Sergiu Bozianu este în primul rând un profesionist în domeniul protecției datelor din Republica Moldova, ultima funcție publică fiind cea de director adjunct în Direcția Generală Supraveghere și Conformitate în cadrul Centrului Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova. În prezent este președintele Asociației pentru Protecția Vieții Private prin care şi-a luat angajamentul să contribuie la promovarea şi transpunerea la nivel naţional a standardelor europene, în domeniul protecţiei datelor cu caracter personal şi a vieţii private. Este directorul companiei ,,Law, Privacy & Data Protection Services” SRL și  doctorand, tema sa de cercetare fiind,,Caracteristica juridico penală și criminologică a inviolabilității vieții personale”. A acceptat provocarea de a inaugura această nouă secțiune pe portalul dpo-net.ro, intitulată "Interviu Exclusiv", acordând răspunsuri la cele mai arzatoare întrebări ale momentului, despre provocările implementarii GDPR în România și Republica Moldova. Ne propunem periodic să publicăm interviuri exclusive cu profesioniști în domeniul protecției și securității datelor, atât din România, cât și din Europa. Vă invităm să ne urmăriți și așteptăm propuneri pe adresa de email a redacției cu persoane pe care vă doriți să le includem în acest proiect editorial.

Scopul GDPR-ului nu este de a da amenzi ci de a proteja persoanele. Cu toate acestea, după 3 ani de la intrarea în vigoare a Regulamentului doar 67% dintre Europeni au auzit de GDPR, în timp ce doar 36% au declarat că știu ce este acest regulament (date prezentate de Comisia Europeana în sondajul Eurobarometru). Credeți ca aceste cifre sunt rezultatul dezinteresului persoanelor în ceea ce privește de protejarea datelor lor?

 În opinia mea, rezultatele sondajului denotă 2 aspecte:

• Constatăm o tendința de maturizare a acestui drept modern – Dreptul la protecția datelor cu caracter personal, care a început a fi promovat cu insistență doar odată cu aplicarea Regulamentului General privind Protecția Datelor (25 mai 2018) deși, elaborarea și aprobarea acestui Regulament este consecința dezvoltării Dreptului fundamental al persoanei la viața privată și de familie statuat la art. 8 din CEDO, încă în anul 1950 și dezvoltat odată cu adoptarea Convenției nr. 108 privind protecția persoanelor referitor la prelucrarea automatizată a datelor cu caracter personal.
• Punctajul (cartonașul roșu) acumulat de Statele vizate în cazul obligațiilor pozitive ce le revin, de a respecta și ocroti viața intimă, familială și privată.

Care credeți ca vor fi consecințele acestei lipse de conștientizări a importantei datelor în rândul persoanelor, pe termen lung?

Este un fapt demonstrat că persoanele vizate cedează tot mai mult dreptul său la protecția datelor cu caracter personal în schimbul confortului personal – aspect ce rezultă din automatizarea exponențială în ultima perioadă de timp a proceselor și serviciilor din sfera publică și privată. Consecințele nu se lasă mult așteptate pe motiv că datele cu caracter personal sunt utilizate pe larg în scopuri meschine cum ar fi: șantajul, înșelăciunea, supunerea, denigrarea și manipularea în masă a societății. Important este de a conștientiza că datele cu caracter personal, în marea majoritate a cazurilor, nu au termen de valabilitate, pot fi utilizate și reutilizate de nenumărate ori, iar eventualele prejudicii pe urma utilizării ilegale a acestora ar putea ieși la iveală după o perioadă îndelungată de timp, în unele situații producând efect chiar și în raport cu copii, nepoții sau strănepoții noștri.   

Este esențial ca persoanele să identifice prelucrările ilegale de date pentru a-și putea exercita drepturile. Cât este de important sa-ți cunoști drepturile atâta timp cât nu poți identifica o prelucrare ilegală? Pe ce ar trebui să se axeze campaniile de informare a persoanelor?

Cunoașterea de către persoanele vizate a drepturilor ce rezultă din legislația din domeniul protecției datelor cu caracter personal este una crucială din considerentul că această disciplină interferează orice domeniu cum ar fi: medical, social, economic, educațional etc. De reținut că unul dintre principalele scopuri pentru care a fost adoptat Regulamentul general privind protecția datelor este de a asigura persoanei fizice un control mai mare asupra modului de prelucrare și protecție a datelor cu caracter personal care-l vizează. Concluzia este că cu cât este mai informat cetățeanul cu atât este mai responsabil operatorul de date. În acest context, necunoașterea drepturilor prevăzute de legislația din domeniul protecției datelor cu caracter personal duce la imposibilitatea constatării situațiilor care ar putea duce la încălcarea regimului juridic al protecției datelor cu caracter personal.

Campaniile de informare trebuie să se bazeze pe explicația simplă a celor mai importante drepturi ale persoanei: dreptul de a fi informat și dreptul de acces la aceste date, care, odată realizate, deschid calea spre pârghiile de control și interdicție care pot fi realizate direct către operatorul de date sau prin intermediul Autorității de supraveghere sau instanței de judecată. Nu în ultimul rând de menționat că realizarea drepturilor subiecților de date contribuie esențial asupra conștientizării sarcinilor și responsabilităților operatorului în raport cu datele cu caracter personal prelucrate. În Republica Moldova, dar cred că și în alte țări vizate, operatorii de date cu caracter personal încep a reacționa la trebuințele legale prevăzute de domeniul protecției datelor cu caracter personal doar urmare a depunerii unei plângeri din partea persoanei vizate sau în urma inițierii unei investigații din partea Autorității de supraveghere.

Care credeți că ar fi cea mai scurta cale spre creșterea gradului de conștientizare și complianta GDPR: educarea persoanelor sau educarea operatorilor?

