În cadrul unui eveniment privat la care au luat parte experți în protecția datelor în vederea realizării unui bilanț după un an de GDPR, reprezentantul Autorității Naționale de Supraveghere (ANSPDCP) a făcut public numărul responsabililor cu protecția datelor notificați până la 17 mai 2019. Astfel, un număr de 9.335 de DPO au fost înregistrați de Autoritate de la intrarea în vigoare a Regulamentului până în prezent.

Dar ce înseamnă această cifra? Sunt cei peste 9000 de DPO suficienți pentru a deservi toate organizațiile care au obligația de a desemna un DPO? Vă invităm să analizăm împreună datele.

Când este este obligatorie desemnarea unui responsabil cu protecția datelor?

Conform Art. 37 din GDPR, desemnarea responsabilului cu protecția datelor este obligatorie pentru:

• Toate autoritățile și organismele publice (indiferent de datele pe care le prelucrează, exceptând instanțele care acționează în exercițiul funcției lor jurisdicționale)

Autoritățile și organismele publice includ autoritățile naționale, regionale și locale, organizațiilor private care îndeplinesc sarcini publice sau exercită autoritate publică să numească un DPO

• Organizații care, ca activitate de bază, monitorizează persoane în mod sistematic și la scară largă

Monitorizarea periodică și sistematică a persoanelor vizate include toate formele de urmărire și profilare, atât online, cât și offline inclusiv în scopul publicității comportamentale

• Organizații care prelucrează categorii speciale de date cu caracter personal la scară largă

Atunci când se stabilește dacă procesarea se face la scară largă, liniile directoare afirmă că trebuie să țineți cont de următorii factori: numărul sau procentul  persoanelor vizate în cauză, volumul de date cu caracter personal prelucrate, gama elementelor diferite de prelucrat, extinderea geografică a activității, durata sau permanența activității de prelucrare.

Prin legea 190/2018 a fost introdusă o nouă categorie de prelucrări care implică obligativitatea desemnării unui DPO:

• Prelucrarea unui număr de identificare național, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conțin, în vederea realizării intereselor legitime urmărite de operator sau de o parte terță

Numere de identificare națională sunt acele numere prin care se identifica o persoana fizica în anumite sisteme de evidenta și care au aplicabilitate generala, cum ar fi: codul numeric personal, seria și numărul actului de identitate, numărul pașaportului, al permisului de conducere, numărul de asigurare sociala sau de sănătate.

Celor de mai sus li se adaugă organizațiile care nu îndeplinesc criteriile de obligativitate a numirii unui DPO dar care doresc numirea unui Responsabil cu protecția datelor pe bază de voluntariat,urmând încurajările atât ale Grupului de lucru instituit prin articolul 29 („WP29”) cât și ale Autorității naționale în domeniul protecției datelor.

Luând în considerare faptul că numărul autorităților publice din România, conform Registrului Național al Instituțiilor Publice din România, publicat de  Agenția pentru Agenda Digitala a României (AADR), se ridică la peste 41.227, dacă excludem instanțele care acționează în exercițiul funcției lor jurisdicționale, rezultă peste 40.000 de instituții publice care sunt obligate sa desemneze un Responsabil cu protecția datelor.

Dacă acestui număr impresionant i se adaugă alte mii reprezentând operatori privați care, prin natura prelucrărilor, au obligația de a desemna un DPO, sau care nu au aceasta obligație dar au desemnat voluntar un DPO, estimările depășesc cu ușurință cifra de 50.000 de entități care ar fi trebui să numească un DPO și să-l comunice Autorității naționale de supraveghere.

Atenție: A nu se confunda numărul de DPO notificați Autorității cu numărul real de specialiști în protecția datelor, având în vedere că (indiferent că au calitatea de angajat sau este un serviciu externalizat) poate fi desemnat un responsabil cu protecția datelor unic, simultan, pentru mai multe entități.

Câți DPO sunt la nivelul Uniunii Europene?

Potrivit unui studiu realizat de Asociația Internațională a Profesioniștilor în Confidențialitate (IAPP), aproximativ 350.000 de organizații europene dintr-un total estimat de 500.000 au desemnat și notificat un Responsabili cu protecțiea datelor (DPO) în primul an de la aplicarea Regulamentului general privind protecția datelor (GDPR).

