Gordon Wade este avocat specializat în confidentíalitatea și protecția datelor la PwC Legal Middle East, cu sediul în Dubai, și a acceptat cu entuziasm să ofere un interviu exclusiv pentru DPO-NET. Gordon si-a efectuat studiile la University College Dublin, Trinity College Dublin și Societatea de Drept din Irlanda și este recunoscut ca avocat în Irlanda, Anglia și Țara Galilor, precum și ca avocat în New York. De asemenea, Gordon deține certificări de protecție a datelor de la IAPP și OneTrust. Gordon are o gamă largă de experiențe în consilierea clienților cu privire la toate aspectele legate de legile privind confidențialitatea și protecția datelor, inclusiv GDPR, cât și legile privind protecția datelor din Bahrain și Qatar. Avocatura lui Gordon pune un accent deosebit pe asistarea clienților în implementarea GDPR și a programelor de conformitate. Ca parte a expertizei sale din domeniul protecției datelor, Gordon a oferit consultanță organizațiilor naționale și internaționale importante cu privire la aspectele legate de confidențialitatea și protecția datelor sensibile, inclusiv contractarea terților; servicii de cloud; politici de confidențialitate și protecție a datelor; profilarea și microtargetarea persoanelor vizate; transferurile internaționale de date și stocarea lor. Gordon colaboreaza periodic cu reviste juridice de top pe teme precum confidențialitatea și protecția datelor, dreptul corporatist și comercial și este co-autor al viitoarei lucrări, Ghid practic privind confidențialitatea și protecția datelor (2019, Chartered Accountants Ireland).

A trecut un an de la intrarea în vigoare a GDPR. În opinia dvs., ce s-a schimbat în cursul acestui an? Care au fost cele mai bune politici GDPR pe care le-ați văzut în acest an?

GW: Cu siguranță au fost foarte interesante cele 13 luni și ceva de la intrarea în vigoare a GDPR. M-am mutat în Orientul Mijlociu la cinci luni după "Ziua GDPR" și pot confirma faptul că GDPR are efecte de undă importante și în afara granițelor UE. În ultimul an, evoluția sferei de reglementare (spun evoluție deoarece nu se poate spune că GDPR a revoluționat legea privind protecția datelor, mai degrabă a modernizat legea pentru epoca digitală) ne-a arătat că obținerea dreptului la confidențialitatea datelor este important pentru organizații. Cu toate acestea, ne-a și demonstrat că traseul spre conformare nu este ușor, în special pentru IMM-uri. Concepte precum baza legală, prelucrare ulterioară, proiectarea sistemului asigurând implicit confidențialitatea (privacy by desing and by default), precum și măsuri tehnice și organizatorice - toate necesită timp de înțelegere și, după cum știm toți, nu există un model organizatoric de conformitate rapid sau unic.

Cred că ceea ce s-a schimbat este că există o mai mare sensibilizare a opiniei publice privind această lege, în special referitor la drepturile individuale, la valoarea datelor cu caracter personal și asupra rolului jucat de autoritățile de reglementare. Într-adevăr, nu cred că amenzile propuse și anunțate recent de ICO din Marea Britanie (în valoare totală de aproximativ 282 milioane de lire sterline) au trecut neobservate în toată Europa sau chiar și în plan internațional. În ceea ce privește autoritățile de reglementare în comparație cu anii precedenți, majoritatea autorităților raportează creșteri ale solicitărilor și plângerilor, ceea ce, în sine, arată că a crescut gradul de conștientizare cu privire la drepturile de protecție a datelor.

Politica de confidențialitate a unui site web, teoretic, este un document relativ simplu, care impune companiilor să clarifice "de ce, unde, cine, când și cât de mult” își desfășoară activitățile de prelucrare a datelor cu caracter personal. Cu toate acestea, multe companii se străduiesc să o obțină (transparența) corectă. La capătul spectrului, am văzut o companie de vânzări de bilete care utilizează foarte inteligent actualizările politicii de confidențialitate ca instrument de marketing. Ei folosesc un film video de impact, cu un e-mail în care limbajul este personal, transparent și onest și care pune clienții în controlul datelor lor și îi încurajează să pună întrebări și să afle mai multe detalii. Minunat. Dar, la celălalt capăt, am revizuit o politică care era foarte lungă și detaliată legat de drepturile clienților, dar notele de subsol (fine print) conțineau o declarație de declinare a responsabilității și care stipula că politica de confidențialitate nu este obligatorie sau aplicabilă din punct de vedere juridic – acest aspect chiar impune întrebarea dacă un autor/agent de reglementare într-adevăr ar considera acest document ca fiind o politică de confidențialitate.

Scopul GDPR nu este de a impune amenzi, ci de a proteja indivizii. Cu toate acestea, la trei ani de la intrarea în vigoare a regulamentului, doar 67% dintre europeni au auzit de GDPR, în timp ce doar 36% au afirmat că știu ce este acest regulament (datele prezentate de Comisia Europeană în cadrul sondajului Eurobarometru). Credeți că aceste cifre sunt rezultatul lipsei interesului oamenilor de a-și proteja datele?

GW: Deși cifrele pot părea scăzute, cred cu tărie că ultimele 12 luni au cunoscut o creștere uriașă în conștientizarea publicului referitor la GDPR și protecția datelor în comparație cu lumea pre-GDPR. Nu cred că există o lipsă de interes pentru protejarea datelor cu caracter personal, dimpotrivă, cred că persoanele vizate sunt mult mai pretențioși în ceea ce privește protecția datelor lor cu caracter personal, mai mult decât oricând. Poate că are legătură cu faptul că GDPR, la fel ca multe alte legi, este un document lung, complex, care nu invită consumatorul obișnuit să-l parcurgă într-o duminică după-amiază. De asemenea, GDPR este un subiect dificil de înțeles pentru multe companii, astfel încât persoanele vizate pot fi iertate pentru că nu înțeleg pe deplin ce reprezintă acesta.

Care credeți ca vor fi consecințele pe termen lung cu privire la această lipsă de conștientizare a importanței datelor?

GW: Lipsa de conștientizare a societății referitor la oricare dintre legile care vizează consolidarea drepturilor individuale, va avea întotdeauna unele consecințe negative, indiferent de subiectul în cauză. Lipsa conștientizării de către persoanele vizate a consimțământului, de exemplu, (care, probabil, este cel mai bun exemplu la care putem face acum referire, având în vedere că, multe companii nu-l apreciază pe deplin), poate lăsa persoanele vizate vulnerabile pe termen lung în fața interfețelor manipulative și de limbaj și care le determină să facă alegeri nepotrivite privind prelucrarea datelor lor personale, fără a înțelege pe deplin consecințele. De asemenea, neînțelegerea pe deplin a numeroaselor baze legale disponibile companiilor, din cadrul GDPR, înseamnă că persoanele vizate ar putea fi rugate să accepte procesarea în circumstanțe complet inadecvate în cadrul GDPR. În plus, nivelurile scăzute de conștientizare pot pune persoanele vizate într-un dezavantaj deosebit atunci când fac plângeri împotriva organizațiilor, deoarece este puțin probabil ca acestea să fie conștiente de anvergura drepturilor legale care le sunt acordate sub GDPR.

Având în vedere atacurile cibernetice asupra sistemului de sănătate din România din ultimele săptămâni, ce pot face unitățile medicale pentru a se proteja împotriva atacurilor cibernetice?

