Dacă ar fi să folosesc un termen binecunoscut în rândul specialiștilor români în domeniul protecție și securității datelor cu caracter personal, aș spune că o noua "bazaconie" (termen folosit de fostul premier) a fost lansată de autoritățile care au modificat pe ultima sută de metri, înainte de redeschiderea școlilor în 8 februarie, procedura privind testarea anti COVID-19 a elevilor. Mai exact, Ministerul Sănătății a modificat formularul pentru părinți, prin care aceștia pot exprima consimțământul din punct de vedere medical pentru testare a copilului lor cu teste antigen rapide în școală, potrivit documentului publicat duminică seara la ora 23:00, cu doar o oră înainte să înceapă prima zi de școală din Semestrul al II-lea. Noutatea acestui document este declarația pentru prelucrarea datelor cu caracter personal care a fost inclusă în acest formular și nu se mai completează separat. Ca specialist, nu îmi pot da seama cu exactitate ce ar trebui să reprezinte acest document: consimțământ medical informat ( Art.660 - L 95/2006) și/sau consimțământ GDPR (Art.4 pct. 11- RGPD 679/2016) pentru că nu respectă condițiile de validitate pentru nici una din acestea și nu respectă nici principiul fundamental al minimizării datelor.

Nu este prima, și poate nici ultima, dată când autoritățile române pun părinții specialiști în acest domeniu, în fața unei dileme: refuz să semnez un document eronat având în vedere faptul că experiența și etica profesională mă împiedică să fac acest lucru sau semnez pentru a nu crea neplăceri copilului la școală? Anul trecut, Ministerul Educației condiționa accesul în sala de examen de existența unui astfel de formular de consimțământ din partea părinților.

„Declar prin prezenta că sunt de acord cu utilizarea și prelucrarea datelor mele cu caracter personal de către cabinetul medical din cadrul unității de învățământ preuniversitar X, inclusiv pentru transmiterea datelor la Direcția de Sănătate Publică/Direcția de Sănătate Publică a Municipiului București, rezultate din prezentul consimțământ depus voluntar la unitatea de învățământ.” Așa sună "consimțământul" (și ghilimelele nu sunt puse în mod accidental) privind prelucrarea datelor cu caracter personal care în această formă numai consimțământ nu este. Ar fi putut fi o simplă informare cu indicarea temeiului legal corect și respectarea Art. 13 din GDPR. Altfel, această măsură nu conduce decât la creșterea birocrației, generând un munte de documente inutile și fără valoare juridică, datorită faptului că nu respecta cerințele minimale stabilite de lege.

Acest formular trebuie analizat și din prisma condițiilor de validitate a unui consimțământ medical informat. Art. 660 din Legea 95/2006 stabilește că informațiile relevante trebuie transmise pacientului la un nivel științific rezonabil pentru puterea de înțelegere a acestuia și trebuie să conțină cel puțin diagnosticul, natura și scopul tratamentului, riscurile și consecințele tratamentului propus, alternativele viabile de tratament, riscurile și consecințele lor și pronosticul bolii fără aplicarea tratamentului. Lipsa informării corespunzătoare introduce riscuri juridice pentru cadrele medicale, mai ales în lipsa unui contact direct medic-pacient în momentul în care se obține acest consimțământ medical informat.  

Nu cred că este normal ca după cei aproape trei ani de când se aplică Regulamentul (UE) 679/2016 (GDPR), în România consimțământul să fie în continuare prima opțiune a operatorilor de date cu caracter personal atunci când se dorește identificarea unui temei legal. Se poate explica ușor prin “puterea obișnuinței”, prin cunoștințe superficiale asupra modificărilor introduse de noua legislație sau prin faptul că Responsabilul cu protecția datelor (DPO) încă nu și-a câștigat locul de drept și nu a reușit să provoace o schimbare fundamentală în cadrul organizațiilor. Utilizarea eronată a temeiului de prelucrare nu conduce neapărat la încălcarea Regulamentului și la aplicarea unei amenzi și este de fapt o dovadă clară a cunoașterii precare din partea operatorilor a prevederilor și principiilor Regulamentului (UE) 679/2016 (GDPR). 