Aceasta estimare a fost realizată pe baza datelor oferite de 12 state care reprezinta 80% din produsul intern brut al Spațiul Economic European (SEE). În raportul IAPP nu a fost luat în calcul numărul de DPO din Germaniei, a cărei legislații anterioară GDPR-ului prevedea necesitatea numirii de ofițeri de protecție a datelor, motiv pentru care aproximativ 182.000 de DPO sunt înregistrați la Autoritatea germană.

CEO al IAPP, Trevor Hughes, a spus "Companiile au integrat protecția datelor în structurile lor de guvernare și au îmbrățișat cerințele de responsabilitate cerute de GDPR. Bineînțeles, doar numirea unui DPO nu este suficientă. Organizațiile trebuie să se asigure că responsabilii cu protecția datelor sunt instruiți și calificați pentru a aborda una dintre problemele de politică tehnologică definitorii ale timpului nostru, protejând confidențialitatea și datele persoanelor."

Căt costă un DPO la nivelul Uniunii Europene?

Într-o cercetare separată, IAPP a chestionat membrii din Europa în ceea ce privește salariul și compensația globală. Rezultatele acestui sondaj arată că un DPO din Europa câștigă un salariu mediu de 88.000 de dolari pe an.

Cel mai probabil acest chestionar nu a ajuns și la specialiștii romani și spunem asta convinși fiind că suma rezultată ar fi fost sensibil mai redusă.

Care sunt riscurile nedesemnării unui DPO?

Conform Art. 83 a) din GDPR, nerespectarea dispozițiilor art. 37-39 (cele care reglementează activitatea Responsabilului cu protecția datelor), de către operatori din mediul privat, poate fi sancționată cu amenda administrativă de până la 10.000.000 Euro sau, în cazul unei întreprinderi, de până la 2 % din cifra de afaceri mondială totală anuală.

În ceea ce privește autoritățile/organismele publice naționale, legea 190/2018 instituie un regim special, astfel că încălcarea art. 37-39 din GDPR constituie contravenție și se sancționează cu amendă de la 10.000 lei până la 100.000 lei. Am putea încerca să facem o glumă spunând ca diferența între 10 milioane de euro și 100 de mii de lei  constă doar în două zerouri și o conversie a monezii, deci nimic spectaculos, dar știm că nu va râde nimeni..

Ce concluzii putem trage?

Cele 9.335 de notificări înregistrate la Autoritate, privind desemnarea responsabililor cu protecția datelor, sunt indiciu clar al lipsei de responsabilități în special din partea autorităților publice, adică exact cei care ar trebui sa constituie un exemplu pentru restul operatorilor din România.

Cauzele acestei discrepanțe majore le putem intui cu ușurință:

• nealocarea bugetului necesar angajării sau contractării unu DPO;
• lipsa unor programe de formare la nivel național (un număr extrem de mic de universități au dezvoltat cursuri postuniversitare pentru protecția datelor care a lăsat loc numeroaselor cursuri de o după-amiază);
• Și poate cel mai important: dezinteresul majorității organismelor publice naționale de a se alinia la dispozițiile GDPR.

Toate aceste “lipsuri” necesită o remediere treptată dar sincronizată pentru a se evita apariția în piață a mii de “specialiști” fără pregătirea necesară unei activități atât de dificilă și importantă.

Mai mult, desemnarea unui DPO prin cumul de funcții este o soluție care trebuie cântărită cu mare atenție, existând riscul ca Responsabilul cu protecția datelor să se afle în incompatibilitate sau să nu trateze rolul de DPO ca fiind cel principal și implicit să nu aloce suficient timp și energie, obținându-se astfel doar o aliniere formală la GDPR din perspectiva obligației numirii unui Responsabil cu protecția datelor.

În tot acest context descrie, concluzionăm că România are nevoie de specialisti, mult mai mulți decat cei deja înregistrați deja, pentru a asigura implementarea principiilor GDPR atât în cadrul organizațiilor private cât și în cadrul celor peste 40.000 de instituții publice.

Specialistii in protectia datelor au fost cei care au lucrat alaturi de organizatii in procesul de obtinere si mentinere a conformitatii GDPR. Am vrut sa stim care a fost, in opinia lor, cea mai mare provocare cu care s-au confruntat companiile in acesti doi ani.