GW: Din nefericire, recent a existat o tendință crescătoare de comitere a acestor atacuri cibernetice asupra instituțiilor medicale. Având în vedere câștigul potențial mare sub forma informațiilor pacientului sau a situațiilor financiare, instituțiile medicale sunt o țintă pentru hackeri. Instituțiile medicale care doresc să-și îmbunătățească securitatea și să se ferească de amenințări pot lua în considerare următoarele recomandări:

Identificați și evaluați vulnerabilitățile sistemului

Vulnerabilitățile se găsesc acolo unde hackerii pot obține acces in sistem și când pot introducere viruși pentru a vă încetini rețeaua, pentru a accesa informațiile critice de sănătate sau de a vă elimina softul de apărare, pentru a vă face sistemul mai accesibil în viitor. Această evaluare va oferi echipei dumneavoastră de Securitate toate informațiile necesare să analizeze și să prioritizeze riscurile.

Aflați mai multe despre ransomware (tip de software rău intenționat conceput să blocheze accesul la un sistem informatic până la plata unei sume de bani) și creați o politică de apărare

Atacurile ransomware amenință să blocheze un computer sau o întreagă rețea dacă nu este plătită o anumită sumă de bani. Când se întâmplă un astfel de incident, aplicarea unor politici și proceduri corespunzătoare poate fi foarte valoroasă. Angajații trebuie să știe ce trebuie să facă (adică să nu încerce să rezolve singuri problema) și pe cine să contacteze (de exemplu, departamentul IT); acest lucru ar trebui să facă parte din instruirea lor în materie de securitate și de conștientizarea generală asupra securității.

 Protejați datele de sănătate pe dispozitivele inteligente

Unitățile medicale dețin echipamente electronice foarte mult conectate, cum ar fi pompele de perfuzie sau de monitorizare insulină, care sincronizează de la distanță informațiile pacientului direct la tableta medicului sau la stația de lucru a unei asistente medicale. Toate aceste dispozitive ar putea fi atacate, perturbate sau dezactivate cibernetic, ceea ce ar putea afecta dramatic îngrijirea pacientului. Dispozitivele medicale conectate, în mod special, ar trebui monitorizate și să dețină protecție anti-virus, firewall-uri sau sisteme de apărare similare.

Luați în considerare migrația cloud

Clud-ul poate oferi o soluție sigură și flexibilă de stocare și salvare a datelor de asistență medicală. Soluțiile de salvare de rezervă și recuperare în caz de dezastre asigură ca înregistrările pacienților să rămână disponibile chiar și în cazul unei breșe sau a unei perioade de nefuncționare. Combinat cu opțiunea de control a accesului la date, astfel de soluții pot oferi securitatea atât de necesară.

Asigurați-vă că furnizorii sunt conformi

Unitățile de asistență medicală ar trebui să solicite furnizorilor să ia măsuri pentru a monitoriza și detecta amenințările și să limiteze accesul la sistemele lor. În calitate de operatori de date, instituțiile de asistență medicală trebuie să se asigure că societățile lor de asigurări, furnizorii de infrastructură și orice alți parteneri de afaceri din domeniul sănătății au sisteme de securitate impecabile pentru a putea proteja informațiile medicale.

Este esențial ca persoanele să identifice prelucrarea ilegală a datelor pentru a-și putea exercita drepturile. Cât de important este să-ți cunoști drepturile, atât timp cât nu poți identifica procesarea ilegală? Care ar trebui să fie focusul campaniilor de informare pentru oameni?

GW: Dreptul la protecția datelor este un drept fundamental al omului, consacrat în mai multe cărți privind drepturile omului. Spiritul GDPR este de a proteja persoana vizată și de a-i acorda un control mai mare asupra datelor sale personale. Drepturile individuale nu sunt concepute pentru a reacționa la prelucrarea ilegală a datelor - există o serie de drepturi gazdă care permit diferite tipuri de lucruri, de la solicitarea corectării informațiilor la ștergerea datelor. Fără o conștientizare a diferitelor tipuri de drepturi acordate de GDPR, acestea pot pierde o mare parte din obiectivul propus. Prin urmare, pentru societate în ansamblu, autoritățile pentru protecția datelor ar trebui să se concentreze asupra promovării gradului de conștientizare a drepturilor individuale de a proteja informațiile cu caracter personal și asupra a ceea ce pot face dacă consideră că acest aspect nu este întrunit. În contextul ocupării forței de muncă, angajatorii pot utiliza cursurile de e-learning ca o soluție eficientă din punct de vedere al costurilor și de economisire a timpului pentru a crește gradul de conștientizare și de a educa angajații a căror slujbă implică prelucrarea și stocarea datelor cu caracter personal.

Cine considerați că ar trebui să se implice mai mult în diseminarea importanței datelor personale? Instituțiile publice, autoritățile naționale de supraveghere sau ONG-urile pentru protecția datelor?

GW: Cred că toate părțile interesate joacă un rol în răspândirea mesajului de protecție a datelor cu caracter personal - de la instituțiile și organizațiile care procesează cantități mari de date cu caracter personal până la autoritățile naționale de reglementare în materie de protecție a datelor, care sunt însărcinate cu responsabilitatea pentru protejarea drepturilor de protecție a datelor. Cu toate acestea, importanța campaniilor active de sensibilizare a opiniei publice din partea autorităților de reglementare nu poate fi subestimată, deoarece aceste organisme promovează respectarea prin orientare, supraveghere și executare a GDPR.

Care sunt cele mai bune exemple de campanii de sensibilizare cu privire la importanța datelor personale pe care le-ați văzut recent?

GW: Campania "Datele dvs. contează" organizată de către ICO - biroul comisarului britanic pentru informații ", consider că a fost un proiect deosebit de eficient pentru a ajuta oamenii să înțeleagă modul în care își pot exercita drepturile referitor la datelor lor, utilizând materialele de publicitate. Ceea ce îmi place este că ICO folosește mai multe canale și aplicații media sociale pentru a comunica GIF, mini-filme și linkuri către resurse utile și sfaturi privind protecția datelor. Filmele lor o includ adesea pe doamna comisar - Elizabeth Denham, fapt care consider că este o modalitate foarte eficientă de personalizare a autorității de reglementare.

Credeți că amenzile au un rol important în aplicarea GDPR? Din experiența dvs. practică, cei mai mulți operatori respectă GDPR din răspundere sau de teama de amenzi?

GW: Aceasta este o întrebare tipică acum, mai ales în lumina anunțurilor de intenție ale ICO de a amenda British Airways și Marriot Hotels în cuantum de aproximativ 300mil.£. Sancțiunile financiare vor avea întotdeauna un rol de jucat în conformitate cu orice lege, în special în cazul în care legea GDPR în cauză și-a arătat colții pe care i-am văzut că îi are. Cred că conformitatea este determinată de mai mulți factori dintre care doar unul are potențial pentru sancțiuni financiare. Companiile care demonstrează că respectă și protejează datele personale ale clienților lor pot obține un avantaj competitiv pe piață. Trebuie reamintit faptul că mai multe dintre cele mai importante autorități ale UE pentru protecția datelor, inclusiv Comisia irlandeză pentru protecția datelor, au afirmat că abordarea lor privind supravegherea respectării legii este una de colaborare, consultare și educație, mai degrabă decât pur punitivă.

Ce inseamna aceasta prima amenda GDPR în Romania (articolul 25, 130.000 de euro)? Ce sfat acordați operatorilor pentru a evita investigarea și eventual amendarea de către autoritate?

GW: Recenta amendă UniCredit a fost una interesantă. Amenda subliniază principiul GDPR de confidențialitate by design și arată modul în care autoritatea de reglementare din România îmbrățișează noile tehnologii și obligațiile de conformitate. Din punct de vedere practic, cred că această amendă ar putea fi începutul unei abordări mai agresive a autorităților de reglementare din România în ceea ce privește respectarea normelor GDPR. Într-adevăr, cea de-a doua amendă de 15.000 EUR este recent emisă către World Trade Center București. Aceste două amenzi pot însemna pregătirea autorității de reglementare de a trece de la clemență la o aplicare activă.