Cea mai simplă cale pentru atingerea unui nivel de conștientizare adecvat ar fi de explicarea beneficiilor în cazul respectării regimului juridic al protecției datelor cu caracter personal:

• pentru operatori – obținerea elementului de competitivitate, legalizarea activităților ce implică prelucrarea datelor, promovarea imaginii și stabilirea unei relații de încredere dintre prestator-consumator, evitarea riscurilor privind răspunderea: pecuniară sub formă de amendă 20 000 000 sau 4 %, repararea prejudiciilor morale și materiale ale persoanelor vizate, cheltuieli de judecată, pierderea reputației. În același context urmează a fi conștientizat că cu cât mai devreme începi să implementezi cerințele de protecție a datelor, cu atât mai repede îți asiguri continuitatea afacerii sau a serviciilor prestate.
• pentru persoanele vizate – protejarea informațiilor confidențiale despre sine, afacere, membri de familie, obținerea unui confort emoțional și fizic, evitarea riscurilor de pierdere a unor proprietăți, active, a reputației on-line și off-line.

În România, până în acest moment, nu s-a dat nici o amenda pentru nerespectarea GDPR deși autoritatea condus aproape 1.000 de investigații, adoptând o atitudine orientată spre prevenție și dispunerea de măsuri corective. Considerați că Amenzile au un rol important în aplicarea GDPR-ului? Din experienta Dumneavoatră practică, cei mai mult operatori se conformeză cu GDPR-ul din responsabilitate sau de frica amenzilor? Care este situatia in Republica Moldova ?

Având în vedere experiența anterioară la Autoritatea națională de protecție a datelor cu caracter personal din Republica Moldova, pot să vă comunic că cea mai eficientă măsură este dialogul specific, informat și lipsit de ambiguitate dintre regulator și operatorii de date cu caracter personal care trebuie să fie asigurat cu norme coercitive consistente pentru a reda forță juridică discuțiilor inițiate. Așadar, cel mai important este de a asigura spiritul legii și de a nu denatura esența acesteia, de a oferi soluții practice și de compromis și nu de mers în extreme, or, disciplina protecției datelor cu caracter personal nu poate fi atinsă peste noapte doar prin impunerea unor măsuri pecuniare. Forța coercitivă a Autorității trebuie aplicată doar ca ultimă măsură spre calea conformării sau, în toate cazurile: de rea intenție sau neglijență vădită. Din practică, pot să vă afirm că cel mai mari impedimente întru asigurarea principiilor de protecție a datelor cu caracter personal este lipsa capacității raportării realităților juridice cu cele practice, persistența vacuumului în dialogul constructiv și analfabetismul funcțional. 

Totuși trebuie să recunoaștem că un avânt cu totul special pentru respectarea dreptului la viața privată în legătură cu prelucrarea datelor cu caracter personal la nivel global l-a adus anume Regulamentul general privind protecția datelor care a impus niște amenzi considerabile. De remarcat că acest Regulament nu a schimbat esența principiilor fundamentate spre exemplu prin Directiva 95/46, însă a schimbat de principiu atitudinea legiuitorului european din perspectiva obligațiilor pozitive care revin statelor de a asigura dreptul la viața privată, reliefând importanța persoanei fizice și prețul datelor cu caracter personal în condițiile relațiilor juridice. 

Așadar, sarcina noastră comună la moment este de a dezvolta acel reflex condiționat în raport cu dreptul modern la protecția datelor cu caracter personal.

Credeți că instituțiile publice ar trebui sa fie un exemplu pentru restul operatorilor? Punem această întrebare pentru că în Romania instituțiile publice riscă o amenda maxima pentru nerespectarea GDPR-ului de 200.000 lei, cu mult inferior față de ceea ce risca operatorii privați. Care este situatia in Republica Moldova ?

Una dintre principala premisă urmărită de art. 8 din CEDO, Convenția 108, Directiva 95/46, Regulamentul 679/2016, Directiva 680/2016 și a altor acte, a fost limitarea eventualului abuz al forței publice în raport cu persoana fizică. De reținut că așa cum opinează CEDO cu putere de lucru judecat, simpla înregistrare a unor date cu caracter personal de către o autoritate sau instituție publică reprezintă o ingerință în viața privată a persoanei vizate.

Așadar, putem constata că autoritățile publice sunt cei mai mari operatori de date cu caracter personal având cele mai intruzive mijloace de colectare și prelucrare a datelor cu caracter personal. Mai mult, Legea Supremă din România și din Republica Moldova statuează obligația autorităților publice de a respecta și ocroti dreptul la viața intimă, familială și privată.

Așadar, intenția legiuitorului de a diminua suma sancțiunilor aplicate în raport cu autoritățile publice este una previzibilă pe motiv că în joc sunt puși banii publici care, odată cu aplicarea sancțiunii vor migra dintr-un buget în altul. Nu este neapărat ca suma cuantumului pecuniar să fie aceeași ca și în cazul operatorilor de drept privat, însă, aceste diminuări ar trebui în mod corespunzător de compensat prin intermediul altor măsuri punitive care ar aduce un echivalent echitabil în raport cu autoritățile publice.

Din aceste considerente, fără a diminua importanța asigurării cerințelor legale de către sectorul privat, autoritățile publice sunt principalii actori vizați întru respectarea principiilor de protecția datelor cu caracter personal. În Republica Moldova autoritățile publice nu pot fi atrase la răspundere contravențională, însă această interdicție legiuitorul a compensat-o prin instituirea dreptului de a atrage la răspundere contravențională persoanele cu funcție de răspundere (conducătorii, factorii de decizie, executorii etc.). Așadar, dacă e să facem o analiză a numărului de cazuri de atragere la răspundere, cam jumătate din sancțiunile contravenționale care au fost aplicate de către Autoritatea de protecția datelor cu caracter personal din Republica Moldova, au fost aplicate în privința: primarilor, executorilor judecătorești, polițiștilor, procurorilor, funcționarilor publici etc.

