe, în timp ce România număra la acea vreme doar 270. Care credeți că este motivul acestei discrepanțe? Suntem noi romanii un popor norocos și breșele de securitate ne evită, ori nu recunoaștem o breșă de securitate nici dacă ne împiedicăm de ea?

RC: Cauzele sunt legate de alfabetizarea digitală. A se vedea comentariile de la întrebarea nr.9

Identificarea riscurilor este unul din cei mai importanți pași spre complianta GDPR. Dar dacă noi nu reușim sa identificam nici breșele, cum am putea identifica riscurile?

RC: Sunt două lucruri diferite. Riscurile sunt cauza, iar breșele sunt consecințele. Identificarea breșelor ține de latura tehnologică a sistemelor de protecție cybersecurity. Analiza de risc este un proces care se face în avans și care ține de componentele umane, operaționale și tehnice ale unei organizații.

A trecut un an de la intrarea în vigoare a GDPR-ului. Ce s-a schimbat în decursul acestui an?

RC: Am comentat destul de mult pe tema asta în articolele din GDPR Ready. Nu putem spune că nu s-a întâmplat chiar nimic. Cei mai mari operatori și-au făcut temele prin derularea de activități de conformitate. După depășirea momentului de panică din ziua de 25 mai 2018, când foarte multe companii și-au canibalizat bazele de date, s-a intrat într-o perioadă de aparent calm, în are mulți operatori au adoptat o atitudine sănătoasă de pregătire și asimilare, și-au instruit oamenii și aparent sunt la un nivel de conformitate care să le asigure un anumit grad de confort. Partea proastă este că acest grad de confort dispare imediat la cea mai mică tentativă de atac. Partea cea mai proastă este că fiecare și-a construit un castel din cărți de joc, dar puțini s-au preocupat de edificarea unei reale Culturi GDPR care să le asigure temeinicia construcției. Exemple clare sunt cele două cazuri devenite publice de la noi. Puteau fi evitate breșele de securitate? Cu siguranță, dacă cineva ar fi urmărit modul de punere în practică a livrabilelor și controalelor adoptate. Știu destul de puține cazuri în care operatorii au avut timpul și resursele să simuleze intern sau extern apariția unor breșe. Despre analizele DPIA ce să mai vorbim. Deși aici lucrurile sunt de clare, nivelul de confuzie e destul de mare cu toate ghidurile WP29 și aplicația software realizată de CNIL. O bună analiză de impact poate avea rolul implementării unui standard și reprezintă cel mai elocvent barometru pentru conformitatea acțiunilor întreprinse într-un proiect GDPR. Desigur. Specialiștii recomandă DPIA în cazul noilor procese de business, dar pentru sănătatea afacerii este bine să facem o astfel de analiză și în cazul proiectelor GDPR realizate până acum. Numai așa avem posibilitatea documentată de a vedea că ceva nu e în ordine, că ce apare în documente nu se pupă cu realitatea...     

Cum vedeți implementarea Directivei NIS în România? Care sunt cele mai mari provocări ? Ce măsuri au fost luate până în prezent ?

RC: Legea nr. 362 din 2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice a intrat în vigoare de la 12 ianuarie 2019, ca transpunere a Directivei UE 2016/1148 și are ca scop creșterea nivelului de pregătire a statelor UE pentru a face față la incidentele de securitate informatică. Spre deosebire de GDPR, companiile din cele 7 segmente industriale ce intră sub incidența NIS erau destul de bine pregătite theoretic pentru noile prevederi. Faptul că CERT.RO a fost stabilit ca organism de reglementare, supraveghere și control și care va îndeplini și cu funcție de Punct Unic de Contact la nivel national și de echipă CSIRT națională este un lucru foarte bun. Provocările, ca și la GDPR sunt legate de punerea efectivă în aplicare și care intră clar în atribuțiile CIO din fiecare organizație.

Cine credeți ca ar trebui să se implice mai mult în diseminarea importantei datelor personale? Instituțiile publice, Autoritățile naționale de supraveghere sau ONG-urile din domeniul protecției datelor?

RC: Este un efort care ne privește pe toți. De obicei evit să comentez activitatea celor îndreptățiți să coordoneze această diseminare. Este treaba lor și pentru toată lumea e clar că s-a făcut prea puțin pentru asta. Acesta este motivul pentru care a apărut inițiativa GDPR Ready, din dorința de a suplini lipsa de informație și de a oferi operatorilor și procesatorilor de date personale informații concrete despre ce au de făcut. După o serie de 15 articole de fundamentare GDPR au urmat publicarea celor 3 Cataloage GDPR Ready, o premieră absolută nu numai pentru piața din România, evenimente și paneluri dedicate, un site special, un newsletter, un grup dedicat de discuții pe LinkedIn și, cel mai recent, studii și analize de piață privitoare la stadiul asimilării. Astea toate s-au făcut Pro Bono și în completarea activităților curente de consultanță, formare, business development și auditare internă. Mai sunt multe de făcut, nu ducem lipsă de proiecte, dar toate la vremea lor...

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Adrian Munteanu: În România găsim „un număr imens de „consultanți GDPR„ care au apărut de nicăieri”

Cu o experiență de peste 13 ani în proiecte de audit (internet banking, securitate IT, proiecte IT, proiecte finanțate prin fonduri UE), consultanță (continuitatea afacerii, analiză de impact, […]

Filip Truță: „Noua soluție Bitdefender 2020 protejează intimitatea utilizatorilor”

Filip Truță, security analyst la Bitdefender, a acordat un interviu in exclusivitate  pentru dpo-NET .ro despre GDPR și despre tehnologiile noi din soluția de securitate Bitdefender 2020 care […]

Gordon Wade: “ANSPDCP este pregătită să treacă de la o abordare tolerantă la una activă”

Gordon Wade este avocat specializat în confidentíalitatea și protecția datelor la PwC Legal Middle East, cu sediul în Dubai, și a acceptat cu entuziasm să ofere un interviu […]

Nicolae Ploeșteanu: „ONG-urile sunt cele care trebuie să se implice cel mai mult în România”

Nicolae Ploeșteanu a absolvit studiile juridice în anul 1995, la București și este Doctor în drept din anul 2005, făcând numeroase specializări în țară și în străinătate, în […]

Ana-Maria Udriște: “ Este foarte important să alegi o persoană care să te ajute în implementarea GDPR și să te facă să înțelegi că documentația nu este suficientă”

“România, trei amenzi GDPR, două premiere europene”, așa am putea sintetiza contextul în care se află țara noastră, asistând în ultimele zile la o lecție GDPR în trei […]

Andrei Săvescu: Uniunea Europeană încearcă să pună presiune pe operatori, prin intermediul cetățenilor

Andrei Săvescu este membru în Baroul București din 1994 și are o vastă experiență atât ca avocat, cât și ca arbitru la Curtea de Arbitraj Comercial de pe […]

Analizăm prima amendă GDPR din România împreună cu Cristiana Deca

Anunțul primei amenzi GDPR în România a răsunat pe toate canalele de știri, stârnind interesul multora, motiv pentru care am rugat-o pe Cristiana Deca, unul dintre primii specialiști […]

Sergiu Bozianu: În Republica Moldova putem aplica amenzi contravenționale persoanelor cu funcție de răspundere

Sergiu Bozianu este în primul rând un profesionist în domeniul protecției datelor din Republica Moldova, ultima funcție publică fiind cea de director adjunct în Direcția Generală Supraveghere și […]