Credeți că instituțiile publice ar trebui să fie un exemplu pentru restul operatorilor? Punem această întrebare deoarece în România avem un tratament preferențial pentru instituțiile publice, amenda maximă pentru nerespectarea GDPR este de 200.000 de lei (aproximativ 42.000 de euro), mult mai mică decât ceea ce riscă operatorii privați. Este o practică generală la nivel european?

GW: Alte autorități de reglementare din UE au adoptat o abordare similară prin care autoritățile publice sunt supuse unor amenzi maxime mai mici decât cele din sectorul privat. De exemplu, în Irlanda, Legea privind protecția datelor 2018 plasează orice amendă împotriva unui organism public la 1 milion de euro, cu mult mai mare decât ceea ce reprezintă în prezent legea din România. Ceea ce este interesant este că guvernul irlandez a încercat inițial să scutească organele din sectorul public în întregime de amenzi, dar a respins următoarele preocupări exprimate de comisarul pentru protecția datelor. Cu toate acestea, din motive de obiectivitate și echitate, această limită nu se aplică organismelor publice care concurează pe piața bunurilor și serviciilor. Ideea este că, în ceea ce privește protejarea drepturilor fundamentale, în mod cert, sunt solicitate standard înalte de către organismele publice care ar trebui să acționeze ca un exemplu pentru toate organizațiile.

Cum credeți că ar trebui să se comporte un utilizator de internet dacă este conștient de riscurile pe care le ascunde Internetul?

GW: Personal, nu simt că utilizarea internetului meu s-a schimbat atât de mult de la intrarea în vigoare a GDPR, de exemplu, dar poate sătul puțin de bannere despre cookie-uri pe fiecare site. Elementele de bază se aplică în continuare la fel de mult ca și până acum- dacă pare suspect, șansele sunt să fie. Sfaturile mele sunt: ​​asigurați-vă că utilizați o conexiune securizată de internet (VPN); limitați cantitatea de date cu caracter personal pe care le transmiteți site-urilor web, în ​​special în cazul în care vi se solicită informații pentru care site-ul nu deține un motiv real pentru a le colecta; folosiți parole puternice; cumpărați doar articole online de pe site-uri sigure; păstrați software-ul anti-virus și fiți atenți la ceea ce descărcați.

Accesul copiilor la Internet este deja normal. Ar trebui să ne îngrijoreze asta? Credeți că educația privind accesul copiilor la Internet ar trebui să fie o sarcină pentru părinți sau ar trebui sistemul educațional să își asume acest rol?

GW: Cred că amândoi au un rol în acest sens. Am primit prima mea "cărămidă" de telefon mobil Nokia când aveam 13 ani, cu care puteam să trimit mesaje text, să fac apeluri și să mă joc Snake - asta a fost tot. Derulați rapid înainte 20 de ani și găsiți copii cu mult mai mici de 13 ani, care au telefoane inteligente cu care pot face tot felul de lucruri și pot accesa toate tipurile de informații. Părinții cumpără telefoane atât de natural copiilor, încât trebuie să-și asume un grad de responsabilitate pentru educarea acestora în privința utilizării în siguranță a internetului. În același timp, școlile încorporează din ce în ce mai mult sistemul informatic în sistemul de învățământ, astfel încât și ei trebuie să se angajeze să răspândească mesajul despre utilizarea în siguranță a internetului. Consider că internetul este un lucru și  bun și rău pentru copii; pe de o parte, abilitatea copilului de a învăța este practic nelimitată, prin accesul la internet, iar cercetările arată că cei cu acces la internet învață să citească mai devreme și mai bine, să-și câștige încrederea în sine și să rețină mai bine informațiile decât prin învățarea tradițională. Pe de altă parte, fără supraveghere, internetul poate fi un loc periculos și subversiv. Totul se învârte în jurul unei utilizări sigure.

Care sunt sfaturile pe care le puteți oferi unei persoane vizate și unui operator?

GW: Pentru organizații, accentul trebuie acum pus pe conformarea continuă:

1. Întoarceți-vă și examinați-vă notificările privind confidențialitatea - amenda Google din Franța s-a bazat în mare măsură pe faptul că autoritatea de reglementare a constatat că politicile Google privind persoanele vizate sunt opace, nu sunt ușor de evaluat și se răspândesc în prea multe locații.
2. Unele autorități de reglementare (de exemplu ICO din Marea Britanie) elimină cerințele locale de înregistrare și plată a taxei anuale. Urmăriți acest lucru
3.  Viitorul unor mecanisme de transfer în țări terțe (clauze contractuale standard și "Shield Privacy") este în prezent îndoielnic. Începeți să evaluați alternative viabile, cum ar fi BCR etc.
4. Autoritățile de reglementare iau foarte serios nerespectarea drepturilor persoanelor vizate. Politicile și procedurile DSAR trebuie să fie în actualizate - încercați să le și perfecționați frecvent.
5. De mai mult de un an de la intrarea în vigoare a GDPR, s-ar putea să fie timpul să oferim angajaților un curs de perfecționare, în special în lumina extinderii activității recente de reglementare.
6. Nu lăsați GDPR să înăbușe oportunitățile de inovare, dar întotdeauna să aveți în vedere protecția datelor atunci când elaborați sau implementați un nou proces. Este mai ușor să încorporați confidențialitatea într-o arhitectură de sisteme de la început decât să încercați să modernizați mai târziu.

 Pentru persoanele vizate:

1. GDPR vă recomandă să aveți un control asupra informațiilor dumneavoastră cu caracter personal și vă oferă o serie de drepturi puternice care vă permit să faceți acest lucru. Nicio companie nu este proprietară a datelor dvs., trebui să știți întotdeauna ce se întâmplă cu ele.
2. Respectarea și protecția datelor dvs. personale este un drept fundamental al omului și un drept care va fi impus organizațiilor de către o autoritate de reglementare independentă.
3. Aveți întotdeauna dreptul de a depune o plângere la autoritatea locală pentru protecția datelor cu privire la ceea ce face o organizație cu datele dumneavoastră.

Radu Crahmaliuc este fondatorul Cloud☁mania, una dintre cele mai populare platforme independente de cunoștințe și servicii din Europa de Est Centrală care s-a dezvoltat pe următorul principiu: "cele mai bune practici se bazează pe diversitatea serviciilor profesionale, abilitatea de personalizare, expertiza internațională și oferta flexibilă centrată pe client.". În prezent este Analist GDPR și Consilier în afaceri la  GDPR Ready! și a acceptat provocarea dpo-NET a de răsăunde al cele mai arzătoare întrebări despre GDPR ale momentului. 

Scopul GDPR-ului nu este de a da amenzi ci de a proteja persoanele. Cu toate acestea, după 3 ani de la intrarea în vigoare a Regulamentului doar 67% dintre Europeni au auzit de GDPR, în timp ce doar 36% au declarat că știu ce este acest regulament (date prezentate de Comisia Europeana în sondajul Eurobarometru) Credeți ca aceste cifre sunt rezultatul dezinteresului persoanelor în ceea ce privește protejarea datelor lor?

RC: Fără să luăm aceste cifre la modul absolut, ca cetățeni europeni se poate spune că principalul motiv este lipsa de informare legată de drepturile noastre fundamentale la viață privată și la protecția datelor cu caracter personal, garantate de art. 7 și art. 8 din Carta Drepturilor Fundamentale a Uniunii Europene și de art. 16 din Tratatul privind Funcționarea Uniunii Europene. De unde această lipsă de informare? Ori nu le pasă ce se întâmplă cu datele lor personale, considerându-se în afara oricărui risc cu implicații majore, ori, pur și simplu nu știu... Deși din 2016 se tot vorbește despre asta, sunt foarte mulți cei care nu știu pentru că nu a stat nimeni să le explice. Și acesta este rezultatul direct al lipsei de eficiență al programelor de comunicare din partea autorităților naționale de supraveghere.