Un studiu ASCPD atragea atentia la începutul acestui an asupra acestor statistici din unitatile medicale Romanesti: 37,44% din instituţiile sanitare cuprinse în analiză s-au confruntat cu incidente de securitate şi cu toate acestea 73,85% din total nu au implementat un plan de reacţie la incidentele de securitate. De asemenea, sondajul a scos în evidenţă că 70,26% încă folosesc adrese de email @yahoo.com şi @gmail.com în interes profesional în interiorul reţelei, expunând astfel organizaţia unor riscuri care pot fi evitate. Din sondaj a mai reieşit că 11,28% nu au implementat sisteme tehnice de protecţie antivirus, cel mai des invocând lipsa fondurilor. Cum comentati aceste rezultate ?

Rezultatele denotă o problemă stringentă care nicidecum nu poate fi justificată prin lipsa fondurilor. Urmează a fi reținut că în majoritatea cazurilor asigurarea unui nivel adecvat de protecție a datelor nu presupune cheltuieli exorbitante după cum pretind anumiți actori, exagerând sub aspectul dat în încercarea de a justifica propriile acțiuni sau inacțiuni care sunt neconforme. Așa cum relevă și GDPR, operatorul trebuie să fie în stare să demonstreze conformitatea prelucrării datelor cu caracter personal și măsurile de securitate asigurate prin implementarea unor politici care implică măsuri organizatorice și tehnice adecvate riscurilor pentru care sunt expuse datele. În acest context, atunci când operatorii de date în cunoaștere de cauză admit neconformități, aceste acțiuni ar putea fi încadrate de către Autoritatea de supraveghere în pârghiile de reeducare prevăzute de GDPR. Totuși, pentru a oferi o consecvență și previzibilitate în cazul enunțat, de resortul Autorității ține înaintarea unor preavize scrise sau electronice prin care să se solicite excluderea fără întârziere a inadvertențelor admise.

Cu toate că România înregistrează cel mai scăzut nivel de utilizare a serviciilor de internet dintre statele membre ale UE, 86 % dintre utilizatorii români de internet au conturi pe rețelele sociale, ceea ce ne face campionii Europei la acest capitol. Având în vedere scandalurile imense în care au fost implicate rețelele de socializare, fie prin breșele de securitate, fie prin utilizarea ilicită a datelor, putem considera că suntem și cei mai vulnerabili. Cum considerați ca ar trebui să se comporte un utilizator de internet, dacă ar sti de riscurile pe care internetul le ascunde?

În primul rând utilizatorii de internet trebuie să conștientizeze că cei mai înstăriți agenți economici din lume sunt proprietarii platformelor de socializare și a serviciilor de web service și de software. Așadar, impresia precum că serviciile platformelor de socializare sunt gratuite sunt false, din prima clipă de utilizare a platformelor de socializare noi plătim cu datele noastre cu caracter personal în schimbul acestor servici. Esența afacerii privind platformele de socializare este structurarea analitică a datelor, analiza preferințelor și viziunilor utilizatorului, furnizarea dirijată și adaptivă a informațiilor specifice către utilizatorul final, crearea dirijată de opinie și promovarea anumitor viziuni și preferințe. În acest context, regula de bază ar fi să limităm la maxim oferirea datelor cu caracter personal. Trebuie să înțelegem că serviciile societății informaționale în majoritatea situațiilor ne depășesc posibilitățile reale de a înțelege activitățile ce rulează în fundal inclusiv trasabilitatea datelor cu caracter personal care ne vizează și de a raporta aceste procese la cerințele legale. O încercare de a reglementa aceste procese este instituirea obligației operatori de date de a ne informa asupra modului de prelucrare și protecție a datelor cu caracter personal prin afișarea extraselor din politicile de securitate. După cum s-a adeverit a fi, majoritatea utilizatorilor nu citesc politicile de securitate și bifează aproape în regim automatizat (la nivel de reflex) rubrica prin care confirmă că a luat cunoștință de aceste politici. O bună parte din utilizatori sau nu dispun de cunoștință speciale în domeniul dat pentru a putea tălmăci acele acrobații juridice expuse de către operatorii de date care au sarcina de a demonstra grija și atenția oferită utilizatorilor și în special datelor cu caracter personal ale acestora sau au lipsă de timp și atenție față de aceste note informative.

În opinia mea, în cazul în care utilizatorii vor fi în cunoștință de cauză asupra scopului, destinatarilor și a modului de prelucrare a datelor cu caracter personal, ar fi cel puțin mai precauți sau chiar vor renunța la multe din serviciile și funcționalitățile la care s-au abonat.

Facebook a lansat Study, un program de cercetare de piață bazat pe recompense. Cum vi se pare un asemenea concept: să fim plătiți pentru datele pe care le facem publice? Este acesta direcție una corecta?

Consider că această ofertă publică este următorul pas spre care se vor focaliza mulți prestatori de servicii. Această situație a existat și anterior însă a fost camuflată sub diferite servicii și activități. Chiar dacă în opinia mea acest concept este unul destul de periculos, având în vedere monopolul evident al unor prestatori de servicii, afișarea deschisă în vederea remunerării pentru oferirea datelor cu caracter personal este o nouă provocare pentru Etica digitală. Fenomenul cumpărării sau obținerea unor beneficii în schimbul datelor cu caracter personal nu cred că va putea fi anihilat, însă, efortul de bază ar fi necesar de conturat asupra creării unor mecanisme adecvate pentru a putea concilia interesul economic al prestatorului de servicii și dreptul la viața privată în legătură cu prelucrarea datelor cu caracter personal. 

