Radu Crahmaliuc este fondatorul Cloud☁mania, una dintre cele mai populare platforme independente de cunoștințe și servicii din Europa de Est Centrală care s-a dezvoltat pe următorul principiu: "cele mai bune practici se bazează pe diversitatea serviciilor profesionale, abilitatea de personalizare, expertiza internațională și oferta flexibilă centrată pe client.". În prezent este Analist GDPR și Consilier în afaceri la  GDPR Ready! și a acceptat provocarea dpo-NET a de răsăunde al cele mai arzătoare întrebări despre GDPR ale momentului. 

Scopul GDPR-ului nu este de a da amenzi ci de a proteja persoanele. Cu toate acestea, după 3 ani de la intrarea în vigoare a Regulamentului doar 67% dintre Europeni au auzit de GDPR, în timp ce doar 36% au declarat că știu ce este acest regulament (date prezentate de Comisia Europeana în sondajul Eurobarometru) Credeți ca aceste cifre sunt rezultatul dezinteresului persoanelor în ceea ce privește protejarea datelor lor?

RC: Fără să luăm aceste cifre la modul absolut, ca cetățeni europeni se poate spune că principalul motiv este lipsa de informare legată de drepturile noastre fundamentale la viață privată și la protecția datelor cu caracter personal, garantate de art. 7 și art. 8 din Carta Drepturilor Fundamentale a Uniunii Europene și de art. 16 din Tratatul privind Funcționarea Uniunii Europene. De unde această lipsă de informare? Ori nu le pasă ce se întâmplă cu datele lor personale, considerându-se în afara oricărui risc cu implicații majore, ori, pur și simplu nu știu... Deși din 2016 se tot vorbește despre asta, sunt foarte mulți cei care nu știu pentru că nu a stat nimeni să le explice. Și acesta este rezultatul direct al lipsei de eficiență al programelor de comunicare din partea autorităților naționale de supraveghere.

Care credeți ca vor fi consecințele acestei lipse de conștientizări a importantei datelor în rândul persoanelor, pe termen lung?

RC: Pe termen lung trebuie să privim figura de ansamblu asociată eforturilor UE de construire a pieței unice digitale. O Europă digitală nu poate fi construită fără cetățeni digitali. Așa că, să fim optimiști, și să sperăm că pe termen lung oamenii vor deveni tot mai conștienți de drepturile lor, și de importanța respectării drepturilor celorlalți prin prelucrarea adecvată a datelor personale în procesele de business în care sunt antrenați.  

Un studiu ASCPD atragea atentia la inceputul acestui an asupra acestor statistici din unitatile medicale Romanesti: 37,44% din instituţiile sanitare cuprinse în analiză s-au confruntat cu incidente de securitate şi cu toate acestea 73,85% din total nu au implementat un plan de reacţie la incidentele de securitate. De asemenea, sondajul a scos în evidenţă că 70,26% încă folosesc adrese de email @yahoo.com şi @gmail.com în interes profesional în interiorul reţelei, expunând astfel organizaţia unor riscuri care pot fi evitate. Din sondaj a mai reieşit că 11,28% nu au implementat sisteme tehnice de protecţie antivirus, cel mai des invocând lipsa fondurilor. Cum comentati aceste rezultate?

RC: Ținând cont de caracterul special al datelor prelucrate în unitățile medicale acest lucru mi se pare revoltător. Nu au nicio scuză pentru asta. Spitalele de stat din România nu sunt pregătite să ne proceseze datele așa cum cere legea, deși în ultima perioadă sunt tot mai multe cazuri de atacuri informatice. Și nu faptul că au adrese pe Yahoo e cel mai grav, ci că nu au un DPO. Din analiza GDPR Ready efectuată pe un eșantion de peste 450 de site-uri, a reieșit că 9 din 10 spitale publice nu au o Politică de Securitate pe site.

Având în vedere atacurile cibernetice asupra sistemului sanitar românesc din ultimele saptămâni, ce măsuri considerați că trebuie luate imediat ?

