Gordon Wade este avocat specializat în confidentíalitatea și protecția datelor la PwC Legal Middle East, cu sediul în Dubai, și a acceptat cu entuziasm să ofere un interviu exclusiv pentru DPO-NET. Gordon si-a efectuat studiile la University College Dublin, Trinity College Dublin și Societatea de Drept din Irlanda și este recunoscut ca avocat în Irlanda, Anglia și Țara Galilor, precum și ca avocat în New York. De asemenea, Gordon deține certificări de protecție a datelor de la IAPP și OneTrust. Gordon are o gamă largă de experiențe în consilierea clienților cu privire la toate aspectele legate de legile privind confidențialitatea și protecția datelor, inclusiv GDPR, cât și legile privind protecția datelor din Bahrain și Qatar. Avocatura lui Gordon pune un accent deosebit pe asistarea clienților în implementarea GDPR și a programelor de conformitate. Ca parte a expertizei sale din domeniul protecției datelor, Gordon a oferit consultanță organizațiilor naționale și internaționale importante cu privire la aspectele legate de confidențialitatea și protecția datelor sensibile, inclusiv contractarea terților; servicii de cloud; politici de confidențialitate și protecție a datelor; profilarea și microtargetarea persoanelor vizate; transferurile internaționale de date și stocarea lor. Gordon colaboreaza periodic cu reviste juridice de top pe teme precum confidențialitatea și protecția datelor, dreptul corporatist și comercial și este co-autor al viitoarei lucrări, Ghid practic privind confidențialitatea și protecția datelor (2019, Chartered Accountants Ireland).

A trecut un an de la intrarea în vigoare a GDPR. În opinia dvs., ce s-a schimbat în cursul acestui an? Care au fost cele mai bune politici GDPR pe care le-ați văzut în acest an?

GW: Cu siguranță au fost foarte interesante cele 13 luni și ceva de la intrarea în vigoare a GDPR. M-am mutat în Orientul Mijlociu la cinci luni după "Ziua GDPR" și pot confirma faptul că GDPR are efecte de undă importante și în afara granițelor UE. În ultimul an, evoluția sferei de reglementare (spun evoluție deoarece nu se poate spune că GDPR a revoluționat legea privind protecția datelor, mai degrabă a modernizat legea pentru epoca digitală) ne-a arătat că obținerea dreptului la confidențialitatea datelor este important pentru organizații. Cu toate acestea, ne-a și demonstrat că traseul spre conformare nu este ușor, în special pentru IMM-uri. Concepte precum baza legală, prelucrare ulterioară, proiectarea sistemului asigurând implicit confidențialitatea (privacy by desing and by default), precum și măsuri tehnice și organizatorice - toate necesită timp de înțelegere și, după cum știm toți, nu există un model organizatoric de conformitate rapid sau unic.

Cred că ceea ce s-a schimbat este că există o mai mare sensibilizare a opiniei publice privind această lege, în special referitor la drepturile individuale, la valoarea datelor cu caracter personal și asupra rolului jucat de autoritățile de reglementare. Într-adevăr, nu cred că amenzile propuse și anunțate recent de ICO din Marea Britanie (în valoare totală de aproximativ 282 milioane de lire sterline) au trecut neobservate în toată Europa sau chiar și în plan internațional. În ceea ce privește autoritățile de reglementare în comparație cu anii precedenți, majoritatea autorităților raportează creșteri ale solicitărilor și plângerilor, ceea ce, în sine, arată că a crescut gradul de conștientizare cu privire la drepturile de protecție a datelor.

Politica de confidențialitate a unui site web, teoretic, este un document relativ simplu, care impune companiilor să clarifice "de ce, unde, cine, când și cât de mult” își desfășoară activitățile de prelucrare a datelor cu caracter personal. Cu toate acestea, multe companii se străduiesc să o obțină (transparența) corectă. La capătul spectrului, am văzut o companie de vânzări de bilete care utilizează foarte inteligent actualizările politicii de confidențialitate ca instrument de marketing. Ei folosesc un film video de impact, cu un e-mail în care limbajul este personal, transparent și onest și care pune clienții în controlul datelor lor și îi încurajează să pună întrebări și să afle mai multe detalii. Minunat. Dar, la celălalt capăt, am revizuit o politică care era foarte lungă și detaliată legat de drepturile clienților, dar notele de subsol (fine print) conțineau o declarație de declinare a responsabilității și care stipula că politica de confidențialitate nu este obligatorie sau aplicabilă din punct de vedere juridic – acest aspect chiar impune întrebarea dacă un autor/agent de reglementare într-adevăr ar considera acest document ca fiind o politică de confidențialitate.