In opinia lui Bogdan Manolea, legal expert, cea mai mare provocare a fost: “Sa inteleaga ceea ce trebuie sa faca. Efectiv, de maine. Companiile se asteapta sa primeasca un checklist clar si definitiv, impreuna cu un pret ferm, pe care sa-l plateasca o data si gata. Dar raspunsul depinde atat de mult de practicile efective de prelucrare a datelor, care sunt diferite de la companie la companie si de masurile de securitate corelative, incat eu gandesc ca ar fi neprofesional sa zici ca stii ce trebuie sa faca de la prima intalnire. Pentru ca, de fapt, nu stii si o sa-ti dai seama pe parcurs”.

La capitolul provocari, Serban Popa, consultant GDPR la Unity Solutions, mentioneaza: “Micsoarea importantei efortului de analiza si consultanta, a cartografierii proceselor interne cu toate elementele descriptive aferente.”

Raluca Puscas, avocat asociat la Filip & Company, afirma: “Intr-adevar, ne gandim in primul rand la obtinerea conformitatii cu cerintele GDPR, care presupune o serie intreaga de activitati, de la maparea datelor, analize de risc, evaluari ale impactului asupra protectiei datelor, implementarea de politici si documente, dar apoi si la mentinerea acesteia, care este un proces continuu. De multe ori, toate acestea presupun schimbarea modului de lucru in organizatie si definirea unor noi fluxuri de colaborare intre departamente, implicand si responsabilul pentru protectia datelor. Chiar si dupa ce toate politicile, procedurile si evaluarile vor fi facute si toate documentele vor fi in ordine, ramane provocarea de a incorpora cerintele de privacy in cultura organizatiei si anume, de a acorda atentie protectiei datelor clientilor, angajatilor si tuturor persoanelor ale caror date le prelucreaza.

Acest lucru presupune atat lucruri aparent simple, cum ar fi acela de a nu solicita semnarea unui consimtamant in cazul in care nu este de fapt necesar (in ideea ca poate e mai sigur asa), ori de a pastra diverse acte in baza de date (ca poate mai trebuie vreodata, desi perioada de stocare a expirat) si pana la lucrurile mai complexe care pot presupune investitii din partea companiei, cum ar fi stergerea datelor la momentele de expirare a perioadelor de detinere prevazute in registru”.

Pentru Stefan Iancu, consultant GDPR in cadrul companiei iPrivacy, “Sunt trei variabile care influenteaza major succesul programelor de conformare, si anume: desemnarea responsabilului cu protectia datelor cu respectarea cerintelor din Regulament (expertiza, independenta, evitarea conflictelor de interese, asigurarea implicarii DPO in timp util in toate aspectele privind protectia datelor, acces la cel mai inalt nivel, etc), evaluarea corecta a impactului si riscurilor asociate precum si alocarea corecta a resurselor necesare”.

Roxana Mitroi, avocat in cadrul bpv GRIGORESCU STEFANICA, semnaleaza ca: “Inclusiv angajatii companiilor ce au parcurs procesul conformitatii si implementarii prevederilor GDPR au fost nevoiti sa se puna la punct cu procedurile si legislatia in domeniu. In orice caz, fiecare organizatie este diferita si fiecare activitate a unei organizatii poate duce la prelucrarea unor tipuri diferite de date. In vederea aplicarii in mod corect a prevederilor GDPR, apreciem ca una din provocarile companiilor este monitorizarea continua si permanenta a conformitatii sale. Luand in considerare eforturile interne si externe depuse pentru a ajunge la un grad de conformare, necesitatea monitorizarii si actualizarii periodice a proceselor de prelucrare, a registrului de activitati de prelucrare, preintampinarea unor brese de securitate, dezvoltarea si utilizarea software-urilor de tipul inteligentelor artificiale, suntem de parere ca activitatea in domeniul privacy & data protection va continua atat la nivelul intern al companiilor, cat si la nivel extern, prin angajarea diferitelor tipuri de consultanti in domeniu”.