RC: Pe linia celor spuse anterior, răul trebuie tratat de la rădăcină. Ar trebui formată o echipă operațională din membrii Min. Sănătății, Min. Com.&TI, CERT.RO și alte organisme, care împreună cu Autoritatea de Supraveghere să pună la punct un set de Norme sau un Cod de Conduită menit să reglementeze politica GDPR în domeniul sănătății publice. Spitalelor care nu au capacitatea să adere la acest Cod de Conduită ar trebui să li se aplice niște penalități administrative. In paralel trebuie făcute eforturi pentru sensibilizarea conducerilor acestor spitale, care trebuie să înțeleagă faptul că pe lângă responsabilitatea actului medical o au și pe aceea de adopție de măsuri tehnice și operaționale adecvate.

Este esențial ca persoanele să identifice prelucrările ilegale de date pentru a-și putea exercita drepturile. Cât este de important sa-ți cunoști drepturile atâta timp cât nu poți identifica o prelucrare ilegală? Pe ce ar trebui să se axeze campaniile de informare a persoanelor?

RC: Nu este necesar ca persoanele vizate să identifice prelucrările ilegale. Aceasta este obligația operatorilor și procesatorilor de date. Desigur, noi putem observa în destule cazuri că ceva este în neregulă cu datele noastre, dar e mult mai important ca noi să ne cunoaștem în primul rând drepturile și să știm să acționăm în consecință.

Care credeți că ar fi cea mai scurta cale spre creșterea gradului de conștientizare și complianta GDPR: educarea persoanelor sau educarea operatorilor?

RC: Acest proces de educare trebuie să acopere tot. Ca persoane vizate avem datoria să fim primii care să ne informăm și să ne protejăm datele, cunoscându-ne drepturile. Ca operatori sau procesatori, nu trebuie să uităm că și noi suntem în aceeași situație cu persoanele vizate ale căror date le prelucrăm și în consecință trebuie să ne înțelegem responsabilitatea pentru rolul pe care îl jucăm. În proiectele mele și la cursuri le explic întotdeauna clienților că respectarea unor norme elementare de securitate, din care majoritatea nici nu țin de GDPR, trebuie să devină o normalitate, precum spălatul pe dinți sau verificarea apei, gazului și a electricității atunci când plecăm de acasă. O politică de securitate IT și un plan de breșe sunt la fel de obligatorii și de utile ca măsurile de protecție în caz de incendiu sau instrucțiunile de evacuare a unei clădiri.

În România, până în acest moment, s-au acordat trei amenzi pentru nerespectarea GDPR și autoritatea condus aproape 1.000 de investigații, adoptând o atitudine orientată spre prevenție și dispunerea de măsuri corective. Considerați că Amenzile au un rol important în aplicarea GDPR-ului? Din experienta dvs practică, cei mai mult operatori se conformeze cu GDPR-ul din responsabilitate sau de frica amenzilor?