Scopul GDPR nu este de a impune amenzi, ci de a proteja indivizii. Cu toate acestea, la trei ani de la intrarea în vigoare a regulamentului, doar 67% dintre europeni au auzit de GDPR, în timp ce doar 36% au afirmat că știu ce este acest regulament (datele prezentate de Comisia Europeană în cadrul sondajului Eurobarometru). Credeți că aceste cifre sunt rezultatul lipsei interesului oamenilor de a-și proteja datele?

GW: Deși cifrele pot părea scăzute, cred cu tărie că ultimele 12 luni au cunoscut o creștere uriașă în conștientizarea publicului referitor la GDPR și protecția datelor în comparație cu lumea pre-GDPR. Nu cred că există o lipsă de interes pentru protejarea datelor cu caracter personal, dimpotrivă, cred că persoanele vizate sunt mult mai pretențioși în ceea ce privește protecția datelor lor cu caracter personal, mai mult decât oricând. Poate că are legătură cu faptul că GDPR, la fel ca multe alte legi, este un document lung, complex, care nu invită consumatorul obișnuit să-l parcurgă într-o duminică după-amiază. De asemenea, GDPR este un subiect dificil de înțeles pentru multe companii, astfel încât persoanele vizate pot fi iertate pentru că nu înțeleg pe deplin ce reprezintă acesta.

Care credeți ca vor fi consecințele pe termen lung cu privire la această lipsă de conștientizare a importanței datelor?

GW: Lipsa de conștientizare a societății referitor la oricare dintre legile care vizează consolidarea drepturilor individuale, va avea întotdeauna unele consecințe negative, indiferent de subiectul în cauză. Lipsa conștientizării de către persoanele vizate a consimțământului, de exemplu, (care, probabil, este cel mai bun exemplu la care putem face acum referire, având în vedere că, multe companii nu-l apreciază pe deplin), poate lăsa persoanele vizate vulnerabile pe termen lung în fața interfețelor manipulative și de limbaj și care le determină să facă alegeri nepotrivite privind prelucrarea datelor lor personale, fără a înțelege pe deplin consecințele. De asemenea, neînțelegerea pe deplin a numeroaselor baze legale disponibile companiilor, din cadrul GDPR, înseamnă că persoanele vizate ar putea fi rugate să accepte procesarea în circumstanțe complet inadecvate în cadrul GDPR. În plus, nivelurile scăzute de conștientizare pot pune persoanele vizate într-un dezavantaj deosebit atunci când fac plângeri împotriva organizațiilor, deoarece este puțin probabil ca acestea să fie conștiente de anvergura drepturilor legale care le sunt acordate sub GDPR.

Având în vedere atacurile cibernetice asupra sistemului de sănătate din România din ultimele săptămâni, ce pot face unitățile medicale pentru a se proteja împotriva atacurilor cibernetice?

GW: Din nefericire, recent a existat o tendință crescătoare de comitere a acestor atacuri cibernetice asupra instituțiilor medicale. Având în vedere câștigul potențial mare sub forma informațiilor pacientului sau a situațiilor financiare, instituțiile medicale sunt o țintă pentru hackeri. Instituțiile medicale care doresc să-și îmbunătățească securitatea și să se ferească de amenințări pot lua în considerare următoarele recomandări:

Identificați și evaluați vulnerabilitățile sistemului

Vulnerabilitățile se găsesc acolo unde hackerii pot obține acces in sistem și când pot introducere viruși pentru a vă încetini rețeaua, pentru a accesa informațiile critice de sănătate sau de a vă elimina softul de apărare, pentru a vă face sistemul mai accesibil în viitor. Această evaluare va oferi echipei dumneavoastră de Securitate toate informațiile necesare să analizeze și să prioritizeze riscurile.