Obținerea unui consimțământ prin solicitarea ”vă rog semnați aici, aici și aici” nu este o metodă de  conformare față de principiile GDPR, este o rezolvare de formă, pentru a scăpa de o “corvoadă”, prin care am reușit doar să creștem birocrația, am creat formulare noi ca să ne protejăm în cazul în care pacientul ne dă în judecată. Chiar și așa, avantajul va fi de partea persoanei vizate pentru că va putea spune oricând că ”nu am fost informat corect, nu am înțeles ce mi s-a spus / cerut să fac, consimțământul nu este conform GDPR, nu a fost obținut în mod real sau nu am fost informat în prealabil”. Un consimțământ, pentru a fi valabil conform GDPR, trebuie să îndeplinească mult mai multe condiții decât semnătura pacientului.

Ca specialist îmi doresc să învățăm într-un final să folosim corect acest temei legal și să apelăm la el atunci când am epuizat toate celelalte variante. Cu toții ar trebui să știm că Regulamentul (UE) 679/2016 (GDPR) a schimbat fundamental ierarhia din Directiva 95/46/EC (abrogată) și din  Legea 677/2001 (abrogată) cu care eram obișnuiți, înlocuind-o cu egalitatea între temeiurile de prelucrare. Astfel, legalitatea prelucrării datelor poate fi justificată conform articolul 6 alineatul 1 din Regulament prin: temei legal, interes vital, interes legitim, relație contractuală sau interes public și este nevoie de consimțământul persoanei vizate de exemplu, în cazul activităților de marketing sau al studiilor medicale voluntare. 

Nu pot decât să recomand Autorităților din România să studieze prima dată celelalte temeiuri de prelucrare a datelor personale, deoarece, de cele mai multe ori, există deja obligații legale de prelucrare a datelor sau un contract care stă la baza prelucrărilor sau poate fi cu ușurință demonstrat un interes legitim, public sau vital. Abia după eliminarea oricărui alt posibil temei putem ajunge la ipoteza utilizării consimțământului, studiind cu atenție ce se întâmplă în cazul retragerii acestuia, dacă sunt condiții de retragere facilă a consimțământului și dacă este liber exprimat. 

Consimțământul medical informat vs. Consimțământul GDPR

Nu trebuie să facem confuzie între “consimțământul pacientului folosit ca temei legal de prelucrare a datelor cu caracter personal” și “consimțământul medical informat” care este, de fapt, un document prin care se traduc într-un limbaj comun termenii de specialitate care definesc un act medical, cu scopul de a obține acceptul în cunoștință de cauză al pacientului si care vizează relația medic-pacient și informațiile legate de actul medical si repercusiunile acestuia. 

Articolul 4 alin. 11 din Regulamentul 679/2106 definește “consimţământul” persoanei vizate ca fiind “orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”. Trebuie analizat în această situație și conținutul considerentului 42, care precizează: “Consimţământul nu ar trebui considerat ca fiind acordat în mod liber dacă persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să îşi retragă consimţământul fără a fi prejudiciată.”. Condițiile de utilizare a consimțământului ca temei legal de prelucrare a datelor cu caracter personal sunt descrise pe larg în cuprinsul art. 7 din Regulamentul 679/2016, astfel că, orice operator trebuie să demonstreze că persoana vizată și-a dat consimțământul informat pentru prelucrarea datelor sale cu caracter personal, printr-o alegere liberă autentică și cererea în vederea obținerii consimțământului trebuie să fie într-o formă care o diferențiază de celelalte aspecte, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu.