Roxana Mitroi mai adauga ca: „In acest sens, se remarca un interes accentuat al companiilor ce se manifesta sub forma implicarii mai multor categorii de actori in acest proiect de aliniere si compliance, iar acest lucru este sustinut inclusiv de practica multor organizatii de a desemna la nivel intern persoane specializate responsabile de aspecte de tin de protectia datelor, desemnate la nivelul intregului grup, persoane ce colaboreaza cu avocati sau consultanti externi in acest domeniu”.

Marius Dumitrescu, specialist GDPR, afirma ca: „Angajatii reprezinta unul dintre cele mai mari riscuri in ceea ce priveste securitatea unei organizatii, conform studiului State of Cybersecurity 2019 realizat de ISACA. Din punctul meu de vedere, cea mai mare provocare a companiilor in procesul de obtinere si mentinere a conformitatii GDPR este carenta unei culturi a responsabilitatii, in randul angajatilor, privind protectia datelor personale. Acesta carenta poate fi diminuata substantial in urma instituirii unor programe de instruire cu privire la importanta protectiei datelor in concordanta cu practicile generale si politicile specifice activitatii companiei. Responsabilizarea angajatilor din perspectiva protectiei datelor personale va aduce un plus de valoare companiei. Un angajat constient si informat este un angajat vigilent si care actioneaza cu responsabilitate, riscurile unei erori umane scazand, in acelasi timp in care randamentul muncii creste. Mai mult, identificarea rapida a eventualelor brese de securitate si respectarea protocolului de raspuns la incidente va minimiza pierderile companiei”.

Specialistul concluzioneaza: “Raman un visator si sper ca in urmatoarea perioada sa vedem campanii de educare a persoanelor vizate din Romania, si de ce nu, campanii de educatie in scoli”.

Data de 25 mai 2020 a marcat 2 ani de la implementarea regulamentului GDPR in Uniunea Europeana. Au fost doi ani plini de schimbari, atat pentru utilizatori, cat si pentru companii, dar, mai ales, pentru specialistii in protectia datelor. Cu această ocazie, colegii noștri de la SYPHER au realizat acest articol colaj in patru parti, care prezinta 2 ani de GDPR din perspectiva mai multor profesionisti in domeniul protectiei datelor.

Cei doi ani de la implementarea GDPR au fost o perioada cu numeroase provocari, atat pentru companii, dar si pentru specialisti, in procesul de obtinere si mentinere a conformitatii GDPR. Am intrebat sase specialisti care a fost cea mai mare provocare cu care s-au confruntat profesionistii care activeaza in domeniul protectiei datelor.

Bogdan Manolea, legal expert, puncteaza trei provocari majore; pe scurt: “Sa existe. Sa invete. Sa aplice.”

Specialistul detaliaza apoi: “Cea mai mare provocare pentru societate a fost sa existe, pentru ca, inainte de 2018 erau destul de putini specialisti care sa poate sa se laude ca lucreaza efectiv pe domeniul protectiei datelor. A doua mare provocare a specialistilor a fost, pe de o parte sa primeasca o instruire adecvata, in conditiile primului punct, dar si sa gaseasca materiale educative sau de informare dincolo de cursul initial. Iar a treia a fost sa vada cum pot sa aplice ceea ce stiu in zona in care lucreaza. Si sa convinga managementul ca este nevoie de unele schimbari.”

Pentru Serban Popa, consultant GDPR la Unity Solutions, cea mai mare provocare a constituit-o “Constientizarea necesitatii adaptarii si conformarii proceselor si activitatiilor la noile cerinte, alaturi de faptul ca efortul se va regasi in increderea crescuta a clientilor si a partenerilor de afaceri.”

La capitolul provocari, Raluca Puscas, avocat asociat la Filip & Company, mentioneaza ca: “Integrarea cerintelor legate de protectia datelor in activitatea zilnica a companiilor a fost si ramane o provocare in sine, in sensul de constientizare in cadrul organizatiei si in privinta crearii unei <<obisnuinte”>> de a integra regulile GDPR in toate liniile de activitate si noile produse dezvoltate de operatorul economic”.