Accesul copiilor la internet este deja o normalitate. Ar trebui acest lucru sa ne îngrijoreze? Considerați că o educație privind privind accesul la internet al copiilor ar trebui sa fie o sarcina a părinților sau sistemul de învățământ ar trebui să-și asume acest rol?

În ultimii 20-30 de ani a crescut exponențial prezența tehnologiilor informaționale în viața de zi cu zi a fiecărui individ – acest fenomen fiind recunoscut ca era digitală. Veriga slabă în acest circuit este copilul, care, fiind în curs de dezvoltare a conștiinței, în multe cazuri este expus nejustificat riscurilor și provocărilor legate de utilizare a internetului. Spre regret, atât părinții cât și cadrul didactic nu sunt pregătiți în deplină măsură pentru a oferi o instruire și o protecție adecvată a copilului în spațiul on-line. De regulă copilul este de unul singur atunci când accesează internetul precum și nu are nici un fel de restricții în navigare, fapt ce poate duce la antrenarea acestuia în anumite fapte ilegale, sau comiterea abuzurilor de ordin psihic, sexual etc. are acces nelimitat la resursele de pe internet accesând site-uri care pot admite abuzuri în privința acestor minori. În cele din urmă, responsabilitatea de a răspunde acestor provocări este a părinților și a sistemului de învățământ. Cu titlu de exemplu, în Republica Moldova din anul 2018, a fost revizuită curicula școlară și cea universitară, copii din anul întâi având obiectul ,,educația digitală” inclusiv fiind ajustată legislația din domeniul comunicațiilor electronice, fiind stabilită obligația prestatorilor de servicii de a elabora ghiduri și de a oferi servici menite pentru a proteja copii de unele informații pe internet.

Conform unui raport DLA Piper (GDPR data breach survey: February 2019), de la data aplicării GDPR-ului și pana în februarie 2019, Autoritatea de supraveghere din Olanda înregistrase 15,400 de notificări de breșe, în timp ce România număra la acea vreme doar 270. Care credeți că este motivul acestei discrepanțe? 

Problemă de bază este capacitatea de a constata aceste breșe de securitate, deoarece în o bună parte de cazuri, operatorii de date cu caracter personal desemnează formal ofițerul de protecție a datelor sau își asumă anumite măsuri declarative privind protecția datelor cu caracter personal, însă în practică nefiind asigurate cerințe minime organizatorice și tehnice care ar putea duce la constatarea acestor breșe de securitate. Suplimentar există și o altă explicație care se rezumă la teama sau lipsa de încredere a operatorilor în Autoritatea de supraveghere, care odată informată asupra unui incident de securitate, ar putea aplica măsuri punitive în privința celor care au sesizat. Acest fenomen ar putea fi depășit doar prin deschiderea Autorității de protecție a datelor, inclusiv prin elaborarea unor acte departamentale care vor dezvolta acest mecanism de sesizare și de examinare a cazurilor, pentru a oferi o claritate în acțiunile date. Cu alte cuvinte obligația de a sesiza eventualele breșe de securitate trebuie să vină în ajutorul operatorilor de date pentru identificarea soluțiilor corecte și pentru a exclude pe viitor aceste incidente. Mai mult, oferirea masivă a informațiilor cu privire la incidentele depistate și măsurilor de corecție aplicate, ar trebuie să fie sistematizate de către Autoritatea de supraveghere și expusă sub formă de recomandări și ghiduri pentru a preveni alți operatori de date de la aceste riscuri.

Identificarea riscurilor este unul din cei mai importanți pași spre complianta GDPR. Cum putem identifica riscurile?

Pentru a putea identifica aceste riscuri, urmează să punem accent pe calitatea și profesionalismul de care trebuie să dispună ofițerul de protecție a datelor cu caracter personal. Totodată pentru a crește nivelul de percepție a eventualelor riscuri care pod duce la admiterea breșelor de securitate, Autoritatea de supraveghere în baza raporturilor de informare privind incidentele de securitate dar și având în vedere investigațiile realizate, urmează să publice anumite ghiduri și recomandări care să fie examinate și aplicate de către ofițerul de protecție datelor în cadrul operatorului.

În final, cine credeți ca ar trebui să se implice mai mult în diseminarea importantei datelor personale? Instituțiile publice, Autoritățile naționale de supraveghere sau ONG-urile din domeniul protecției datelor?

Tonul privind diseminarea informațiilor privind importanța domeniului protecției datelor cu caracter personal urmează să date de către Regulator și să continue de către ONG-uri și organizațiile profesionale. Cooperarea dinte Regulator, ONG-uri, organizații profesionale, și operatori este esențială din perspectiva conjugării eforturilor.

De profesie medic, Timis Horea este expert in Management Sanitar si fost director de proiecte europene pe componenta socio-medicala, la Primaria Alba Iulia, director de spital, director al Directiei de Sanatate a judetului Alba, consilier cabinet subsecretar de stat in Ministerul Sanatatii. A colaborat in echipa de elaborare a  Strategiei Nationale de Sanatate 2014-2020 si este antreprenor privat, actionar in mai mult companii din sferea medicala pe partea de strategii de sanatate pentru administratia locala, proiectare circuite epidemiologice, consultant pe analize de marketing, analiza indicatorilor de performanta si calitate in managementul sanitar .