RC: A fost un moment de evoluție a cauzelor de responsabilizare: la început, imediat după anunțarea aprobării noului regulament în mai 2016, toată lumea s-a speriat de mărimea amenzilor și de celelalte modificări cu care venea GDPR în raport cu vechea legislație. Ulterior, pe măsură ce ne apropiam de momentul 25 mai 2018 și foarte puțin după aceea, nevoia de conformitate a venit ca un tăvălug, având ca mix de surse responsabilizarea, exemplul altora sau teama de necunoscut. Apoi s-a intrat în cunoscuta perioadă de acalmie în care nimeni nu a mai făcut nimic pentru că nici nu s-a întâmplat nimic. Eram împreună la un eveniment dedicat unui an de GDPR când mulți oameni din domeniu apreciau că e nevoie de amenzi ca să se întâmple ceva. Părerea mea este că trebuie insistat pe necesitatea transformării în business, că trebuie învinsă rezistența la schimbare și că trebuie arătate celor responsabili toate beneficiile induse de un proces de asigurare a conformității: adoptarea de norme și reguli ne face mai eficienți, reduce pericolele interne și ne asigură o etichetă de încredere față de ecosistemul de business în care evoluăm. Părerea mea este că cele 2 amenzi anunțate și probabil alte 5-6 care sunt pe rol nu au cum să determine brusc peste 50% dintre managerii din România că trebuie să facă ceva. Să nu uităm că sunt încă foarte mulți care nu știu despre ce este vorba și care sunt convinși că organizațiile lor nu au nimic de-a face cu datele personale... Trebuie continuat cu mare sârguință procesul de conștientizare și sensibilizare în masă. Legat de cele 2 cazuri apărute la noi, aș comenta numai atât. E foarte ciudat că s-a ajuns la asta, pentru că ambii operatori, prin natura activității,  ar fi trebuit să fie compatibili și pentru legea 677/ 2001. Puteau fi evitate aceste vulnerabilități? Cu siguranță, dacă cei 2 operatori s-ar fi gândit și la verificarea adecvării tehnice și operaționale. Nu știu cum s-au petrecut lucrurile intern, dar cineva a tratat totul cu superficialitate, limitându-se probabil la asigurarea necesarului de documente. Legat de al doilea caz, sunt mulți care consideră că documentele pe suport de hârtie nu intră sub incidența GDPR. S-a văzut cât de păgubitoare poate să fie o astfel de atitudine...

Credeți că instituțiile publice ar trebui sa fie un exemplu pentru restul operatorilor? Punem această întrebare pentru că în Romania avem un tratament preferențial pentru instituțiile publice, amenda maxima pentru nerespectarea GDPR-ului fiind de 200.000 lei (aproximativ 42.000 euro), cu mult inferior față de ceea ce risca operatorii privați.

RC: Legat de ce se întâmplă în instituțiile publice, prefer să nu comentez. Ne batem cu morile de vânt. Politizarea schimbă radical regulile jocului. Aștept cu nerăbdare, ca pe o curiozitate profesională, nu din dorințe revanșarde, primul anunț al Autorității care vizează o instituție publică...

Cu toate că România înregistrează cel mai scăzut nivel de utilizare a serviciilor de internet dintre statele membre ale UE, 86 % dintre utilizatorii români de internet au conturi pe rețelele sociale, ceea ce ne face campionii Europei la acest capitol. Având în vedere scandalurile imense în care au fost implicate rețelele de socializare, fie prin breșele de securitate, fie prin utilizarea ilicită a datelor, putem considera că suntem și cei mai vulnerabili. Cum considerați ca ar trebui să se comporte un utilizator de internet, dacă ar fi constient de riscurile pe care internetul le ascunde?

RC: Depinde de modul în care rețelele sociale afectează integritatea datelor noastre personale prelucrate de operatori. Statisticile de utilizare a Internetului amintite se referă la activități de navigare și accesare individuale. Ca indivizi suntem expuși, iar faptul că 86% dintre utilizatorii români au cont de social media, prin extinderea analizei la volumul total al populației, cifrele devin nerelevante și nu cred că suntem cei mai vulnerabili din Europa din această perspectivă. Vulnerabilitatea noastră constă în analfabetismul digital, și în faptul că nu știm sau nu putem să folosim tehnologiile digitale așa cum trebuie. Studiile DESI ne-au situat an de an pe ultimele locuri din UE (ultimii sau penultimii într-o strânsă tovărășie cu Bulgaria). Digital Economy and Society Index (DESI) este un index compozit ce cumulează indicatorii specifici pentru 6 direcții de activitate ce implică pregătirea digitală: conectivitatea, abilitățile digitale ale capitalului uman, folosirea serviciilor Internet de către cetățeni, integrarea tehnologiilor digitale în business, folosire serviciilor publice digitale și nivelul de dezvoltare al cercetării IT&C.  Ce zice DESI 2019 despre starea digitală a României? https://ec.europa.eu/digital-single-market/en/desi

La Conectivitate suntem pe locul 27 (din 28), la abilitățile digitale tot pe 27, la folosirea Internetului pe 27, la integrarea tehnologiilor pe 27, la folosirea serviciilor publice pe digitale pe 27, iar la nivelul IT&C pe locul 6, ca procentaj al industriei din PIB. Ce e greșit aici?