Aflați mai multe despre ransomware (tip de software rău intenționat conceput să blocheze accesul la un sistem informatic până la plata unei sume de bani) și creați o politică de apărare

Atacurile ransomware amenință să blocheze un computer sau o întreagă rețea dacă nu este plătită o anumită sumă de bani. Când se întâmplă un astfel de incident, aplicarea unor politici și proceduri corespunzătoare poate fi foarte valoroasă. Angajații trebuie să știe ce trebuie să facă (adică să nu încerce să rezolve singuri problema) și pe cine să contacteze (de exemplu, departamentul IT); acest lucru ar trebui să facă parte din instruirea lor în materie de securitate și de conștientizarea generală asupra securității.

 Protejați datele de sănătate pe dispozitivele inteligente

Unitățile medicale dețin echipamente electronice foarte mult conectate, cum ar fi pompele de perfuzie sau de monitorizare insulină, care sincronizează de la distanță informațiile pacientului direct la tableta medicului sau la stația de lucru a unei asistente medicale. Toate aceste dispozitive ar putea fi atacate, perturbate sau dezactivate cibernetic, ceea ce ar putea afecta dramatic îngrijirea pacientului. Dispozitivele medicale conectate, în mod special, ar trebui monitorizate și să dețină protecție anti-virus, firewall-uri sau sisteme de apărare similare.

Luați în considerare migrația cloud

Clud-ul poate oferi o soluție sigură și flexibilă de stocare și salvare a datelor de asistență medicală. Soluțiile de salvare de rezervă și recuperare în caz de dezastre asigură ca înregistrările pacienților să rămână disponibile chiar și în cazul unei breșe sau a unei perioade de nefuncționare. Combinat cu opțiunea de control a accesului la date, astfel de soluții pot oferi securitatea atât de necesară.

Asigurați-vă că furnizorii sunt conformi

Unitățile de asistență medicală ar trebui să solicite furnizorilor să ia măsuri pentru a monitoriza și detecta amenințările și să limiteze accesul la sistemele lor. În calitate de operatori de date, instituțiile de asistență medicală trebuie să se asigure că societățile lor de asigurări, furnizorii de infrastructură și orice alți parteneri de afaceri din domeniul sănătății au sisteme de securitate impecabile pentru a putea proteja informațiile medicale.

Este esențial ca persoanele să identifice prelucrarea ilegală a datelor pentru a-și putea exercita drepturile. Cât de important este să-ți cunoști drepturile, atât timp cât nu poți identifica procesarea ilegală? Care ar trebui să fie focusul campaniilor de informare pentru oameni?

GW: Dreptul la protecția datelor este un drept fundamental al omului, consacrat în mai multe cărți privind drepturile omului. Spiritul GDPR este de a proteja persoana vizată și de a-i acorda un control mai mare asupra datelor sale personale. Drepturile individuale nu sunt concepute pentru a reacționa la prelucrarea ilegală a datelor - există o serie de drepturi gazdă care permit diferite tipuri de lucruri, de la solicitarea corectării informațiilor la ștergerea datelor. Fără o conștientizare a diferitelor tipuri de drepturi acordate de GDPR, acestea pot pierde o mare parte din obiectivul propus. Prin urmare, pentru societate în ansamblu, autoritățile pentru protecția datelor ar trebui să se concentreze asupra promovării gradului de conștientizare a drepturilor individuale de a proteja informațiile cu caracter personal și asupra a ceea ce pot face dacă consideră că acest aspect nu este întrunit. În contextul ocupării forței de muncă, angajatorii pot utiliza cursurile de e-learning ca o soluție eficientă din punct de vedere al costurilor și de economisire a timpului pentru a crește gradul de conștientizare și de a educa angajații a căror slujbă implică prelucrarea și stocarea datelor cu caracter personal.

Cine considerați că ar trebui să se implice mai mult în diseminarea importanței datelor personale? Instituțiile publice, autoritățile naționale de supraveghere sau ONG-urile pentru protecția datelor?

GW: Cred că toate părțile interesate joacă un rol în răspândirea mesajului de protecție a datelor cu caracter personal - de la instituțiile și organizațiile care procesează cantități mari de date cu caracter personal până la autoritățile naționale de reglementare în materie de protecție a datelor, care sunt însărcinate cu responsabilitatea pentru protejarea drepturilor de protecție a datelor. Cu toate acestea, importanța campaniilor active de sensibilizare a opiniei publice din partea autorităților de reglementare nu poate fi subestimată, deoarece aceste organisme promovează respectarea prin orientare, supraveghere și executare a GDPR.