Care credeți ca vor fi consecințele acestei lipse de conștientizări a importantei datelor în rândul persoanelor, pe termen lung?

RC: Pe termen lung trebuie să privim figura de ansamblu asociată eforturilor UE de construire a pieței unice digitale. O Europă digitală nu poate fi construită fără cetățeni digitali. Așa că, să fim optimiști, și să sperăm că pe termen lung oamenii vor deveni tot mai conștienți de drepturile lor, și de importanța respectării drepturilor celorlalți prin prelucrarea adecvată a datelor personale în procesele de business în care sunt antrenați.  

Un studiu ASCPD atragea atentia la inceputul acestui an asupra acestor statistici din unitatile medicale Romanesti: 37,44% din instituţiile sanitare cuprinse în analiză s-au confruntat cu incidente de securitate şi cu toate acestea 73,85% din total nu au implementat un plan de reacţie la incidentele de securitate. De asemenea, sondajul a scos în evidenţă că 70,26% încă folosesc adrese de email @yahoo.com şi @gmail.com în interes profesional în interiorul reţelei, expunând astfel organizaţia unor riscuri care pot fi evitate. Din sondaj a mai reieşit că 11,28% nu au implementat sisteme tehnice de protecţie antivirus, cel mai des invocând lipsa fondurilor. Cum comentati aceste rezultate?

RC: Ținând cont de caracterul special al datelor prelucrate în unitățile medicale acest lucru mi se pare revoltător. Nu au nicio scuză pentru asta. Spitalele de stat din România nu sunt pregătite să ne proceseze datele așa cum cere legea, deși în ultima perioadă sunt tot mai multe cazuri de atacuri informatice. Și nu faptul că au adrese pe Yahoo e cel mai grav, ci că nu au un DPO. Din analiza GDPR Ready efectuată pe un eșantion de peste 450 de site-uri, a reieșit că 9 din 10 spitale publice nu au o Politică de Securitate pe site.

Având în vedere atacurile cibernetice asupra sistemului sanitar românesc din ultimele saptămâni, ce măsuri considerați că trebuie luate imediat ?

RC: Pe linia celor spuse anterior, răul trebuie tratat de la rădăcină. Ar trebui formată o echipă operațională din membrii Min. Sănătății, Min. Com.&TI, CERT.RO și alte organisme, care împreună cu Autoritatea de Supraveghere să pună la punct un set de Norme sau un Cod de Conduită menit să reglementeze politica GDPR în domeniul sănătății publice. Spitalelor care nu au capacitatea să adere la acest Cod de Conduită ar trebui să li se aplice niște penalități administrative. In paralel trebuie făcute eforturi pentru sensibilizarea conducerilor acestor spitale, care trebuie să înțeleagă faptul că pe lângă responsabilitatea actului medical o au și pe aceea de adopție de măsuri tehnice și operaționale adecvate.

Este esențial ca persoanele să identifice prelucrările ilegale de date pentru a-și putea exercita drepturile. Cât este de important sa-ți cunoști drepturile atâta timp cât nu poți identifica o prelucrare ilegală? Pe ce ar trebui să se axeze campaniile de informare a persoanelor?

RC: Nu este necesar ca persoanele vizate să identifice prelucrările ilegale. Aceasta este obligația operatorilor și procesatorilor de date. Desigur, noi putem observa în destule cazuri că ceva este în neregulă cu datele noastre, dar e mult mai important ca noi să ne cunoaștem în primul rând drepturile și să știm să acționăm în consecință.

Care credeți că ar fi cea mai scurta cale spre creșterea gradului de conștientizare și complianta GDPR: educarea persoanelor sau educarea operatorilor?

RC: Acest proces de educare trebuie să acopere tot. Ca persoane vizate avem datoria să fim primii care să ne informăm și să ne protejăm datele, cunoscându-ne drepturile. Ca operatori sau procesatori, nu trebuie să uităm că și noi suntem în aceeași situație cu persoanele vizate ale căror date le prelucrăm și în consecință trebuie să ne înțelegem responsabilitatea pentru rolul pe care îl jucăm. În proiectele mele și la cursuri le explic întotdeauna clienților că respectarea unor norme elementare de securitate, din care majoritatea nici nu țin de GDPR, trebuie să devină o normalitate, precum spălatul pe dinți sau verificarea apei, gazului și a electricității atunci când plecăm de acasă. O politică de securitate IT și un plan de breșe sunt la fel de obligatorii și de utile ca măsurile de protecție în caz de incendiu sau instrucțiunile de evacuare a unei clădiri.

În România, până în acest moment, s-au acordat trei amenzi pentru nerespectarea GDPR și autoritatea condus aproape 1.000 de investigații, adoptând o atitudine orientată spre prevenție și dispunerea de măsuri corective. Considerați că Amenzile au un rol important în aplicarea GDPR-ului? Din experienta dvs practică, cei mai mult operatori se conformeze cu GDPR-ul din responsabilitate sau de frica amenzilor?

RC: A fost un moment de evoluție a cauzelor de responsabilizare: la început, imediat după anunțarea aprobării noului regulament în mai 2016, toată lumea s-a speriat de mărimea amenzilor și de celelalte modificări cu care venea GDPR în raport cu vechea legislație. Ulterior, pe măsură ce ne apropiam de momentul 25 mai 2018 și foarte puțin după aceea, nevoia de conformitate a venit ca un tăvălug, având ca mix de surse responsabilizarea, exemplul altora sau teama de necunoscut. Apoi s-a intrat în cunoscuta perioadă de acalmie în care nimeni nu a mai făcut nimic pentru că nici nu s-a întâmplat nimic. Eram împreună la un eveniment dedicat unui an de GDPR când mulți oameni din domeniu apreciau că e nevoie de amenzi ca să se întâmple ceva. Părerea mea este că trebuie insistat pe necesitatea transformării în business, că trebuie învinsă rezistența la schimbare și că trebuie arătate celor responsabili toate beneficiile induse de un proces de asigurare a conformității: adoptarea de norme și reguli ne face mai eficienți, reduce pericolele interne și ne asigură o etichetă de încredere față de ecosistemul de business în care evoluăm. Părerea mea este că cele 2 amenzi anunțate și probabil alte 5-6 care sunt pe rol nu au cum să determine brusc peste 50% dintre managerii din România că trebuie să facă ceva. Să nu uităm că sunt încă foarte mulți care nu știu despre ce este vorba și care sunt convinși că organizațiile lor nu au nimic de-a face cu datele personale... Trebuie continuat cu mare sârguință procesul de conștientizare și sensibilizare în masă. Legat de cele 2 cazuri apărute la noi, aș comenta numai atât. E foarte ciudat că s-a ajuns la asta, pentru că ambii operatori, prin natura activității,  ar fi trebuit să fie compatibili și pentru legea 677/ 2001. Puteau fi evitate aceste vulnerabilități? Cu siguranță, dacă cei 2 operatori s-ar fi gândit și la verificarea adecvării tehnice și operaționale. Nu știu cum s-au petrecut lucrurile intern, dar cineva a tratat totul cu superficialitate, limitându-se probabil la asigurarea necesarului de documente. Legat de al doilea caz, sunt mulți care consideră că documentele pe suport de hârtie nu intră sub incidența GDPR. S-a văzut cât de păgubitoare poate să fie o astfel de atitudine...