Pentru obținerea unui consimțământ valid (ca temei de prelucrare GDPR) trebuie întrunite mai multe condiții, precum faptul că: 

1. trebuie să fie liber exprimat și obținut distinct de orice alt acord, 
2. trebuie să fie acordat în cunoștință de cauză,
3. trebuie acordat pentru un scop specific,
4. toate motivele prelucrării trebuie precizate clar,
5. trebuie să fie explicit și acordat printr-un act pozitiv (de exemplu, o căsuță pe care persoana fizică trebuie să o bifeze explicit online sau o semnătură pe un formular),
6. trebuie să folosească un limbaj clar și simplu și să fie clar vizibil și
7. nu în ultimul rând, consimțământul poate fi retras, iar acest lucru trebuie menționat. 

Pentru a fi acordat în mod liber consimțământul, pacientul trebuie să aibă libertatea de a alege și trebuie să poată să refuze sau să își retragă consimțământul, fără a fi pus în dezavantaj sau fără a suporta prejudicii. Consimțământul nu este acordat în mod liber, de exemplu, dacă există un dezechilibru clar între persoana fizică și unitatea medicală (de exemplu, relația pacient-medic sau angajator-angajat) sau atunci când o societate/organizație le solicită persoanelor fizice să aprobe prelucrarea unor date cu caracter personal care nu sunt necesare ca o condiție pentru executarea unui serviciu.

Pentru ca o persoană să își dea consimțământul în cunoștință de cauză, acesteia trebuie să i se ofere în prealabil cel puțin următoarele informații (notă de informare): identitatea organizației care prelucrează datele, informații privind scopurile în care sunt prelucrate datele, informații privind tipul de date care se va prelucra, posibilitatea de retragere a consimțământului dat, dacă este cazul, informații privind faptul că datele vor fi utilizate pentru luarea de decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri. În cazul în care consimțământul se referă la un transfer internațional, persoana vizată va fi informată cu privind riscurile posibile ale transferurilor de date în țări terțe care nu fac obiectul unei decizii a Comisiei privind caracterul adecvat și nu există garanții adecvate.

Vă invităm marți, 12 Aprilie 2022, de la ora 17, să participați ONLINE la lansarea cărții "SECURITATEA REȚELELOR ȘI A SISTEMELOR INFORMATICE. IMPLEMENTAREA DIRECTIVEI NIS ÎN ROMÂNIA" a autorilor Marius Dumitrescu și Daniela Simionovici.

Acest proiect editorial apărut în colecția Științe Juridice la Editura Universitară, unic pe piața din România, se adresează operatorilor de servicii esenţiale, furnizorilor de servicii digitale şi responsabililor cu implementarea NIS la nivelul entităţilor vizate de prevederile Directivei NIS (energie, transport, sectorul bancar, domeniul medical, infrastructuri ale pieței financiare, infrastructură digitală, furnizarea și distribuirea de apă potabilă, piețe online, motoare de căutare online și servicii de cloud computing).

Scopul acestei cărți este de a-i ajuta pe cei vizaţi nu doar să implementeze prevederile Directivei, ci să înţeleagă importanţa acesteia şi, mai ales, faptul că serviciile esenţiale pe care le furnizează au nevoie de o protecţie deosebită nu pentru faptul că nerespectarea Directivei ar atrage după sine amenzi, ci pentru faptul că orice perturbare în furnizarea serviciilor esenţiale se poate traduce în disfuncţionalităţi grave la nivel comunitar şi chiar societal.

Participanții la evenimentul de lansare vor primi un discount de 10% pentru achiziția cărții. Preț întreg: 150lei / Preț special de lansare: 135lei  Transportul prin curier se calculează suplimentar.

Puteți plasa chiar acum o precomandă și veți primi cartea imediat după lansare. 