Din 2018 s-a implicat in domeniul startup-urilor medicale si a castigat doua selectii internationale in cadrul EIT Health (European Institute of Innovation and Technology in Health, https://www.eithealth.eu/) SmartAgeingCamp si Go2China),a urmat mai multe cursuri si specializari in domeniul eHealth la Health EIT – Europa, Denmarca - Copenhaga - DTU - Tehnical University of Denmark, Ungaria - Budapest - Semelweis Univeristy of Medicine, Germania - Nuremberg - Medical Valley -You Delft, Iralnda - Dublin - Trinity College Dublin, Polonia - Medical Univeristy of Lodz, China - Shenzhen Medical University, Olanda – Groningen – University. A infintat compania Doclink care in urma unui parteneriat cu un fond de investiii privat,  dezvolta impreuna cu o echipa de experti si parteneriate international un stratup medical https://feeel.health/ axat pe analiza datelor de Public Health, marketing medical statistic, inteligenta artificiala și predictie disponibil din 2020.

Timis Horea a acceptat sa acorde acest interviu portalului Dpo-NET.ro - Data Protection Officers Network

Scopul GDPR-ului nu este de a da amenzi ci de a proteja persoanele. Cu toate acestea, după 3 ani de la intrarea în vigoare a Regulamentului doar 67% dintre Europeni au auzit de GDPR, în timp ce doar 36% au declarat că știu ce este acest regulament (date prezentate de Comisia Europeana în sondajul Eurobarometru). Credeți ca aceste cifre sunt rezultatul dezinteresului persoanelor în ceea ce privește de protejarea datelor lor?

TH: In primul rand exista doua directii in comunicarea GDPR-ului, una preponderentă care produce doar panica si este  de genul ”Breaking News”  ce percutează tot timpul, cum că datele persoanelor se fura.  Acesta este abordarea greșită si total neprofesionala.  Si alta directie corecta este că avem nevoie de date pentru  a  ne imbunatatii si oamenii trebuie incurajati sa ofere date, iar GDPR-ul este o garantie in acest sens ca datele tale vor fi folosite corect in procesul de imbunatatire. Oameni reactioneaza corect spre reticenta tocmai pentru ca informarea in mare este greșit transmisă.

Care credeți ca vor fi consecințele acestei lipse de conștientizări a importantei datelor în rândul persoanelor, pe termen lung?

TH: Cum am spus, cand comunicare devine corecta, societatea si inteligenta sociala se muleaza pe un lucru corect. Cat timp este o sperietoare va exista un pas inapoi si o lipsa de preocupare. Ce facem ca in ultimii doi ani s-au generat mai multe date decat in toata istoria internetului? Constientizarea este direct proportionala cu calitatea comunicarii.

Un studiu ASCPD atragea atentia la inceputul acestui an asupra acestor statistici din unitatile medicale Romanesti: 37,44% din instituţiile sanitare cuprinse în analiză s-au confruntat cu incidente de securitate şi cu toate acestea 73,85% din total nu au implementat un plan de reacţie la incidentele de securitate. De asemenea, sondajul a scos în evidenţă că 70,26% încă folosesc adrese de email @yahoo.com şi @gmail.com în interes profesional în interiorul reţelei, expunând astfel organizaţia unor riscuri care pot fi evitate. Din sondaj a mai reieşit că 11,28% nu au implementat sisteme tehnice de protecţie antivirus, cel mai des invocând lipsa fondurilor. Cum comentati aceste rezultate ?

TH: Cred ca rezultatul este mul mai mare decat in studiu. In primul rand nu cred ca exista o reala preocupare, apoi implementarea este vazuta ca si un cost nu ca si un beneficiu pentru spital. Din nou ajungem la comunicare, de ce sa faci un anumit lucru? Cum te imbunatatesti, ce plus valoare aduce implementarea, totul se rezuma la ai nevoie de asta ca asa spune legislatia si te costa suma acesta. Nu lipsa fondurilor este problema, ci lipsa intelegerii a plus-valorii aduse prin implementare in unitate, companie. Momentan se implementeaza din frica de amenzi, nu din plus valoare adugata.

Având în vedere atacurile cibernetice asupra sistemului sanitar românesc din ultimele saptămâni, ce măsuri considerați că trebuie luate imediat ?

TH: In primul rand nimeni nu raspunde de sistemul de sanatate, acesta este administrat de o persoana numita de o autoritate publica care are spitalul in subordine, dar entitatea este a...statului. Adica in caz de ceva vine statul si rezolva. Atata timp cat nu este specificat clar undeva ca este o responsabilitate a conducerii, a administratorului, a comitetului director nu o sa se intample absolut nimic. Atacuri o sa mai fie si oricum plateste statul sau administratia spitalului. Avem cateva Instituii care vegheaza  asupa sistemului dar nici una nu au o strategie in acest sens clara pe GDPR. Subiectul este tratat la diverse...si asta o sa si avem.

Este esențial ca persoanele să identifice prelucrările ilegale de date pentru a-și putea exercita drepturile. Cât este de important sa-ți cunoști drepturile atâta timp cât nu poți identifica o prelucrare ilegală? Pe ce ar trebui să se axeze campaniile de informare a persoanelor?

TH:Pe informarea corecta. Momentan nici intre expertii si comunicatorii GDPR din tara nu este un consens clar. Sunt abordari diferite, interpretari diferite. Cred ca nu oricine trebuie sa fie expert GDPR si trebuie un control clar al cursurilor si comunicarilor oficiale. Trebuie să existe proceduri clare nu cursuri cu taxe in care mergi intr-un fel si iesi in alt fel si ai o diplomă.

Care credeți că ar fi cea mai scurta cale spre creșterea gradului de conștientizare și complianta GDPR: educarea persoanelor sau educarea operatorilor?