Credeți că instituțiile publice ar trebui sa fie un exemplu pentru restul operatorilor? Punem această întrebare pentru că în Romania avem un tratament preferențial pentru instituțiile publice, amenda maxima pentru nerespectarea GDPR-ului fiind de 200.000 lei (aproximativ 42.000 euro), cu mult inferior față de ceea ce risca operatorii privați.

RC: Legat de ce se întâmplă în instituțiile publice, prefer să nu comentez. Ne batem cu morile de vânt. Politizarea schimbă radical regulile jocului. Aștept cu nerăbdare, ca pe o curiozitate profesională, nu din dorințe revanșarde, primul anunț al Autorității care vizează o instituție publică...

Cu toate că România înregistrează cel mai scăzut nivel de utilizare a serviciilor de internet dintre statele membre ale UE, 86 % dintre utilizatorii români de internet au conturi pe rețelele sociale, ceea ce ne face campionii Europei la acest capitol. Având în vedere scandalurile imense în care au fost implicate rețelele de socializare, fie prin breșele de securitate, fie prin utilizarea ilicită a datelor, putem considera că suntem și cei mai vulnerabili. Cum considerați ca ar trebui să se comporte un utilizator de internet, dacă ar fi constient de riscurile pe care internetul le ascunde?

RC: Depinde de modul în care rețelele sociale afectează integritatea datelor noastre personale prelucrate de operatori. Statisticile de utilizare a Internetului amintite se referă la activități de navigare și accesare individuale. Ca indivizi suntem expuși, iar faptul că 86% dintre utilizatorii români au cont de social media, prin extinderea analizei la volumul total al populației, cifrele devin nerelevante și nu cred că suntem cei mai vulnerabili din Europa din această perspectivă. Vulnerabilitatea noastră constă în analfabetismul digital, și în faptul că nu știm sau nu putem să folosim tehnologiile digitale așa cum trebuie. Studiile DESI ne-au situat an de an pe ultimele locuri din UE (ultimii sau penultimii într-o strânsă tovărășie cu Bulgaria). Digital Economy and Society Index (DESI) este un index compozit ce cumulează indicatorii specifici pentru 6 direcții de activitate ce implică pregătirea digitală: conectivitatea, abilitățile digitale ale capitalului uman, folosirea serviciilor Internet de către cetățeni, integrarea tehnologiilor digitale în business, folosire serviciilor publice digitale și nivelul de dezvoltare al cercetării IT&C.  Ce zice DESI 2019 despre starea digitală a României? https://ec.europa.eu/digital-single-market/en/desi

La Conectivitate suntem pe locul 27 (din 28), la abilitățile digitale tot pe 27, la folosirea Internetului pe 27, la integrarea tehnologiilor pe 27, la folosirea serviciilor publice pe digitale pe 27, iar la nivelul IT&C pe locul 6, ca procentaj al industriei din PIB. Ce e greșit aici?

Accesul copiilor la internet este deja o normalitate. Ar trebui acest lucru sa ne îngrijoreze? Considerați că o educație privind privind accesul la internet al copiilor ar trebui sa fie o sarcina a părinților sau sistemul de învățământ ar trebui să-și asume acest rol?

RC: Răspunderea pentru copii o poartă în primul rând părinții. Mulți dintre copiii care au posibilitatea intră pe Internet înainte de școală. Părinții au principalul rol în educația digitală a copiilor și asta se referă nu numai la crearea de conturi sau postarea pozelor pe Internet. În cazul GDPR pentru copii sub 16 există obligația obținerii acordului părintelui, dar să nu uităm că nu totdeauna decizia unui părinte privitoare la datele personale făcute publice presupune și acordul copiilor pentru acest lucru. Școala are rolul ei, prin integrarea elevilor în programe educaționale care să-i învețe ce și cum să folosească de pe Internet, dar educația digitală de bază se face în cei 6 ani de acasă...

Facebook a lansat Study, un program de cercetare de piață bazat pe recompense. Cum vi se pare un asemenea concept: să fim plătiți pentru datele pe care le facem publice? Este acesta direcție una corecta?

RC: Decizia aparține întotdeauna utilizatorului și întotdeauna există o miză, o momeală, prin care acesta e convins să facă ceva. Tot procesul acesta trebuie să fie transparent și dacă luăm o decizie, să cunoaștem toate implicațiile acesteia.

Conform unui raport DLA Piper (GDPR data breach survey: February 2019), de la data aplicării GDPR-ului și pana în februarie 2019, Autoritatea de supraveghere din Olanda înregistrase 15,400 de notificări de breșe, în timp ce România număra la acea vreme doar 270. Care credeți că este motivul acestei discrepanțe? Suntem noi romanii un popor norocos și breșele de securitate ne evită, ori nu recunoaștem o breșă de securitate nici dacă ne împiedicăm de ea?

RC: Cauzele sunt legate de alfabetizarea digitală. A se vedea comentariile de la întrebarea nr.9

Identificarea riscurilor este unul din cei mai importanți pași spre complianta GDPR. Dar dacă noi nu reușim sa identificam nici breșele, cum am putea identifica riscurile?

RC: Sunt două lucruri diferite. Riscurile sunt cauza, iar breșele sunt consecințele. Identificarea breșelor ține de latura tehnologică a sistemelor de protecție cybersecurity. Analiza de risc este un proces care se face în avans și care ține de componentele umane, operaționale și tehnice ale unei organizații.

A trecut un an de la intrarea în vigoare a GDPR-ului. Ce s-a schimbat în decursul acestui an?

RC: Am comentat destul de mult pe tema asta în articolele din GDPR Ready. Nu putem spune că nu s-a întâmplat chiar nimic. Cei mai mari operatori și-au făcut temele prin derularea de activități de conformitate. După depășirea momentului de panică din ziua de 25 mai 2018, când foarte multe companii și-au canibalizat bazele de date, s-a intrat într-o perioadă de aparent calm, în are mulți operatori au adoptat o atitudine sănătoasă de pregătire și asimilare, și-au instruit oamenii și aparent sunt la un nivel de conformitate care să le asigure un anumit grad de confort. Partea proastă este că acest grad de confort dispare imediat la cea mai mică tentativă de atac. Partea cea mai proastă este că fiecare și-a construit un castel din cărți de joc, dar puțini s-au preocupat de edificarea unei reale Culturi GDPR care să le asigure temeinicia construcției. Exemple clare sunt cele două cazuri devenite publice de la noi. Puteau fi evitate breșele de securitate? Cu siguranță, dacă cineva ar fi urmărit modul de punere în practică a livrabilelor și controalelor adoptate. Știu destul de puține cazuri în care operatorii au avut timpul și resursele să simuleze intern sau extern apariția unor breșe. Despre analizele DPIA ce să mai vorbim. Deși aici lucrurile sunt de clare, nivelul de confuzie e destul de mare cu toate ghidurile WP29 și aplicația software realizată de CNIL. O bună analiză de impact poate avea rolul implementării unui standard și reprezintă cel mai elocvent barometru pentru conformitatea acțiunilor întreprinse într-un proiect GDPR. Desigur. Specialiștii recomandă DPIA în cazul noilor procese de business, dar pentru sănătatea afacerii este bine să facem o astfel de analiză și în cazul proiectelor GDPR realizate până acum. Numai așa avem posibilitatea documentată de a vedea că ceva nu e în ordine, că ce apare în documente nu se pupă cu realitatea...     

Cum vedeți implementarea Directivei NIS în România? Care sunt cele mai mari provocări ? Ce măsuri au fost luate până în prezent ?