Accesul copiilor la internet este deja o normalitate. Ar trebui acest lucru sa ne îngrijoreze? Considerați că o educație privind privind accesul la internet al copiilor ar trebui sa fie o sarcina a părinților sau sistemul de învățământ ar trebui să-și asume acest rol?

RC: Răspunderea pentru copii o poartă în primul rând părinții. Mulți dintre copiii care au posibilitatea intră pe Internet înainte de școală. Părinții au principalul rol în educația digitală a copiilor și asta se referă nu numai la crearea de conturi sau postarea pozelor pe Internet. În cazul GDPR pentru copii sub 16 există obligația obținerii acordului părintelui, dar să nu uităm că nu totdeauna decizia unui părinte privitoare la datele personale făcute publice presupune și acordul copiilor pentru acest lucru. Școala are rolul ei, prin integrarea elevilor în programe educaționale care să-i învețe ce și cum să folosească de pe Internet, dar educația digitală de bază se face în cei 6 ani de acasă...

Facebook a lansat Study, un program de cercetare de piață bazat pe recompense. Cum vi se pare un asemenea concept: să fim plătiți pentru datele pe care le facem publice? Este acesta direcție una corecta?

RC: Decizia aparține întotdeauna utilizatorului și întotdeauna există o miză, o momeală, prin care acesta e convins să facă ceva. Tot procesul acesta trebuie să fie transparent și dacă luăm o decizie, să cunoaștem toate implicațiile acesteia.

Conform unui raport DLA Piper (GDPR data breach survey: February 2019), de la data aplicării GDPR-ului și pana în februarie 2019, Autoritatea de supraveghere din Olanda înregistrase 15,400 de notificări de breșe, în timp ce România număra la acea vreme doar 270. Care credeți că este motivul acestei discrepanțe? Suntem noi romanii un popor norocos și breșele de securitate ne evită, ori nu recunoaștem o breșă de securitate nici dacă ne împiedicăm de ea?

RC: Cauzele sunt legate de alfabetizarea digitală. A se vedea comentariile de la întrebarea nr.9

Identificarea riscurilor este unul din cei mai importanți pași spre complianta GDPR. Dar dacă noi nu reușim sa identificam nici breșele, cum am putea identifica riscurile?

RC: Sunt două lucruri diferite. Riscurile sunt cauza, iar breșele sunt consecințele. Identificarea breșelor ține de latura tehnologică a sistemelor de protecție cybersecurity. Analiza de risc este un proces care se face în avans și care ține de componentele umane, operaționale și tehnice ale unei organizații.

A trecut un an de la intrarea în vigoare a GDPR-ului. Ce s-a schimbat în decursul acestui an?

RC: Am comentat destul de mult pe tema asta în articolele din GDPR Ready. Nu putem spune că nu s-a întâmplat chiar nimic. Cei mai mari operatori și-au făcut temele prin derularea de activități de conformitate. După depășirea momentului de panică din ziua de 25 mai 2018, când foarte multe companii și-au canibalizat bazele de date, s-a intrat într-o perioadă de aparent calm, în are mulți operatori au adoptat o atitudine sănătoasă de pregătire și asimilare, și-au instruit oamenii și aparent sunt la un nivel de conformitate care să le asigure un anumit grad de confort. Partea proastă este că acest grad de confort dispare imediat la cea mai mică tentativă de atac. Partea cea mai proastă este că fiecare și-a construit un castel din cărți de joc, dar puțini s-au preocupat de edificarea unei reale Culturi GDPR care să le asigure temeinicia construcției. Exemple clare sunt cele două cazuri devenite publice de la noi. Puteau fi evitate breșele de securitate? Cu siguranță, dacă cineva ar fi urmărit modul de punere în practică a livrabilelor și controalelor adoptate. Știu destul de puține cazuri în care operatorii au avut timpul și resursele să simuleze intern sau extern apariția unor breșe. Despre analizele DPIA ce să mai vorbim. Deși aici lucrurile sunt de clare, nivelul de confuzie e destul de mare cu toate ghidurile WP29 și aplicația software realizată de CNIL. O bună analiză de impact poate avea rolul implementării unui standard și reprezintă cel mai elocvent barometru pentru conformitatea acțiunilor întreprinse într-un proiect GDPR. Desigur. Specialiștii recomandă DPIA în cazul noilor procese de business, dar pentru sănătatea afacerii este bine să facem o astfel de analiză și în cazul proiectelor GDPR realizate până acum. Numai așa avem posibilitatea documentată de a vedea că ceva nu e în ordine, că ce apare în documente nu se pupă cu realitatea...     