Raluca Puscas remarca faptul ca: “Dincolo de actiunile de implementare specifice, de multe ori specialistii in protectia datelor s-au confruntat cu provocarea de a-si defini rolul in cadrul organizatiei si de a convinge ca regulile stabilite de GDPR nu reprezinta o piedica in dezvoltarea afacerii, in implementarea de noi tehnologii sau lansarea de noi produse, ci pot fi identificate solutii adecvate, in conditiile unei prelucrari responsabile a datelor. Nu mai putin, adaptarea la mediul de afaceri in continua schimbare si raspunsul rapid in situatii de criza (cum este actuala situatie generata de COVID-19 sau, mai general, situatiile cand companiile se confrunta cu o incalcare a securitatii datelor) necesita reactii si raspunsuri prompte, inclusiv in zona de protectie a datelor, iar acest lucru necesita de asemenea o atentie continua si o buna pregatire de specialitate”, a mai adaugat specialistul.

Pentru Stefan Iancu, consultant GDPR in cadrul companiei iPrivacy, cele mai mari provocari au fost reprezentate de: “Comunicarea clara si asigurarea acceptarii de catre senior management a obiectivelor de conformare la Regulament, asigurarea alocarii resurselor necesare si a comunicarii in organizatie, la toate nivelele, pe de o parte si extinderea expertizei proprii, in aria de IT, Legal, Management al riscului, Audit, Training, pe de alta parte”.

In opinia Roxanei Mitroi, avocat in cadrul bpv GRIGORESCU STEFANICA, “Una dintre provocarile cu care cu siguranta multi specialisti ai domeniului s-au intalnit este legata de cartografierea in mod complet a datelor personale prelucrate, precum si a activitatilor de prelucrare, avand in vedere faptul ca fiecare activitate de prelucrare trebuie identificata, stabilindu-se atat elementele de legitimitate ale acesteia, cat si identificarea scopurilor prelucrarii, a temeiurilor juridice, perioadelor de retentie adecvate, a tuturor entitatilor implicate in proces”.

Roxana Mitroi mentioneaza ca „Alte provocari in domeniu au fost date chiar de aspectele sensibile pentru care au fost solicitate opiniile juristilor. Astfel, anumite zone precum marketingul, profilarea, monitorizarea comportamentului prin noile tehnologii sunt unele dintre putine cazuri cand spiritul de inovatie, dar si pragmatismul juridic au iesit la iveala. In acest context, un aspect important este identificarea echilibrului intre nevoile business-ului de a-si continua activitatea si gradul de conformare cu prevederile GDPR. Mai mult, o alta provocare aparuta in decursul acestor ani a plecat de la lipsa unor proceduri minime de protectie a datelor si de asigurare a securitatii acestora, precum si de la lipsa de pregatire a personalului intern al organizatiilor privind modul in care datele personale sunt prelucrate.  In acest sens, avocatii firmei noastre au inceput proiectele de conformitate cu prevederile GDPR prin niste sesiuni de training organizate la nivelul organizatiilor pe care le asistam, pentru ca angajatii acestora sa cunoasca prevederile si procedurile ce vor dicta modul in care trebuie sa actioneze in legatura cu activitatile de prelucrare a datelor pe care le desfasoara”.

Pentru Marius Dumitrescu, specialist GDPR, „Persoana fizica in sine a ramas cea mai mare provocare pentru intreg domeniul protectiei datelor din Romania, deoarece, prin lipsa de cultura, intreg corpul profesional se confrunta cu solicitari nejustificate si insuficient documentate privind stergeri selective sau rectificari neintemeiate a informatiilor inregistrate in documente. Cu siguranta, aceste solicitari nu vor fi solutionate in favoarea persoanei vizate, existand mai multe reglementari specifice in ceea ce priveste termenul de retentie si posibilitatile de acces restrictionat si conditionat”.

Totodata, in opinia specialistului, “Gardianul modului in care se respecta confidentialitatea si mecanismele de protectie a datelor cu caracter personal ramane in continuare Responsabilul cu protectia datelor cu caracter personal (DPO), aceasta meserie nou aparuta, care se confrunta probabil cu cele mai mari provocari profesionale datorita caracterului general al Regulamentului (UE) 2016/679 si lipsei unor repere unitare privind interpretarea si implementarea lui. Poate si denumirea postului, care induce ideea responsabilitatii concentrate pe umerii unei singure persoane, a ingreunat ascensiunea si recunoasterea profesionala, multi DPO facand educatie managementului in momentul semnarii contractelor de consultanta”.