Care sunt cele mai bune exemple de campanii de sensibilizare cu privire la importanța datelor personale pe care le-ați văzut recent?

GW: Campania "Datele dvs. contează" organizată de către ICO - biroul comisarului britanic pentru informații ", consider că a fost un proiect deosebit de eficient pentru a ajuta oamenii să înțeleagă modul în care își pot exercita drepturile referitor la datelor lor, utilizând materialele de publicitate. Ceea ce îmi place este că ICO folosește mai multe canale și aplicații media sociale pentru a comunica GIF, mini-filme și linkuri către resurse utile și sfaturi privind protecția datelor. Filmele lor o includ adesea pe doamna comisar - Elizabeth Denham, fapt care consider că este o modalitate foarte eficientă de personalizare a autorității de reglementare.

Credeți că amenzile au un rol important în aplicarea GDPR? Din experiența dvs. practică, cei mai mulți operatori respectă GDPR din răspundere sau de teama de amenzi?

GW: Aceasta este o întrebare tipică acum, mai ales în lumina anunțurilor de intenție ale ICO de a amenda British Airways și Marriot Hotels în cuantum de aproximativ 300mil.£. Sancțiunile financiare vor avea întotdeauna un rol de jucat în conformitate cu orice lege, în special în cazul în care legea GDPR în cauză și-a arătat colții pe care i-am văzut că îi are. Cred că conformitatea este determinată de mai mulți factori dintre care doar unul are potențial pentru sancțiuni financiare. Companiile care demonstrează că respectă și protejează datele personale ale clienților lor pot obține un avantaj competitiv pe piață. Trebuie reamintit faptul că mai multe dintre cele mai importante autorități ale UE pentru protecția datelor, inclusiv Comisia irlandeză pentru protecția datelor, au afirmat că abordarea lor privind supravegherea respectării legii este una de colaborare, consultare și educație, mai degrabă decât pur punitivă.

Ce inseamna aceasta prima amenda GDPR în Romania (articolul 25, 130.000 de euro)? Ce sfat acordați operatorilor pentru a evita investigarea și eventual amendarea de către autoritate?

GW: Recenta amendă UniCredit a fost una interesantă. Amenda subliniază principiul GDPR de confidențialitate by design și arată modul în care autoritatea de reglementare din România îmbrățișează noile tehnologii și obligațiile de conformitate. Din punct de vedere practic, cred că această amendă ar putea fi începutul unei abordări mai agresive a autorităților de reglementare din România în ceea ce privește respectarea normelor GDPR. Într-adevăr, cea de-a doua amendă de 15.000 EUR este recent emisă către World Trade Center București. Aceste două amenzi pot însemna pregătirea autorității de reglementare de a trece de la clemență la o aplicare activă.

Credeți că instituțiile publice ar trebui să fie un exemplu pentru restul operatorilor? Punem această întrebare deoarece în România avem un tratament preferențial pentru instituțiile publice, amenda maximă pentru nerespectarea GDPR este de 200.000 de lei (aproximativ 42.000 de euro), mult mai mică decât ceea ce riscă operatorii privați. Este o practică generală la nivel european?

GW: Alte autorități de reglementare din UE au adoptat o abordare similară prin care autoritățile publice sunt supuse unor amenzi maxime mai mici decât cele din sectorul privat. De exemplu, în Irlanda, Legea privind protecția datelor 2018 plasează orice amendă împotriva unui organism public la 1 milion de euro, cu mult mai mare decât ceea ce reprezintă în prezent legea din România. Ceea ce este interesant este că guvernul irlandez a încercat inițial să scutească organele din sectorul public în întregime de amenzi, dar a respins următoarele preocupări exprimate de comisarul pentru protecția datelor. Cu toate acestea, din motive de obiectivitate și echitate, această limită nu se aplică organismelor publice care concurează pe piața bunurilor și serviciilor. Ideea este că, în ceea ce privește protejarea drepturilor fundamentale, în mod cert, sunt solicitate standard înalte de către organismele publice care ar trebui să acționeze ca un exemplu pentru toate organizațiile.

Cum credeți că ar trebui să se comporte un utilizator de internet dacă este conștient de riscurile pe care le ascunde Internetul?