RC: Legea nr. 362 din 2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice a intrat în vigoare de la 12 ianuarie 2019, ca transpunere a Directivei UE 2016/1148 și are ca scop creșterea nivelului de pregătire a statelor UE pentru a face față la incidentele de securitate informatică. Spre deosebire de GDPR, companiile din cele 7 segmente industriale ce intră sub incidența NIS erau destul de bine pregătite theoretic pentru noile prevederi. Faptul că CERT.RO a fost stabilit ca organism de reglementare, supraveghere și control și care va îndeplini și cu funcție de Punct Unic de Contact la nivel national și de echipă CSIRT națională este un lucru foarte bun. Provocările, ca și la GDPR sunt legate de punerea efectivă în aplicare și care intră clar în atribuțiile CIO din fiecare organizație.

Cine credeți ca ar trebui să se implice mai mult în diseminarea importantei datelor personale? Instituțiile publice, Autoritățile naționale de supraveghere sau ONG-urile din domeniul protecției datelor?

RC: Este un efort care ne privește pe toți. De obicei evit să comentez activitatea celor îndreptățiți să coordoneze această diseminare. Este treaba lor și pentru toată lumea e clar că s-a făcut prea puțin pentru asta. Acesta este motivul pentru care a apărut inițiativa GDPR Ready, din dorința de a suplini lipsa de informație și de a oferi operatorilor și procesatorilor de date personale informații concrete despre ce au de făcut. După o serie de 15 articole de fundamentare GDPR au urmat publicarea celor 3 Cataloage GDPR Ready, o premieră absolută nu numai pentru piața din România, evenimente și paneluri dedicate, un site special, un newsletter, un grup dedicat de discuții pe LinkedIn și, cel mai recent, studii și analize de piață privitoare la stadiul asimilării. Astea toate s-au făcut Pro Bono și în completarea activităților curente de consultanță, formare, business development și auditare internă. Mai sunt multe de făcut, nu ducem lipsă de proiecte, dar toate la vremea lor...

Cu o experiență de peste 13 ani în proiecte de audit (internet banking, securitate IT, proiecte IT, proiecte finanțate prin fonduri UE), consultanță (continuitatea afacerii, analiză de impact, analiza decalajelor, evaluarea  maturității  proceselor,  evaluarea  riscurilor, soluții tehnice de securitate – DLP, SIEM, endpoint etc), implementarea de  standarde  și  bune  practici  de  securitate (ISO 27001, COBIT, ISO 20000/ITIL) și instruire IT&C (CISA, CIPM), Adrian  Munteanu este profesor universitar doctor în cadrul Facultății de Economie și Administrarea Afacerilor – Univ. Alexandru Ioan Cuza din  Iași,  unde  predă  securitatea  informațiilor,  auditul sistemelor informaționale, guvernare și managementul serviciilor IT. În perioada  2017 -2018 a fost președintele  filialei din  România a  IAPP (International  Association  of  Privacy Professionals). Este  expert  ENISA  (European  Union  Agency  for  Network  and Information Security, 2014) în domeniul managementului riscurilor. De asemenea, este Certified Information Privacy Manager (CIPM) Computer Information System Auditor (CISA), Certified in Risk and Information Systems Control  (CRISC) COBIT Foundation Certificate, ITIL Foundation Certificate.

La invitatia Dpo-NET.ro - Data Protection Officers Network, acesta a acceptat să răspundă in exclusivitate la unele din cele mai arzătoare întrebări în domeniul protecției datelor din România.

Scopul GDPR-ului nu este de a da amenzi ci de a proteja persoanele. Cu toate acestea, după 3 ani de la intrarea în vigoare a Regulamentului doar 67% dintre Europeni au auzit de GDPR, în timp ce doar 36% au declarat că știu ce este acest regulament (date prezentate de Comisia Europeana în sondajul Eurobarometru). Credeți ca aceste cifre sunt rezultatul dezinteresului persoanelor în ceea ce privește de protejarea datelor lor?

AM: Putem să ne întoarcem în timp, în 2001 – cînd a apărut directiva europeană sau chiar mai devreme, la începutul Internetului. Păstrînd raportul, lucrurile au evoluat. Poate nu cu viteza dorită, dar cu certitudine gradul de conștientizare în aceste vremuri este mai mare. Nu cred că este „dezinteres„ ci mai degrabă lipsă de informare sau de explicații. Omul de astăzi caută să obțină lucrurile cît mai repede, cît mai ușor, cu un click. Și pînă nu este afectat direct, nu acordă importanță subiectului.

Pentru că nu a fost informat încă, acordă mai puțină importanță datelor oferite pe un site și mai multă reducerii sau prețului produsului/ serviciului pe care și-l dorește.

Educația însă ar trebui să înceapă din primii ani de școală: cum cauți informații pe Internet? Cum deosebești informațiile false? Cum identifici un site fals? Ce date oferi și de ce?

Care credeți ca vor fi consecințele acestei lipse de conștientizări a importantei datelor în rândul persoanelor, pe termen lung?

AM: : Sunt destul de sceptic. Consider că acum, la gradul de dezvoltare al tehnologiei – machine learning, artificial intelligence, big data, analytics – lupta cu apărarea vieții private în online este aproape pierdută. De fapt acum cred că facem „damage control„ – încercăm să protejăm ce se mai poate. Genetic nu sîntem ființe etice iar economic nu luăm decizii raționale. Vor exista în continuare suficienți oameni care își vor oferi datele în contrapartida unui bun sau serviciu.„Technics get the job, business does the money„. Trăim într-o economie bazată pe servicii în care informațiile despre consumator (comportment) sînt combustibilul cu care se alimentează motorul vînzărilor on-line. Ori de cîte ori constrîngerile/regulile contravin credințelor/dorințelor noastre sau cîștigul obținut va fi mai mare decît costul, vom fi dispuși să încălcăm regulile.

Un studiu ASCPD atragea atentia la inceputul acestui an asupra acestor statistici din unitatile medicale Romanesti: 37,44% din instituţiile sanitare cuprinse în analiză s-au confruntat cu incidente de securitate şi cu toate acestea 73,85% din total nu au implementat un plan de reacţie la incidentele de securitate. De asemenea, sondajul a scos în evidenţă că 70,26% încă folosesc adrese de email @yahoo.com şi @gmail.com în interes profesional în interiorul reţelei, expunând astfel organizaţia unor riscuri care pot fi evitate. Din sondaj a mai reieşit că 11,28% nu au implementat sisteme tehnice de protecţie antivirus, cel mai des invocând lipsa fondurilor. Cum comentati aceste rezultate ?

AM: Din interacțiunile mele, consider că situația este chiar mai gravă decît o relevă sondajul. Văd lucruruile din două perspective: una financiară și una care ține de viziune/strategie.

Pentru un spital, o investiție în licențele pentru o soluție antivirus reprezintă o sumă mare și nu este în prim planul obiectivelor. Dacă mai adăugăm protecția bazelor de date, soluții DLP etc…deja discutăm de sume consistente. Ar trebui să spună managerii spitalelor ce procent din bugetul anual al unui spital este alocat investițiilor, din acesta cît reprezintă investiții IT și din acestea cît investiții în Securitate. Vom discuta de procente mult subunitare, care tind spre zero. Prin urmareș știrile nu îmi spun nimic nou.

Cea de a doua perspectivă, are în vedere „rotița„ numită spital, ce face parte dintr-un angrenaj/sistem mai mare. Deși avem din 2013 o strategie de securitate cibernetică, abia odată cu transpunerea Directivei NIS în legislația națională se încearcă a se face ceva în direcția securității informațiilor. Sistemul informațional al unui spital nu este o insulă pe care o protejezi singular.

Având în vedere atacurile cibernetice asupra sistemului sanitar românesc din ultimele saptămâni, ce măsuri considerați că trebuie luate imediat ?