Cum vedeți implementarea Directivei NIS în România? Care sunt cele mai mari provocări ? Ce măsuri au fost luate până în prezent ?

RC: Legea nr. 362 din 2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice a intrat în vigoare de la 12 ianuarie 2019, ca transpunere a Directivei UE 2016/1148 și are ca scop creșterea nivelului de pregătire a statelor UE pentru a face față la incidentele de securitate informatică. Spre deosebire de GDPR, companiile din cele 7 segmente industriale ce intră sub incidența NIS erau destul de bine pregătite theoretic pentru noile prevederi. Faptul că CERT.RO a fost stabilit ca organism de reglementare, supraveghere și control și care va îndeplini și cu funcție de Punct Unic de Contact la nivel national și de echipă CSIRT națională este un lucru foarte bun. Provocările, ca și la GDPR sunt legate de punerea efectivă în aplicare și care intră clar în atribuțiile CIO din fiecare organizație.

Cine credeți ca ar trebui să se implice mai mult în diseminarea importantei datelor personale? Instituțiile publice, Autoritățile naționale de supraveghere sau ONG-urile din domeniul protecției datelor?

RC: Este un efort care ne privește pe toți. De obicei evit să comentez activitatea celor îndreptățiți să coordoneze această diseminare. Este treaba lor și pentru toată lumea e clar că s-a făcut prea puțin pentru asta. Acesta este motivul pentru care a apărut inițiativa GDPR Ready, din dorința de a suplini lipsa de informație și de a oferi operatorilor și procesatorilor de date personale informații concrete despre ce au de făcut. După o serie de 15 articole de fundamentare GDPR au urmat publicarea celor 3 Cataloage GDPR Ready, o premieră absolută nu numai pentru piața din România, evenimente și paneluri dedicate, un site special, un newsletter, un grup dedicat de discuții pe LinkedIn și, cel mai recent, studii și analize de piață privitoare la stadiul asimilării. Astea toate s-au făcut Pro Bono și în completarea activităților curente de consultanță, formare, business development și auditare internă. Mai sunt multe de făcut, nu ducem lipsă de proiecte, dar toate la vremea lor...

Specialistii in protectia datelor au fost cei care au lucrat alaturi de organizatii in procesul de obtinere si mentinere a conformitatii GDPR. Am vrut sa stim care a fost, in opinia lor, cea mai mare provocare cu care s-au confruntat companiile in acesti doi ani.

In opinia lui Bogdan Manolea, legal expert, cea mai mare provocare a fost: “Sa inteleaga ceea ce trebuie sa faca. Efectiv, de maine. Companiile se asteapta sa primeasca un checklist clar si definitiv, impreuna cu un pret ferm, pe care sa-l plateasca o data si gata. Dar raspunsul depinde atat de mult de practicile efective de prelucrare a datelor, care sunt diferite de la companie la companie si de masurile de securitate corelative, incat eu gandesc ca ar fi neprofesional sa zici ca stii ce trebuie sa faca de la prima intalnire. Pentru ca, de fapt, nu stii si o sa-ti dai seama pe parcurs”.