RĂSFOIEȘTE CUPRINSUL CĂRȚII | DESPRE AUTORI | CUVÂNT ÎNAINTE | INTRODUCERE

Titlu: Securitatea reţelelor şi a sistemelor informatice. Implementarea directivei NIS în România

• ISBN: 978-606-28-1430-4
• Format: Tipărit  
• Pagini: 452
• Autori: Marius DUMITRESCU, Daniela SIMIONOVICI
• Publicat de: Editura Universitară, Colecţia Ştiinte juridice
• Data aparitiei: 2022

TRANSMISIUNE LIVE - LANSARE

Lansarea acestui proiect editorial se va face online, marți 12 aprilie 2022 începând cu ora 17:00, printr-o transmisiune LIVE pe Facebook, Linkedin, Youtube, Conferinte.ro si dpo-net.ro  la care vor lua parte mai mulți invitați speciali.

DESPRE ACEST PROIECT EDITORIAL

Ne îndreptăm spre a treia aniversare a datei de 25 mai, ca punct de plecare în aplicarea prevederilor Regulamentului European 679/2016, normă legislativă europeană care s-a impus în memoria colectivă ca fiind cea care prevede aplicarea unor amenzi neegalate de nicio altă lege, la nivel mondial, în special din cauza faptului că unul dintre reperele în stabilirea cuantumului acestora este reprezentat de un procent din cifra de afaceri la nivel mondial a operatorului sancționat.

Regulamentul UE 679/2016, cunoscut de noi toți sub numele de GDPR, a intrat în vigoare în 2016, în urmă cu cinci ani, dar se aplică doar din 25 mai 2018, după o perioadă de grație de doi ani, pe care majoritatea țărilor europene, inclusiv România, nu au folosit-o pentru a lansa campanii de educație pentru persoanele vizate și operatorii.

În România, GDPR a intrat brusc în viața noastră printr-un bombardament al consimțămintelor, lansat de operatori și împuterniciții acestora din dorința de a obține rapid conformitatea cu aceste noi reglementări legislative. Din păcate, chiar și astăzi există operatori români care folosesc, de exemplu, consimțământul ca bază legală pentru prelucrarea datelor de sănătate ale persoanelor internate într-un spital, de unde deduc faptul că Responsabilul cu protecția datelor nu și-a câștigat încă locul pe care îl merită în organizație și recomandările sale încă nu sunt luate în considerare, deoarece prelucrarea datelor în sistemul sanitar este reglementată specific și NU este necesară obținerea unui alt consimțământ pentru prelucrarea datelor personale.

În luna mai 2018 se estima că 20% dintre operatorii europeni începuseră un program pentru obținerea conformității GDPR. Acest procent a crescut valoric în mod semnificativ în ultimii trei ani, fiind estimat astăzi la peste 60%, dar, în același timp, îngrijorează, din ce în ce mai mult, calitatea conformității obținute la nivel european. Conform studiilor făcute de specialiști, în 2019 au fost deja create primele 500.000 de roluri de DPO, fără a fi modificate organigramele și fără a fi asigurate și garantate resursele necesare pentru ca un DPO să își poată îndeplini cu succes acest rol. Consider că operatorii de date cu caracter personal trebuie să nu mai caute soluții de formă, de fațadă și să înțeleagă că această mult dorită conformitate GDPR nu se realizează prin apăsarea butonului „Print” și că oricine alege această cale rămâne la fel de expus riscurilor, ca oricare alt operator care decide să ignore GDPR.

În ultimii trei ani, strategia de marketing și vânzări a multor companii de consultanță GDPR s-a bazat pe „crearea panicii”, folosind marketingul înșelător, care accentua, în primul rând, dimensiunea astronomică a amenzilor, în loc să promoveze nevoia de instruire a personalului. Plătim în continuare pentru campaniile de marketing din acești trei ani care au vândut conformitatea “de fațadă”, fără a include serviciile specializate ale unui responsabil cu protecția datelor.

Sper că într-un final vom înțelege că în tot acest GDPR este vorba despre oameni, sau mai bine spus despre NOI! Nu este vorba despre creşterea birocraţiei şi despre proceduri sufocante. Este vorba despre respectul pe care trebuie să îl acordăm şi să îl obţinem unii de la ceilalţi, respect de care am uitat datorită, în principal, avantajelor obținute prin utilizarea tehnologiilor bazate pe tranzacționarea datelor cu caracter personal și a informațiilor confidențiale.