GW: Personal, nu simt că utilizarea internetului meu s-a schimbat atât de mult de la intrarea în vigoare a GDPR, de exemplu, dar poate sătul puțin de bannere despre cookie-uri pe fiecare site. Elementele de bază se aplică în continuare la fel de mult ca și până acum- dacă pare suspect, șansele sunt să fie. Sfaturile mele sunt: ​​asigurați-vă că utilizați o conexiune securizată de internet (VPN); limitați cantitatea de date cu caracter personal pe care le transmiteți site-urilor web, în ​​special în cazul în care vi se solicită informații pentru care site-ul nu deține un motiv real pentru a le colecta; folosiți parole puternice; cumpărați doar articole online de pe site-uri sigure; păstrați software-ul anti-virus și fiți atenți la ceea ce descărcați.

Accesul copiilor la Internet este deja normal. Ar trebui să ne îngrijoreze asta? Credeți că educația privind accesul copiilor la Internet ar trebui să fie o sarcină pentru părinți sau ar trebui sistemul educațional să își asume acest rol?

GW: Cred că amândoi au un rol în acest sens. Am primit prima mea "cărămidă" de telefon mobil Nokia când aveam 13 ani, cu care puteam să trimit mesaje text, să fac apeluri și să mă joc Snake - asta a fost tot. Derulați rapid înainte 20 de ani și găsiți copii cu mult mai mici de 13 ani, care au telefoane inteligente cu care pot face tot felul de lucruri și pot accesa toate tipurile de informații. Părinții cumpără telefoane atât de natural copiilor, încât trebuie să-și asume un grad de responsabilitate pentru educarea acestora în privința utilizării în siguranță a internetului. În același timp, școlile încorporează din ce în ce mai mult sistemul informatic în sistemul de învățământ, astfel încât și ei trebuie să se angajeze să răspândească mesajul despre utilizarea în siguranță a internetului. Consider că internetul este un lucru și  bun și rău pentru copii; pe de o parte, abilitatea copilului de a învăța este practic nelimitată, prin accesul la internet, iar cercetările arată că cei cu acces la internet învață să citească mai devreme și mai bine, să-și câștige încrederea în sine și să rețină mai bine informațiile decât prin învățarea tradițională. Pe de altă parte, fără supraveghere, internetul poate fi un loc periculos și subversiv. Totul se învârte în jurul unei utilizări sigure.

Care sunt sfaturile pe care le puteți oferi unei persoane vizate și unui operator?

GW: Pentru organizații, accentul trebuie acum pus pe conformarea continuă:

1. Întoarceți-vă și examinați-vă notificările privind confidențialitatea - amenda Google din Franța s-a bazat în mare măsură pe faptul că autoritatea de reglementare a constatat că politicile Google privind persoanele vizate sunt opace, nu sunt ușor de evaluat și se răspândesc în prea multe locații.
2. Unele autorități de reglementare (de exemplu ICO din Marea Britanie) elimină cerințele locale de înregistrare și plată a taxei anuale. Urmăriți acest lucru
3.  Viitorul unor mecanisme de transfer în țări terțe (clauze contractuale standard și "Shield Privacy") este în prezent îndoielnic. Începeți să evaluați alternative viabile, cum ar fi BCR etc.
4. Autoritățile de reglementare iau foarte serios nerespectarea drepturilor persoanelor vizate. Politicile și procedurile DSAR trebuie să fie în actualizate - încercați să le și perfecționați frecvent.
5. De mai mult de un an de la intrarea în vigoare a GDPR, s-ar putea să fie timpul să oferim angajaților un curs de perfecționare, în special în lumina extinderii activității recente de reglementare.
6. Nu lăsați GDPR să înăbușe oportunitățile de inovare, dar întotdeauna să aveți în vedere protecția datelor atunci când elaborați sau implementați un nou proces. Este mai ușor să încorporați confidențialitatea într-o arhitectură de sisteme de la început decât să încercați să modernizați mai târziu.