La capitolul provocari, Serban Popa, consultant GDPR la Unity Solutions, mentioneaza: “Micsoarea importantei efortului de analiza si consultanta, a cartografierii proceselor interne cu toate elementele descriptive aferente.”

Raluca Puscas, avocat asociat la Filip & Company, afirma: “Intr-adevar, ne gandim in primul rand la obtinerea conformitatii cu cerintele GDPR, care presupune o serie intreaga de activitati, de la maparea datelor, analize de risc, evaluari ale impactului asupra protectiei datelor, implementarea de politici si documente, dar apoi si la mentinerea acesteia, care este un proces continuu. De multe ori, toate acestea presupun schimbarea modului de lucru in organizatie si definirea unor noi fluxuri de colaborare intre departamente, implicand si responsabilul pentru protectia datelor. Chiar si dupa ce toate politicile, procedurile si evaluarile vor fi facute si toate documentele vor fi in ordine, ramane provocarea de a incorpora cerintele de privacy in cultura organizatiei si anume, de a acorda atentie protectiei datelor clientilor, angajatilor si tuturor persoanelor ale caror date le prelucreaza.

Acest lucru presupune atat lucruri aparent simple, cum ar fi acela de a nu solicita semnarea unui consimtamant in cazul in care nu este de fapt necesar (in ideea ca poate e mai sigur asa), ori de a pastra diverse acte in baza de date (ca poate mai trebuie vreodata, desi perioada de stocare a expirat) si pana la lucrurile mai complexe care pot presupune investitii din partea companiei, cum ar fi stergerea datelor la momentele de expirare a perioadelor de detinere prevazute in registru”.

Pentru Stefan Iancu, consultant GDPR in cadrul companiei iPrivacy, “Sunt trei variabile care influenteaza major succesul programelor de conformare, si anume: desemnarea responsabilului cu protectia datelor cu respectarea cerintelor din Regulament (expertiza, independenta, evitarea conflictelor de interese, asigurarea implicarii DPO in timp util in toate aspectele privind protectia datelor, acces la cel mai inalt nivel, etc), evaluarea corecta a impactului si riscurilor asociate precum si alocarea corecta a resurselor necesare”.

Roxana Mitroi, avocat in cadrul bpv GRIGORESCU STEFANICA, semnaleaza ca: “Inclusiv angajatii companiilor ce au parcurs procesul conformitatii si implementarii prevederilor GDPR au fost nevoiti sa se puna la punct cu procedurile si legislatia in domeniu. In orice caz, fiecare organizatie este diferita si fiecare activitate a unei organizatii poate duce la prelucrarea unor tipuri diferite de date. In vederea aplicarii in mod corect a prevederilor GDPR, apreciem ca una din provocarile companiilor este monitorizarea continua si permanenta a conformitatii sale. Luand in considerare eforturile interne si externe depuse pentru a ajunge la un grad de conformare, necesitatea monitorizarii si actualizarii periodice a proceselor de prelucrare, a registrului de activitati de prelucrare, preintampinarea unor brese de securitate, dezvoltarea si utilizarea software-urilor de tipul inteligentelor artificiale, suntem de parere ca activitatea in domeniul privacy & data protection va continua atat la nivelul intern al companiilor, cat si la nivel extern, prin angajarea diferitelor tipuri de consultanti in domeniu”.

Roxana Mitroi mai adauga ca: „In acest sens, se remarca un interes accentuat al companiilor ce se manifesta sub forma implicarii mai multor categorii de actori in acest proiect de aliniere si compliance, iar acest lucru este sustinut inclusiv de practica multor organizatii de a desemna la nivel intern persoane specializate responsabile de aspecte de tin de protectia datelor, desemnate la nivelul intregului grup, persoane ce colaboreaza cu avocati sau consultanti externi in acest domeniu”.