În afacerea mea, ca angajator, influențez direct și decid modalitățile prin care sunt procesate datele cu caracter personal. Dar, ca persoană fizică, atunci când navighez pe internet, când merg pe stradă, la un supermarket sau mă cazez la un hotel am așteptarea naturală de a cunoaște cine, de ce și ce date personale sunt prelucrate în ceea ce mă privește. Chiar și după acești trei ani, acest lucru nu se întâmplă aproape niciodată și am încetat să mai cred că ceva poate fi gratuit, dându-mi seama că în aceste situații plătesc de fapt  cu datele mele personale, care au devenit o monedă de schimb foarte valoroasă.

Din punct de vedere personal, cea mai mare provocare pentru companii în procesul de obținere și menținere a conformității GDPR rămâne lipsa unei culturi generale a responsabilității în rândul angajaților asupra confidențialității datelor. Această deficiență poate fi substanțial corectată prin programe de instruire cu privire la importanța protecției datelor, în conformitate cu practicile generale și politicile specifice activității companiei. Responsabilizarea angajaților din perspectiva protecției datelor cu caracter personal va adăuga valoare companiei. Un angajat conștient și informat este un angajat vigilent care acționează responsabil, riscurile specifice erorii umane se diminuează semnificativ, în timp ce eficiența muncii crește. Mai mult, identificarea rapidă a posibilelor breșe de securitate și respectarea procedurilor de răspuns la incidente vor reduce la minimum pierderile reputaționale și financiare ale companiei.

Persoana vizată a rămas cea mai mare provocare pentru întreg domeniul protectiei datelor din România, deoarece, din cauza lipsei educației populației în acest domeniu al protecției datelor, Autoritatea de Supraveghere și întreg corpul profesional de specialiști se confruntă cu solicitări nejustificate și insuficient documentate privind stergeri selective sau rectificari neîntemeiate a datelor personale. Cu siguranță, aceste solicitări nu sunt soluționate întotdeauna în favoarea persoanei vizate, existând mai multe reglementări specifice în ceea ce privește termenul de retenție și posibilitățile de restricționare și condiționare a accesului la date.

Gardianul modului în care sunt respectate confidențialitatea și mecanismele de protecție a datelor cu caracter personal rămâne Responsabilul cu protecția datelor (DPO), această profesie „tânără”, care probabil se confruntă cu una dintre cele mai mari provocări profesionale, datorită caracterului general al Regulamentului (UE) 2016/679 și a lipsei unor repere unitare pentru interpretarea și punerea sa în aplicare.

Modul în care această nouă funcție de DPO a fost tradusă în limba română, înlocuind termenul de „ofițer” cu „responsabil” este o eroare cu efecte pe termen lung, deoarece induce greșit ideea că responsabilitatea stă pe umerii acestei persoane, făcând să fie și mai greu de conștientizat faptul că responsabilitatea conformității este în permanență a managementului operatorului și că rolul Responsabilului cu protecția datelor este de a susține și de a monitoriza acest proces și nu răspunde efectiv de implementare sau de consecințele neimplementării GDPR în entitate.

Dacă ne oprim asupra obligațiilor operatorilor publici din România de a desemna un responsabil cu protecția datelor, conform datelor furnizate de Autoritatea de Supraveghere, constatăm că doar o parte din aceste instituții publice și-au notificat decizia de numire a unui DPO, aproximativ 2000 de notificări fiind înregistrare din partea acestora, restul aparținând operatorilor din domeniul privat. Dacă luăm în considerare că în România avem aproximativ 20,000 de instituții publice, reiese un grad de conformare de doar 10% în privința respectării obligațiilor conform articolului 37 din Regulament, restul de 90% alegând asumat să nu ducă la îndeplinire această obligație legală.