AM: Este cam dificil să ofer un răspuns general valabil în cazul spitalelor deoarece managementul este cel care a decis în fiecare caz în parte. Majoritatea spitalelor folosesc sisteme la cheie, fie pe serverele proprii, fie pe serverele furnizorilor. Informațiile medicale ajung și în SIUI sau la alți furnizori de servicii, chiar furnizorul soluției are de obicei acces total la datele medicale. Aș fi curios să citesc informații cu privire la numărul spitalelor publice din România care au un departament IT și numărul de angajați din departament.

Teoria ne învață despre „security by design„ -  adică să ne gîndim la protecția informațiilor încă din faza de proiectare/achiziție a unui sistem. Astfel costurile vor fi cu totul altele.

GDPR se referă la același lucru, scris altfel: „asigurarea protecției datelor începând cu momentul conceperii și în mod implicit „. Pornind de la această cerință putem să estimăm ce costuri presupune „pseudonimizare„ sau „criptarea datelor„. Se face cu ajutorul algoritmilor proprietari SGBDR-ului folosit de aplicații? Se cumpără o soluție la cheie? Cine face analiza? Cine identifică rolurile, drepturile și permisiunile?

Întrebările ar trebui să continue și vom ajunge la următoarele măsuri/soluții/controale minimale: criptare/pseudonimizare; copii de siguranță și arhivare; clasificarea datelor; prevenirea pierderii datelor (DLP); managementul conturilor utilizatorilor (inclusiv conturile privilegiate); managementul incidentelor; antivirus; managementul amenințărilor... Protecția datelor trebuie asigurată în toate cele 3 situații în care acestea se pot afla: utilizate, în tranzit sau stocate. Dacă am pune pe hîrtie costurile, vom constata că sînt mari. Foarte mari pentru o organizație iar pentru un spital, cred că sînt considerate enorme.

Dar asta nu este o scuză. Pentru că o mulțime din cerințele GDPR ar fi trebuit puse în practică începînd cu anul 2001 cînd a intrat în vigoare fosta lege 677.

Știrile din presă despre incidente de securitate confirmă că nu sînt deloc puține cazurile din practica autohtonă în care conformitatea înseamnă să te acoperi de hîrtii. Aproape nimeni nu verifică dacă ceea ce este scris prin acele hîrtii chiar funcționează în realitate. Cam asta se întîmplă și acum.

Este esențial ca persoanele să identifice prelucrările ilegale de date pentru a-și putea exercita drepturile. Cât este de important sa-ți cunoști drepturile atâta timp cât nu poți identifica o prelucrare ilegală? Pe ce ar trebui să se axeze campaniile de informare a persoanelor?

AM: : Utilizatorul obișnuit nu are de unde să știe dacă o prelucrare este ilegală sau nu. Este responsabilitatea managementului organizației să prelucreze datele legal.

Pentru că sînt și auditor, eu plec de la premisa că o prelucrare este legală dacă este permisă de lege („tot ce nu este permis, este interzis„) și nu dacă nu este interzisă de lege („tot ce nu este interzis, este permis„).

O campanie de informare ar trebui să fie simplă, într-un limbaj accesbil oricui, fără „legaleză„ sau „securITeză„. Aș spune că orice informație, implicit deci și datele personale, au valoare: pentru organizații; pentru individ, pentru societate și pentru terți. Aș prezenta exemple cu „suferința„/„daunele„ semenilor ale căror date au fost prelucrate ilegal, folosind ca exemplu furtul de identitate care poate conduce la pierderi financiare.

Am citit cît am putut despre amenzile date de autoritățile din țările UE. Nu am identificat nici o știre în care să se menționeze și ce prejudicii/daune au suferit oamenii afectați.

Care credeți că ar fi cea mai scurta cale spre creșterea gradului de conștientizare și complianta GDPR: educarea persoanelor sau educarea operatorilor?

AM: Educația/școala indivizilor, plecînd de la concret la abstract și nu invers cum se practică acum. Generațiile care vin din urmă sînt generații care s-au născut și au crescut cu tehnologii despre care noi, la aceeași vîrstă, nici nu știam că există. Ni le închipuiam de prin literatura SF

Organizațiile fac afaceri. Afacerile presupun riscuri pe care managementul și le asumă. Și acum, după mai bine de 2 ani, percepția este că dacă ai informare pe site, semnătura anagajatului, un cookie manager și un fișier Excel cu „evidența activităților de prelucrare„, se poate spune că ești „conform cu GDPR„. Multe organizații percep acest regulament ca o constrîngere ce induce costuri suplimentare și inutile.

În România, până în acest moment s-au acordat trei amenzi pentru nerespectarea GDPR deși autoritatea condus aproape 1.000 de investigații, adoptând o atitudine orientată spre prevenție și dispunerea de măsuri corective. Considerați că Amenzile au un rol important în aplicarea GDPR-ului? Din experienta dvs practică, cei mai mult operatori se conformeze cu GDPR-ul din responsabilitate sau de frica amenzilor?

AM: După cum am spus și anterior, o afacere înseamnă riscuri iar noi oamenii nu sîntem proiectați să fim etici. În prezentări folosesc de multe ori Biblia pe post de exemplu, cu scuze dacă unii consieră că fac o blasfemie. Dar și acolo, in metafora cu alungarea din Rai, avem o inteligență artificială, ceva machine learning, o amenințare și lipsa eticii.

Indiferent dacă vorbim de organizație sau individ, comportamentul este același: facem sau nu facem unele lucruri din 3 motive- de frică, pentru o recompensă sau din conștientizarea lucrului rău/incorect.

Credeți că instituțiile publice ar trebui sa fie un exemplu pentru restul operatorilor? Punem această întrebare pentru că în Romania avem un tratament preferențial pentru instituțiile publice, amenda maxima pentru nerespectarea GDPR-ului fiind de 200.000 lei (aproximativ 42.000 euro), cu mult inferior față de ceea ce risca operatorii privați.

AM: Nu am înțeles această diferențiere din legea noastră. În unele situații acea amendă va fi inferioară costurilor cu măsurile tehnice. Prin urmare de ce ar cheltui cineva mai mult decît amenda? Care și așa nu se aplică în momentul constatării neregulilor...

Aduc in discuție cartea unui laureat Nobel în Economie: Douglas North.

În studiul său instituţiile sînt definite ca fiind regula jocului. Instituţiile pot să includă familia, firma de curînd înfiinţată, pieţele de capital, sistemul de creditare bancară, sistemul juridic, clauzele contractuale, etc. În momentul în care regulile jocului oferă o motivaţie consistentă cu interesul individual, comportamentul oamenilor se va conforma în general regulilor formale (legislaţia, clauzele contractuale de exemplu). Dar dacă aceste reguli formale intră în conflict cu interesul individual, atunci oamenii vor fi motivaţi să încalce aceste reguli şi să suporte consecinţele acţiunilor realizate. Prin urmare, instituţiile determină costul tranzacţiilor şi influenţează alegerea indivizilor!

Instituțiile ar trebui să fie un exemplu pentru că este vorba de cetățenii statului nu de „clienți„

Cu toate că România înregistrează cel mai scăzut nivel de utilizare a serviciilor de internet dintre statele membre ale UE, 86 % dintre utilizatorii români de internet au conturi pe rețelele sociale, ceea ce ne face campionii Europei la acest capitol. Având în vedere scandalurile imense în care au fost implicate rețelele de socializare, fie prin breșele de securitate, fie prin utilizarea ilicită a datelor, putem considera că suntem și cei mai vulnerabili. Cum considerați ca ar trebui să se comporte un utilizator de internet, dacă ar fi constient de riscurile pe care internetul le ascunde?