Marius Dumitrescu, specialist GDPR, afirma ca: „Angajatii reprezinta unul dintre cele mai mari riscuri in ceea ce priveste securitatea unei organizatii, conform studiului State of Cybersecurity 2019 realizat de ISACA. Din punctul meu de vedere, cea mai mare provocare a companiilor in procesul de obtinere si mentinere a conformitatii GDPR este carenta unei culturi a responsabilitatii, in randul angajatilor, privind protectia datelor personale. Acesta carenta poate fi diminuata substantial in urma instituirii unor programe de instruire cu privire la importanta protectiei datelor in concordanta cu practicile generale si politicile specifice activitatii companiei. Responsabilizarea angajatilor din perspectiva protectiei datelor personale va aduce un plus de valoare companiei. Un angajat constient si informat este un angajat vigilent si care actioneaza cu responsabilitate, riscurile unei erori umane scazand, in acelasi timp in care randamentul muncii creste. Mai mult, identificarea rapida a eventualelor brese de securitate si respectarea protocolului de raspuns la incidente va minimiza pierderile companiei”.

Specialistul concluzioneaza: “Raman un visator si sper ca in urmatoarea perioada sa vedem campanii de educare a persoanelor vizate din Romania, si de ce nu, campanii de educatie in scoli”.

Data de 25 mai 2020 a marcat 2 ani de la implementarea regulamentului GDPR in Uniunea Europeana. Au fost doi ani plini de schimbari, atat pentru utilizatori, cat si pentru companii, dar, mai ales, pentru specialistii in protectia datelor. Cu această ocazie, colegii noștri de la SYPHER au realizat acest articol colaj in patru parti, care prezinta 2 ani de GDPR din perspectiva mai multor profesionisti in domeniul protectiei datelor.

Cei doi ani de la implementarea GDPR au fost o perioada cu numeroase provocari, atat pentru companii, dar si pentru specialisti, in procesul de obtinere si mentinere a conformitatii GDPR. Am intrebat sase specialisti care a fost cea mai mare provocare cu care s-au confruntat profesionistii care activeaza in domeniul protectiei datelor.

Bogdan Manolea, legal expert, puncteaza trei provocari majore; pe scurt: “Sa existe. Sa invete. Sa aplice.”

Specialistul detaliaza apoi: “Cea mai mare provocare pentru societate a fost sa existe, pentru ca, inainte de 2018 erau destul de putini specialisti care sa poate sa se laude ca lucreaza efectiv pe domeniul protectiei datelor. A doua mare provocare a specialistilor a fost, pe de o parte sa primeasca o instruire adecvata, in conditiile primului punct, dar si sa gaseasca materiale educative sau de informare dincolo de cursul initial. Iar a treia a fost sa vada cum pot sa aplice ceea ce stiu in zona in care lucreaza. Si sa convinga managementul ca este nevoie de unele schimbari.”

Pentru Serban Popa, consultant GDPR la Unity Solutions, cea mai mare provocare a constituit-o “Constientizarea necesitatii adaptarii si conformarii proceselor si activitatiilor la noile cerinte, alaturi de faptul ca efortul se va regasi in increderea crescuta a clientilor si a partenerilor de afaceri.”

La capitolul provocari, Raluca Puscas, avocat asociat la Filip & Company, mentioneaza ca: “Integrarea cerintelor legate de protectia datelor in activitatea zilnica a companiilor a fost si ramane o provocare in sine, in sensul de constientizare in cadrul organizatiei si in privinta crearii unei <<obisnuinte”>> de a integra regulile GDPR in toate liniile de activitate si noile produse dezvoltate de operatorul economic”.

Raluca Puscas remarca faptul ca: “Dincolo de actiunile de implementare specifice, de multe ori specialistii in protectia datelor s-au confruntat cu provocarea de a-si defini rolul in cadrul organizatiei si de a convinge ca regulile stabilite de GDPR nu reprezinta o piedica in dezvoltarea afacerii, in implementarea de noi tehnologii sau lansarea de noi produse, ci pot fi identificate solutii adecvate, in conditiile unei prelucrari responsabile a datelor. Nu mai putin, adaptarea la mediul de afaceri in continua schimbare si raspunsul rapid in situatii de criza (cum este actuala situatie generata de COVID-19 sau, mai general, situatiile cand companiile se confrunta cu o incalcare a securitatii datelor) necesita reactii si raspunsuri prompte, inclusiv in zona de protectie a datelor, iar acest lucru necesita de asemenea o atentie continua si o buna pregatire de specialitate”, a mai adaugat specialistul.