 Pentru persoanele vizate:

1. GDPR vă recomandă să aveți un control asupra informațiilor dumneavoastră cu caracter personal și vă oferă o serie de drepturi puternice care vă permit să faceți acest lucru. Nicio companie nu este proprietară a datelor dvs., trebui să știți întotdeauna ce se întâmplă cu ele.
2. Respectarea și protecția datelor dvs. personale este un drept fundamental al omului și un drept care va fi impus organizațiilor de către o autoritate de reglementare independentă.
3. Aveți întotdeauna dreptul de a depune o plângere la autoritatea locală pentru protecția datelor cu privire la ceea ce face o organizație cu datele dumneavoastră.

Alexandru Gheorghe are o experiență de peste 12 ani în calitate de consilier juridic, DPO / Consultant Protectia Datelor, fiind fondatorul companiei Inperspective. El a format și condus departamentul juridic al Fashion Days pentru mai bine de 6 ani, având colaborări cu Miniprix, Best Value și Crew Shop, BusinessMark, Ollie Gang Shop, Modarena, Northfinder și Nooh Media, precum și cu un startup din Irlanda denumit PowerTiz. Este certificat ca și Data Protection Officer (Responsabil cu Protecția Datelor) de PECB Europe și este certificat ca și Formator de adulți (Trainer). Este unul din moderatorii Workshop-ulului dpo.Tools  organizat de Portalul dpo-NET.ro - Data Protection Officers Network, în data de 24 Martie 2020, în parteneriat cu Wolters Kluwer România, NeoPrivacy România, SAMSUNG, Inperspective, Reimens si IJV& Partners Law Firm și care abordează o tema de mare interes, "Mobilitatea, o provocare pentru aplicarea GDPR”, analizând intr-un mod pragmatic avantajele si riscurile privind securitatea informatiilor si a datelor personale in contextul utilizarii din ce in ce mai mult a tehnologiei mobile pentru a comunica. Alexandru Gheorghe a acceptat să ofere un interviu în exclusivitate pentru cititorii și abonații dpo-net.ro, reușind să surprindă realitatea cu care se confruntă operatorii din Romania după aproape doi ani de când se aplică Regulamentul 2016/679.  

Participi ca speaker în cadrul workshop-ului dpo.Tools organizat în data de 24.03.2020 în parteneriat cu SAMSUNG ROMÂNIA, având titlul “MOBILITATEA, O PROVOCARE PENTRU APLICAREA GDPR”, cu o temă privind conceptul de “Mobile Forensics”. Ne poți spune despre ce este vorba?

Alex Gheorghe: Sigur. Sunt contrariat de ușurința cu care organizațiile tratează modul de utilizare al telefonului mobil personal sau de serviciu al personalului propriu. Telefoanele mobile sunt utilizate de cea mai mare parte a populației de pe glob: 5,11 miliarde de oameni utilizau telefoane smart la sfârșitul anului 2019, din care 4,39 miliarde erau utilizatori de internet unici; din aceștia 3,48 miliarde erau utilizatori ai unor rețele de socializare si 3,26 miliarde de oameni utilizau rețelele sociale pe telefoanele mobile la sfârșitul anului 2019 (cu o creștere anuala de 297 de milioane de noi utilizatori – aproape 10% creștere de la an la an).

Raportul „Digital 2019: Global Internet Use Accelerates” concluzionează că „în ciuda controverselor din jurul conceptului de viață privată, a industriei hackerilor, a realității fake news și a tuturor celorlalte aspecte negative ale vieții online, lumea continuă să îmbrățișeze utilizarea internetului și a rețelelor social media”. Predicțiile criminalității cibernetice în anul 2020 în opinia noastră, se vor intensifica în zona utilizatorului final (end-user) al unui dispozitiv smartphone.

Am descoperit conceptul de „Mobile Forensics” în Austria, unde există specialiști care examinează telefoane mobile utilizate ca mijloace ale unor infracțiuni (cybercrime sau nu), experți care colaborează cu organele de urmărire penală, instanțele de judecată și orice alte organizații private interesate de expertizarea criminalistică a dispozitivelor mobile. De asemenea, acești specialiști oferă cursuri de inițiere, examinare și perfecționare în domeniul „Mobile Forensics” personalului organizațiilor de profil.

În România există în prezent astfel de specialiști?