TH: Educatia corecta, profesionala este singura cale, profesionalismul duce la rezultate, neprofesionalismul duce la anarhie. Privatul este mai atent, dar si cheltuie mai mult, statul este mai nepasator oricum nu este o tinta directa in procesul de control.

În România, până în acest moment, s-au aplicat patru amenzi pentru nerespectarea GDPR deși autoritatea condus aproape 1.000 de investigații, adoptând o atitudine orientată spre prevenție și dispunerea de măsuri corective. Considerați că Amenzile au un rol important în aplicarea GDPR-ului? Din experienta dvs practică, cei mai mult operatori se conformeze cu GDPR-ul din responsabilitate sau de frica amenzilor?

TH: In primul rand exista o frica a amenzilor si acesta este primul aspect, care este rezultatul comunicarii de pana acuma, cel putin la noi in tara. Nimeni nu se conformeaza ca asa trebuie sau pentru ca aduce un plus valoare, toti il percep ca si un cost si o actiune birocratica. Cred ca o campanie de preventie si constientizare aduce mai multe beneficii decat o multime de amenzi prin care sperii cativa mari operatori sau omori cateva businessuri mici. Oricum acest mod de a comunica a oprit inovatia in multe domenii. Statul roman trebuia sa investeasca in comunicare in urma cu 5 ani nu să ne trezim ca din martie 2018, hop avem o lege care afecteaza pe toata lumea. Concluzia? O sa dureze inca cinci ani ca sa ne conformăm cat de cat.

Credeți că instituțiile publice ar trebui sa fie un exemplu pentru restul operatorilor? Punem această întrebare pentru că în Romania avem un tratament preferențial pentru instituțiile publice, amenda maxima pentru nerespectarea GDPR-ului fiind de 200.000 lei (aproximativ 42.000 euro), cu mult inferior față de ceea ce risca operatorii privați.

TH: Mentalitatea de a arata ca avem nevoie de exemple inca persista. Daca azi mergem la orice spital luat prin sondaj, cu siguranta am gasi incalcari ale GDPR-ului dar autoritatea nu ar indraznii din motive lesene de inteles sa aplice legea acolo. Vor fi cateva executari publice care vor tine loc de exemplu si apoi incet incet se vor conforma multi, de frica repet nu din cauza ca simt ca este plus valoare adugata.

Cu toate că România înregistrează cel mai scăzut nivel de utilizare a serviciilor de internet dintre statele membre ale UE, 86 % dintre utilizatorii români de internet au conturi pe rețelele sociale, ceea ce ne face campionii Europei la acest capitol. Având în vedere scandalurile imense în care au fost implicate rețelele de socializare, fie prin breșele de securitate, fie prin utilizarea ilicită a datelor, putem considera că suntem și cei mai vulnerabili. Cum considerați ca ar trebui să se comporte un utilizator de internet, dacă ar fi constient de riscurile pe care internetul le ascunde?

TH: Sa se comporte asa cum simte si in momentul cand utilizezi un program gratis, trebuie sa fi constient ca nimic nu este gratuit si toata lumea colecteaza date care sa te ajute sa iti imbunatateasca experienta ta, sa te ajute sa iti ofere reclamele de care tu chiar ai nevoie, sa te ajute sa gasesti predictiv mai repede ceea ce vrei sa cauti de fapt. In acelasi timp  sa aleaga cu celeritate ce date trebuie sa ofere in schimbul utilizarii si sa stie tot timpul ca exista un risc si sa evite siturile obscure. Dar fara date lumea nu evolua aici unde suntem. Azi traim intr-o frica ca cineva ne fura datele, o frica gresit indusă de multi inclusiv comunicata prost de mass media. Sensul GDPR-ului este profund denaturat si duce la un impact negativ asupra intregii economii europene si asupra inovatiei in special.

Accesul copiilor la internet este deja o normalitate. Ar trebui acest lucru sa ne îngrijoreze? Considerați că o educație privind privind accesul la internet al copiilor ar trebui sa fie o sarcina a părinților sau sistemul de învățământ ar trebui să-și asume acest rol?

TH: Educatia incepe de la cei 7 ani de acasa. Cine o are o multiplica, cine nu pune tableta 24 de ore in mana unui copil. Oricum sistemul nostru de invatamant este tot mai primitiv si antisocial construit. Educatia se face cu oameni educati nu cu programe, sloganuri si proceduri. Efectele le vedem deja in statisticle afectiunilor pediatrice la copii. Atata timp cat nu exista un inteers si un parteneriat intre Ministerul Invatamantului si Ministerul Sanatatii sa o trateze ca si  o problema de Sanatate Publica reala, nu se intampla nimic. Dar pentru acest lucru  cum am spus este enevoie de oameni cu viziune si educati cu un background stiintific.

Facebook a lansat Study, un program de cercetare de piață bazat pe recompense. Cum vi se pare un asemenea concept: să fim plătiți pentru datele pe care le facem publice? Este acesta direcție una corecta?

TH:Daca nu ofeream date la Facebook poate nu ne gaseam prietenii din copilarie. Da este un lucru bun, trebuie sa intelegem ca datele tale , ale mele, ale altora ne ajuta pe toti, datele noastre este contributia noastra la evolutia societatii si datele oferite de tine, de mine, de toti, candva undeva ajuta pe cineva sau salveaza o viata undeva. Acesta este rolul datelor de a crea o lume mai buna, mai sigura mai predictiva.

Conform unui raport DLA Piper (GDPR data breach survey: February 2019), de la data aplicării GDPR-ului și pana în februarie 2019, Autoritatea de supraveghere din Olanda înregistrase 15,400 de notificări de breșe, în timp ce România număra la acea vreme doar 270. Care credeți că este motivul acestei discrepanțe? Suntem noi romanii un popor norocos și breșele de securitate ne evită, ori nu recunoaștem o breșă de securitate nici dacă ne împiedicăm de ea?