Pentru Stefan Iancu, consultant GDPR in cadrul companiei iPrivacy, cele mai mari provocari au fost reprezentate de: “Comunicarea clara si asigurarea acceptarii de catre senior management a obiectivelor de conformare la Regulament, asigurarea alocarii resurselor necesare si a comunicarii in organizatie, la toate nivelele, pe de o parte si extinderea expertizei proprii, in aria de IT, Legal, Management al riscului, Audit, Training, pe de alta parte”.

In opinia Roxanei Mitroi, avocat in cadrul bpv GRIGORESCU STEFANICA, “Una dintre provocarile cu care cu siguranta multi specialisti ai domeniului s-au intalnit este legata de cartografierea in mod complet a datelor personale prelucrate, precum si a activitatilor de prelucrare, avand in vedere faptul ca fiecare activitate de prelucrare trebuie identificata, stabilindu-se atat elementele de legitimitate ale acesteia, cat si identificarea scopurilor prelucrarii, a temeiurilor juridice, perioadelor de retentie adecvate, a tuturor entitatilor implicate in proces”.

Roxana Mitroi mentioneaza ca „Alte provocari in domeniu au fost date chiar de aspectele sensibile pentru care au fost solicitate opiniile juristilor. Astfel, anumite zone precum marketingul, profilarea, monitorizarea comportamentului prin noile tehnologii sunt unele dintre putine cazuri cand spiritul de inovatie, dar si pragmatismul juridic au iesit la iveala. In acest context, un aspect important este identificarea echilibrului intre nevoile business-ului de a-si continua activitatea si gradul de conformare cu prevederile GDPR. Mai mult, o alta provocare aparuta in decursul acestor ani a plecat de la lipsa unor proceduri minime de protectie a datelor si de asigurare a securitatii acestora, precum si de la lipsa de pregatire a personalului intern al organizatiilor privind modul in care datele personale sunt prelucrate.  In acest sens, avocatii firmei noastre au inceput proiectele de conformitate cu prevederile GDPR prin niste sesiuni de training organizate la nivelul organizatiilor pe care le asistam, pentru ca angajatii acestora sa cunoasca prevederile si procedurile ce vor dicta modul in care trebuie sa actioneze in legatura cu activitatile de prelucrare a datelor pe care le desfasoara”.

Pentru Marius Dumitrescu, specialist GDPR, „Persoana fizica in sine a ramas cea mai mare provocare pentru intreg domeniul protectiei datelor din Romania, deoarece, prin lipsa de cultura, intreg corpul profesional se confrunta cu solicitari nejustificate si insuficient documentate privind stergeri selective sau rectificari neintemeiate a informatiilor inregistrate in documente. Cu siguranta, aceste solicitari nu vor fi solutionate in favoarea persoanei vizate, existand mai multe reglementari specifice in ceea ce priveste termenul de retentie si posibilitatile de acces restrictionat si conditionat”.

Totodata, in opinia specialistului, “Gardianul modului in care se respecta confidentialitatea si mecanismele de protectie a datelor cu caracter personal ramane in continuare Responsabilul cu protectia datelor cu caracter personal (DPO), aceasta meserie nou aparuta, care se confrunta probabil cu cele mai mari provocari profesionale datorita caracterului general al Regulamentului (UE) 2016/679 si lipsei unor repere unitare privind interpretarea si implementarea lui. Poate si denumirea postului, care induce ideea responsabilitatii concentrate pe umerii unei singure persoane, a ingreunat ascensiunea si recunoasterea profesionala, multi DPO facand educatie managementului in momentul semnarii contractelor de consultanta”.