În ultimul an, societatea în care trăim s-a schimbat, fiind supusă unuia dintre cele mai dificile teste de stres. Frica este cea care a forțat societatea noastră să se adapteze și să se maturizeze forțat, făcând, în primul rând, un mare salt spre digitalizare. Astăzi vorbim mai mult ca oricând despre telemuncă, telemedicină, tele-educație și, mai ales, despre știri false. Mediul de afaceri românesc a resimțit pe deplin efectele acestei pandemii. Unele companii și-au suspendat în totalitate activitățile, în timp ce altele au implementat noi procese de lucru la distanță pentru angajați, ținând cont de regulile de izolare. Prioritatea a fost restabilirea cât mai rapidă a activității companiilor și instituțiilor publice și, în acest context, au existat compromisuri privind protecția datelor, compromisuri care vor trebui rezolvate pe măsură ce situația se îndreaptă spre o nouă normalitate.

Putem spune că pandemia a acționat ca un accelerator pentru deciziile de adoptare și utilizare a noilor tehnologii, deoarece, în doar câteva luni, a devenit clar că digitalizarea nu mai este opțională, ci este absolut necesară pentru supraviețuirea companiilor și pentru continuitatea serviciile publice furnizate de autorități. Această situație a făcut ca multe proiecte să fie lansate în regim de urgență, deși, în mod normal, ar necesita ani de analiză și planificare și a fost practic imposibil să se ia în considerare toate efectele „secundare”.

În urma recomandărilor autorităților române, mai multe companii au decis să accepte, de la o zi la alta, ca angajații să lucreze de acasă. Din punct de vedere legal, am fost pregătiți, legislația română are prevederi clare în ceea ce privește telemunca / munca la domiciliu și majoritatea companiilor au semnat acum cu fiecare angajat doar o anexă la contractul de muncă, pentru a îndeplini această formalitate birocratică. Foarte puține companii au investit în securitatea echipamentelor și canalelor de comunicații, alegând adesea soluțiile cele mai rapide și mai ieftine, folosind adesea echipamentele de calcul și de comunicare personale ale angajaților.

Trebuie să ne dăm seama că toată această digitalizare în regim de urgență vine la pachet cu asumarea riscurilor de către operatori. Cu toate acestea, urgența nu înseamnă renunțarea la precauții și analize prealabile. Chiar și cu timp și resurse limitate, se pot lua măsuri pentru a reduce riscul prin identificarea proceselor a căror digitalizare are impact maxim asupra funcționării companiei și alocarea cu prioritate a resurselor de analiză și control al riscurilor.

Derapajele operatorilor de la respectarea principiilor GDPR au devenit o normalitate pe care persoanele vizate le acceptă și le trec cu vederea în speranța că nu se vor repeta. Cu toate acestea, valorile amenzilor aplicate de Autoritățile de Supraveghere europene sunt în creștere, ajungând să depășească 170 milioane de euro în 2020, dublu atât ca număr de amenzi, cât și valoric, față de anul anterior.

În ultimul an, de când a fost recunoscută oficial pandemia Covid-19, s-a vorbit mai mult despre GDPR decât în întreaga perioadă de la intrarea în vigoare a Regulamentului UE 679/2016 și este trist că a fost necesar acest virus pentru a oferi domeniului protecției datelor cu caracter personal atenția pe care o merită cu adevărat. Numărul crescut de incidente de securitate, de multe ori prin campanii de phishing, infectând mii de computere, se datorează naivității utilizatorilor care citesc acum orice e-mail legat de acest Coronavirus. Din păcate, multe afaceri au suferit și, mai mult decât efectele crizei sanitare ale acestei pandemii, sunt îngrijorat de valul de recesiune economică pe care estimez că o vom parcurge în următoarele luni și care va pune, din păcate, protecția datelor cu caracter personal într-un con de umbră.

Marius Dumitrescu, președinte al Asociației Române a Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD), DPO certificat PECB și Trainer, Managing Partner NeoPrivacy România