Alex Gheorghe: Ei bine, nu mi-e clar. După ce am descoperit conceptul Mobile Forensics în Viena, am cercetat ce oferă piața din România în acest domeniu, limitându-mă, ce-i drept, la internet. Pe site-ul Ministerului Justiției, există un tabel nominal actualizat cu experți criminaliști. Printre ei, găsim probabil câțiva experți în analiza aplicațiilor și datelor informatice, însă, având în vedere că lista nu precizează specializarea fiecărui expert, pare că lista nu este întocmită pentru a verifica locația expertului, existența certificării teritoriale a acestuia și.... informații privind actul de identitate și seria fiecărui expert – ceea ce în opinia noastră constituie o încălcare flagrantă a drepturilor și libertăților experților criminaliști conform GDPR de către Ministerul Justiției.

Nu am găsit însă specialiști individuali, experți care să realizeze o „autopsie” a unui telefon mobil în România. Dar, mă întreb și eu, dacă internetul nu îmi oferă informații, atunci unde aș putea să mai caut în anul 2020 astfel de experți la noi în țară?...

Spuneai că te surprinde ușurința cu care organizațiile tratează modul în care personalul utilizează telefonul mobil. Poți aprofunda afirmația?

 Alex Gheorghe: În toate companiile cu care am colaborat, angajații care primesc telefon de serviciu utilizează dispozitivul și în scop personal, adică introduc date personale în memoria telefonului de serviciu, sau, dacă nu le este pus la dispoziție un telefon de serviciu, utilizează în relațiile profesionale telefonul personal. Spuneai chiar tu o dată, că în momentul în care introduci informații aparținând locului de muncă, sau în relație cu locul de muncă pe telefonul personal, respectivul dispozitiv nu mai întrunește condițiile unui telefon de serviciu. Sunt de acord cu asta și se aplică și vice-versa. Telefoanele mobile smartphone utilizate de angajați în scop profesional, devin baze de date complexe, care găzduiesc informațiile are aparțin companiei (sau datele cu caracter personal prelucrate de aceasta), iar aceste baze de date se multiplică cu numărul de telefoane utilizate de angajați. Astfel, mijloacele de securitate ale acestor dispozitive precum cele care vor fi prezentate în cadrul workshop-ului, aplicarea la nivel intern procedural cel puțin a măsurilor de securitate de bază pentru dispozitive cu sistem de operare IoS sau Android și nu în cele din urmă, asigurarea unei instrucții periodice a angajaților cu privire la modul de utilizare și de „îngrijire” a telefonului mobil, reprezintă o dovadă de igienă cibernetică (cyber-hygene) obligatorie.

Ca să nu mai spun că, în opina noastră, dacă telefonul este „de serviciu”, atunci ar trebui să rămână, la sfârșitul programului de lucru, la serviciu...

Vorbeai despre masurile de securitate de baza ale dispozitivelor mobile. Poți sa detaliezi?

Alex Gheorghe: Asta ar însemna să intrăm în amănunt în legătură cu subiectul nostru, ceea ce aș vrea să extindem în cadrul workshop-ului. Însă, vom detalia aceste măsuri de securitate de bază ale dispozitivelor mobile, și vom pune la dispoziția participanților documente amănunțite privind aplicarea măsurilor de securitate inițiale (security controls benchmarks) particularizate pentru cele două sisteme de operare ale dispozitivelor mobile din cadrul celor mai multe dintre organizații: IoS și/sau Android.

Totuși, sunt întotdeauna plăcut surprins atunci când utilizatorii finali (angajații) își introduc PIN pe telefon ca măsură de securitate a accesului la dispozitiv, sau când o companie utilizează ca telefon de serviciu un dispozitiv NOKIA 3310 în locul unui smartphone.

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale a Profesioniștilor în Confidențialitate (IAPP), a oferit un interviu exclusiv pentru DpoNET - Data Protection Officers Network. Prin intermediul răspunsurilor oferite, avem ocazia să înțelegem mai bine viziunea sa despre evoluția protecției datelor în ultimii 20 de ani și despre cum arată viitorul, având în vedere utilizarea tot intensă a tehnologiei bazate pe Inteligența Artificială, ajungând la concluzia că DPO-ul este o nouă profesie hibridizată care presupune înțelegerea tehnologiei, a modului în care este utilizata tehnologia in afaceri și cu siguranță, cunoasterea legii.

În lumina aniversării a 20 de ani de la înființarea IAPP, vreau să vă lansez prima întrebare și să discutăm despre cum au evoluat domeniul protecției vieții private, în ultimii 20 de ani.