AM: Nu știu cît de vulnerabili sîntem luați ca întreg. Dacă este conștient de riscuri, utilizatorul va ști și cum să se comporte. Dacă nu, va plăti, iar într-o bună zi își va da seama și cît l-a costat. Cînd numărul celor care consideră că „nu au nimic de ascuns„ se va reduce simțitor, vom putea spune că lucrurile au intrat pe drumul cel bun.

Accesul copiilor la internet este deja o normalitate. Ar trebui acest lucru sa ne îngrijoreze? Considerați că o educație privind privind accesul la internet al copiilor ar trebui sa fie o sarcina a părinților sau sistemul de învățământ ar trebui să-și asume acest rol?

AM:  Accesul la tehnologie nu trebuie să îngrijoreze pe nimeni. Evoluția este firească, avansul tehnologic este firesc. Căruța a fost înlocuită de automobil și oamenii nu mai mor călcați de cal ci în accidente auto. Cînd în 2009 ni se vorbea despre wireles ca fiind ceva comun, ni se părea greu de acceptat. Toate lucrurile au un ciclu de viață.

Cea mai bună și sigură investiție pe care o poate face un adult este în educația copiilor săi. Astfel ei vor deveni la rîndul lor niște adulți „mai buni„ iar evoluția este asigurată.

Școala este pe primul loc cînd discutăm despre „învățare„. Părinții sînt cei care ar trebui să dea coordonatele morale/etice ale copilului iar școala ar trebui să fie cea care instruiește. La o întrebare anterioară am spus despre spitale că sînt o „rotiță„ dintr-un sistem mai mare. Școala este altă „rotiță„

Facebook a lansat Study, un program de cercetare de piață bazat pe recompense. Cum vi se pare un asemenea concept: să fim plătiți pentru datele pe care le facem publice? Este acesta direcție una corecta?

AM: Piața trebuie să fie liberă. Rațiunea de fi a oricărei organizații este satisfacerea nevoilor acționarilor. Discuția este mai degrabă despre etică. Iar aici fiecare este liber să decidă după propriile principii.

Pot da alt exemplu care se aseamănă. Un lanț de magazine a lansat carduri de fidelitate. Cardul este nominal, acumulezi puncte ori de cîte ori faci cumpărături. Magazinul oferă și reduceri la anumite produse, moment în care punctele acumulate pot fi folosite. Constat însă că au trecut mai bine de două luni de cînd nu am văzut nici o reducere, a nici un produs. Și-a oferit clientul date personale contra cost? Bineînțeles. Magazinul analizează comportamentul clienților? Cu siguranță. Așa funcționăm noi.

Conform unui raport DLA Piper (GDPR data breach survey: February 2019), de la data aplicării GDPR-ului și pana în februarie 2019, Autoritatea de supraveghere din Olanda înregistrase 15,400 de notificări de breșe, în timp ce România număra la acea vreme doar 270. Care credeți că este motivul acestei discrepanțe? Suntem noi romanii un popor norocos și breșele de securitate ne evită, ori nu recunoaștem o breșă de securitate nici dacă ne împiedicăm de ea?

AM: Cred că mai degrabă ne încadrăm în a doua situație. Am impresia că și aici sînt mai multe cauze: rușinea și frica. Rușinea de a recunoaște că ai o problemă sau ai greșit ceva, respectiv frica de sancțiune. S-ar mai putea adăuga și...neștiința. Poate unii nici nu știu ca datele lor sînt pierdute, furate, vîndute.

Identificarea riscurilor este unul din cei mai importanți pași spre complianta GDPR. Dar dacă noi nu resuim sa identificam nici breșele, cum am putea identifica riscurile?

AM: Mă feresc să folosesc sintagma „conformitate GDPR„. Evaluarea riscurilor este o cerință, nu doar în GDPR, cu ajutorul căreia identifici în final controalele de care ai nevoie.

Teoria riscurilor este destul de complicată. Organizațiile își doresc „modele„ cît mai simple. Din păcate acest lucru nu se poate. Încerc să simplifică puțin lucrurile. Într-o organizație se întîmplă niște procese prin care se livrează bunuri și/sau servicii. Procesele implică oameni și aplicații/tehnologie. Aplicațiile implică echipamente/tehnologie și oameni. Procesele au nevoie de controale pentru ca lucrurile să se desfășoare într-un anumit fel.

Pentru a ști care sînt riscurile din IT (aplicații, echipamente și resurse umane critice) trebuie mai întîi să cunosc care sînt considerate a fi procesele/serviciile critice de către organizație. Chiar dacă discutăm despre riscuri IT, evaluarea acestora nu este doar sarcina departamentului cu același nume. Din perspectiva unui departament IT nici nu există riscuri. Cei din zona economicului au riscuri: să nu livreze bunui și servicii care, au „în spate„ tehnologie.

Impresia mea este că multe organizații au identificat riscuri doar cu privire la partea formală a cerințelor GDPR.

A trecut un an de la intrarea în vigoare a GDPR-ului. Ce s-a schimbat în decursul acestui an?

AM: Îmi este greu să pun un diagnostic general valabil. La începutul anului 2017 intereseul era destul de redus. Apoi, în 2018 a existat ceva efervescență din partea tuturor actorilor implicați. Nu pot să nu amintesc numărul imens de „consultanți GDPR„ care au apărut de nicăieri.  Este însă o evoluție firească. După cum spuneam, și aici discutăm tot despre un ciclu de viață.

Cum vedeți implementarea Directivei NIS în România? Care sunt cele mai mari provocări ? Ce măsuri au fost luate până în prezent ?

AM: Sectorul privat are cea mai mare competență în domeniul securității informatice, motiv pentru care  el trebuie să fie implicat activ în domeniul securității IT. Ori eu constat că acest lucru nu prea se întîmplă. Altfel nu îmi explic de ce, atunci cînd o lege este pusă în dezbatere publică și se primesc propuneri, nu prea se ține cont de nimic din cele ce vin dinspre industrie.

Legea 368/2018 a avut o viață cam complicată iar rezultatul mi se pare stufos, neclar ca terminologie și pe ici pe colo incomplet. Sînt acoperite aspecte care intră și sub incidența GDPR și de aici avem o anumită terminologie/cerințe. Băncile au reglementări/recomandări/ghiduri specifice (a se vedea EBA sau regulamentele BNR) dar intră și sub incidența acestei legi.

Mi-aș fi dorit să regăsesc în lege sintagme precum: „stadiul actual al tehnologiei„, „securitate implicită și din momentul proiectării„ sau „responsabilitatea managementului„,.Legea menționează „categorii„ de activități și pentru acestea vor fi elaborate „norme tehnice„. Dar sînt și „cerințe minime de securitate„.

GDPR-ul face referire la „proporționalitatea„/„adecvarea„ măsurilor de securitatea.

Legea 368 impune și ea obligativitatea operatorilor de servicii esențiale să implementeaze măsurile tehnice și organizatorice adecvate și proporționale.

Eu am o anumită înțelegere asupra „proporționalității„ și „adecvării„, dar mă întreb: oare o fi corectă, atît timp cît legea nu spune la ce se referă cele două carcateristici?

Cine credeți ca ar trebui să se implice mai mult în diseminarea importantei datelor personale? Instituțiile publice, Autoritățile naționale de supraveghere sau ONG-urile din domeniul protecției datelor?

AM: Cît de mult ar trebui să se implice cei nominalizați de dvs. îmi este cam greu să spun. Pot însă să afirm că este o responsabilitate partajată: părinți, școală, ANSPDCP, ONG-uri. Fac însă o mențiune: ONG-urile fac muncă voluntară și nu se pot substitui unor responsabilități ce revin instituțiilor publice. Acestea din urmă ar cam trebui să fie în linia întîi.