TH: Tine de nivelul de cultura si de educatie atata tot. Nu poti cere de unde nu ai. Este un alt indicator care certifica acest lucru ca mai avem mult pana ajungem din urma societati civilizate. Si pana la urma Romania reala nu estea cea din birourile noastre care este infimă statistic.

Identificarea riscurilor este unul din cei mai importanți pași spre complianta GDPR. Dar dacă noi nu resuim sa identificam nici breșele, cum am putea identifica riscurile?

TH: Prin educatie, prin comunicare prin invatamant prin oameni educati prin startegii coerente indreptate spre cetatean in parteneriat cu mediul privat sau de stat in care toti conlucra spre ”binele comun” a unei comunitati, a unei societati in care toti sunt de aceiasi parte. Riscul individual este si un risc comunitar, iare politicile sociale se reflecta la nivel de individ. Daca nu ai o strategie in acest sens nu ai cum sa te astepti la rezultate intr-o curba care sa iti arate imbunatatire continua.

A trecut mai bine de un an de la intrarea în vigoare a GDPR-ului. Ce s-a schimbat în decursul acestui an?

TH: Am invatat ca exista ceva nou care vine de la UE...de care toti ne dam cu parerea dar nimeni nu stie cum functioneaza exact si ce rol are si pe cine ajuta si momentan este o sperietoare cu amenzi nicidecum un intrument de imbunatatire. Pe partea cealata oamenii au invatat ca au depturi si sunt propietarii datelor si sunt mult mai atenti si constienti.

Cum vedeți implementarea Directivei NIS în România? Care sunt cele mai mari provocări ? Ce măsuri au fost luate până în prezent ?

TH: Se spune ca omul sfienteste locul si implementarea va fi exact ca si cei care o implementeaza, daca va fi bine se va implementa bine, daca nu nu, Orice lucru functioneaza exact asa cum il proiectezi si il conduci. Daca va fi haotica, haotica va fi implementata, daca va exista niste puncte strategice, niste cursuri corecte niste masuri, indicatori de calitate, indicatori de performanta masurabili, cuantificabili si acceptati bilateral atunci vom avea rezultate masurabile.

Cine credeți ca ar trebui să se implice mai mult în diseminarea importantei datelor personale? Instituțiile publice, Autoritățile naționale de supraveghere sau ONG-urile din domeniul protecției datelor?

TH: Cred ca toti dintre noi trebuie sa comunicam si sa educam. Schimbarea se face oricum in timp si timpul tine de educatie. In viata importat este sa iti doresti sa faci ceva bun si lucrurile se intampla. Dar cand DPO-ul este doar o alta forma de birocratie si consultanta este o bagatelizare si fiecare spune ce vrea in mediul online atunci ne intoarcem in anarhia sociala a lucrurile fara fond si apare reactia de respingere si rezistenta tocmai pt ca diseminarea informatiei nu a fost facuta corect. Fa un lucru bun si corect si rezultatele vin. Fa o strategie pe termen lung, masoara ce faci, cunatifica ce faci, analizeaza performanta, lucreaza cu indicatori masurabili si nu uita daca nu ai inovatie nu ai nimic.

Radu Crahmaliuc este fondatorul Cloud☁mania, una dintre cele mai populare platforme independente de cunoștințe și servicii din Europa de Est Centrală care s-a dezvoltat pe următorul principiu: "cele mai bune practici se bazează pe diversitatea serviciilor profesionale, abilitatea de personalizare, expertiza internațională și oferta flexibilă centrată pe client.". În prezent este Analist GDPR și Consilier în afaceri la  GDPR Ready! și a acceptat provocarea dpo-NET a de răsăunde al cele mai arzătoare întrebări despre GDPR ale momentului. 

Scopul GDPR-ului nu este de a da amenzi ci de a proteja persoanele. Cu toate acestea, după 3 ani de la intrarea în vigoare a Regulamentului doar 67% dintre Europeni au auzit de GDPR, în timp ce doar 36% au declarat că știu ce este acest regulament (date prezentate de Comisia Europeana în sondajul Eurobarometru) Credeți ca aceste cifre sunt rezultatul dezinteresului persoanelor în ceea ce privește protejarea datelor lor?

RC: Fără să luăm aceste cifre la modul absolut, ca cetățeni europeni se poate spune că principalul motiv este lipsa de informare legată de drepturile noastre fundamentale la viață privată și la protecția datelor cu caracter personal, garantate de art. 7 și art. 8 din Carta Drepturilor Fundamentale a Uniunii Europene și de art. 16 din Tratatul privind Funcționarea Uniunii Europene. De unde această lipsă de informare? Ori nu le pasă ce se întâmplă cu datele lor personale, considerându-se în afara oricărui risc cu implicații majore, ori, pur și simplu nu știu... Deși din 2016 se tot vorbește despre asta, sunt foarte mulți cei care nu știu pentru că nu a stat nimeni să le explice. Și acesta este rezultatul direct al lipsei de eficiență al programelor de comunicare din partea autorităților naționale de supraveghere.

Care credeți ca vor fi consecințele acestei lipse de conștientizări a importantei datelor în rândul persoanelor, pe termen lung?

RC: Pe termen lung trebuie să privim figura de ansamblu asociată eforturilor UE de construire a pieței unice digitale. O Europă digitală nu poate fi construită fără cetățeni digitali. Așa că, să fim optimiști, și să sperăm că pe termen lung oamenii vor deveni tot mai conștienți de drepturile lor, și de importanța respectării drepturilor celorlalți prin prelucrarea adecvată a datelor personale în procesele de business în care sunt antrenați.  