IAPP sărbătorește într-adevăr 20 de ani în acest an. Suntem foarte mândri, mai ales când realizăm ce incredibili au fost ultimii 20 de ani. Am crescut de la zero, de la o organizație foarte mică, la o organizație cu 52000 de membri din 120 de țări din întreaga lume. Creșterea organizației IAPP este o dovadă a creșterii complexității probemelor care fac din ce în ce mai dificilă protejarea vieții private. Aceaste provocări s-au intensificat din mai multe motive diferite și, cu siguranță tehnologia este pe primul loc. Noile tehnologii creează noi așteptări, noi provocări, în privința protecției vieții private. Avem nevoie de profesioniști care să ne ajute în fața acestor noi provocări. Așadar, cred că ceea ce vedem astăzi este o creștere continuă a provocărilor tehnologice asupra domeniului protecției vieții private și observăm nevoia tot mai mare de profesioniști care au abilități pentru a răspunde cu succes acestor noi provocări, reducând riscurile și identificând soluții mai bune pentru cetățeni, pentru consumatori, crescând totodată gradul de încredere în economia digitală.

Ce părere aveți despre viitorul domeniului Inteligenței Artificiale. La ce ar trebui să ne așteptăm? În ce direcție se îndreaptă acest domeniu în următorii ani?

Viitorul Inteligenței Artificiale, ca și domeniul confidențialității și protecției datelor, este foarte complicat și cred că este plin de riscuri pentru organizații. Știm că Inteligența Artificială folosește cantități masive de date și astfel pot exista probleme legate de protecția acestor date. Trebuie să ne asigurăm că procesarea algoritmică este transparentă și știm de ce Inteligeța Artificială ia anumite decizii. Trebuie să ne asigurăm că rezultatele proceselor decizionale automate nu sunt discriminatorii. Cred că putem învața multe din lecțiile pe care ni le-a oferit domeniul confidențialității și protecției datelor și va trebui să implementăm măsuri astfel încât lansarea acestor noi tehnologii să fie confortabile și acceptate de toată lumea.

Care sunt poveștile din acest domeniu care nu primesc suficientă atenție, există ceva la care jurnaliștii nu s-au gândit?

Este o întrebare grozavă. Există întradevăr povești care nu primesc suficientă atenție. Când mă gândesc la protecția datelor, realizez că în tot acest timp ne-am concentrat cel mai mult pe încălcările de securitate a vieții private și provocările pentru domeniul protecției datelor introduse de noile tehnologii.

Dar ce văd în fiecare zi este în primul rând volumul mare de munca, văd foarte multe organizații care investesc în oameni, în tehnologii și procese, în managementul riscurilor, pentru a ajuta la îmbunătățirea protecției datelor și a vieții private. Așadar, unul dintre lucrurile pe care cred că trebuie să le promovăm mai mult este existența celor 52000 de membri IAPP din întreaga lume care lucrează în fiecare zi pentru a crește nivelul de protecție a vieții private. Există tehnologii și instrumente pe care companiile le utilizează deja în acest scop și suntem foarte departe fața de cum am fost acum 20 de ani în ceea ce privește protecțiea vieții private în cadrul organizațiilor. Responsabilul cu protecția datelor este o profesie a viitorului și cred că ar trebui să promovăm mai mult aceste povești.

Aveți câteva sfaturi personale pentru profesioniștii în domeniul confidențialității datelor și implicit pentru cei care sunt DPO?

Da. Sfaturile pe care le dau oricărui tânăr care se gândește la o carieră în acest domeniu și oricărui profesionist care se gândește la o specializare în aceste domeniu este că nu este suficient să fii avocat, nu este suficient să fii manager, nu este suficient să fii un informatician. Cu siguranță, puteți obține o diplomă într-unul din aceste domenii, dar trebuie să fiți un profesionist hibrid. Dacă ești avocat, trebuie să înțelegi managementul afacerii, să te specializezi în managementul riscului și să obții cât mai mult cunoștințe în informatica pentru a avea succes și a fi eficient. Ceea ce vedem astăzi este o nouă profesie hibrid. Sfatul meu este fiecare profesionist trebuie să înțelegă tehnologia și modul în care este utilizata in afaceri, să cunoască legea și astfel va avea o carieră lungă de succes.

Mulțumesc foarte mult.