Un studiu ASCPD atragea atentia la inceputul acestui an asupra acestor statistici din unitatile medicale Romanesti: 37,44% din instituţiile sanitare cuprinse în analiză s-au confruntat cu incidente de securitate şi cu toate acestea 73,85% din total nu au implementat un plan de reacţie la incidentele de securitate. De asemenea, sondajul a scos în evidenţă că 70,26% încă folosesc adrese de email @yahoo.com şi @gmail.com în interes profesional în interiorul reţelei, expunând astfel organizaţia unor riscuri care pot fi evitate. Din sondaj a mai reieşit că 11,28% nu au implementat sisteme tehnice de protecţie antivirus, cel mai des invocând lipsa fondurilor. Cum comentati aceste rezultate?

RC: Ținând cont de caracterul special al datelor prelucrate în unitățile medicale acest lucru mi se pare revoltător. Nu au nicio scuză pentru asta. Spitalele de stat din România nu sunt pregătite să ne proceseze datele așa cum cere legea, deși în ultima perioadă sunt tot mai multe cazuri de atacuri informatice. Și nu faptul că au adrese pe Yahoo e cel mai grav, ci că nu au un DPO. Din analiza GDPR Ready efectuată pe un eșantion de peste 450 de site-uri, a reieșit că 9 din 10 spitale publice nu au o Politică de Securitate pe site.

Având în vedere atacurile cibernetice asupra sistemului sanitar românesc din ultimele saptămâni, ce măsuri considerați că trebuie luate imediat ?

RC: Pe linia celor spuse anterior, răul trebuie tratat de la rădăcină. Ar trebui formată o echipă operațională din membrii Min. Sănătății, Min. Com.&TI, CERT.RO și alte organisme, care împreună cu Autoritatea de Supraveghere să pună la punct un set de Norme sau un Cod de Conduită menit să reglementeze politica GDPR în domeniul sănătății publice. Spitalelor care nu au capacitatea să adere la acest Cod de Conduită ar trebui să li se aplice niște penalități administrative. In paralel trebuie făcute eforturi pentru sensibilizarea conducerilor acestor spitale, care trebuie să înțeleagă faptul că pe lângă responsabilitatea actului medical o au și pe aceea de adopție de măsuri tehnice și operaționale adecvate.

Este esențial ca persoanele să identifice prelucrările ilegale de date pentru a-și putea exercita drepturile. Cât este de important sa-ți cunoști drepturile atâta timp cât nu poți identifica o prelucrare ilegală? Pe ce ar trebui să se axeze campaniile de informare a persoanelor?

RC: Nu este necesar ca persoanele vizate să identifice prelucrările ilegale. Aceasta este obligația operatorilor și procesatorilor de date. Desigur, noi putem observa în destule cazuri că ceva este în neregulă cu datele noastre, dar e mult mai important ca noi să ne cunoaștem în primul rând drepturile și să știm să acționăm în consecință.

Care credeți că ar fi cea mai scurta cale spre creșterea gradului de conștientizare și complianta GDPR: educarea persoanelor sau educarea operatorilor?

RC: Acest proces de educare trebuie să acopere tot. Ca persoane vizate avem datoria să fim primii care să ne informăm și să ne protejăm datele, cunoscându-ne drepturile. Ca operatori sau procesatori, nu trebuie să uităm că și noi suntem în aceeași situație cu persoanele vizate ale căror date le prelucrăm și în consecință trebuie să ne înțelegem responsabilitatea pentru rolul pe care îl jucăm. În proiectele mele și la cursuri le explic întotdeauna clienților că respectarea unor norme elementare de securitate, din care majoritatea nici nu țin de GDPR, trebuie să devină o normalitate, precum spălatul pe dinți sau verificarea apei, gazului și a electricității atunci când plecăm de acasă. O politică de securitate IT și un plan de breșe sunt la fel de obligatorii și de utile ca măsurile de protecție în caz de incendiu sau instrucțiunile de evacuare a unei clădiri.

În România, până în acest moment, s-au acordat trei amenzi pentru nerespectarea GDPR și autoritatea condus aproape 1.000 de investigații, adoptând o atitudine orientată spre prevenție și dispunerea de măsuri corective. Considerați că Amenzile au un rol important în aplicarea GDPR-ului? Din experienta dvs practică, cei mai mult operatori se conformeze cu GDPR-ul din responsabilitate sau de frica amenzilor?

RC: A fost un moment de evoluție a cauzelor de responsabilizare: la început, imediat după anunțarea aprobării noului regulament în mai 2016, toată lumea s-a speriat de mărimea amenzilor și de celelalte modificări cu care venea GDPR în raport cu vechea legislație. Ulterior, pe măsură ce ne apropiam de momentul 25 mai 2018 și foarte puțin după aceea, nevoia de conformitate a venit ca un tăvălug, având ca mix de surse responsabilizarea, exemplul altora sau teama de necunoscut. Apoi s-a intrat în cunoscuta perioadă de acalmie în care nimeni nu a mai făcut nimic pentru că nici nu s-a întâmplat nimic. Eram împreună la un eveniment dedicat unui an de GDPR când mulți oameni din domeniu apreciau că e nevoie de amenzi ca să se întâmple ceva. Părerea mea este că trebuie insistat pe necesitatea transformării în business, că trebuie învinsă rezistența la schimbare și că trebuie arătate celor responsabili toate beneficiile induse de un proces de asigurare a conformității: adoptarea de norme și reguli ne face mai eficienți, reduce pericolele interne și ne asigură o etichetă de încredere față de ecosistemul de business în care evoluăm. Părerea mea este că cele 2 amenzi anunțate și probabil alte 5-6 care sunt pe rol nu au cum să determine brusc peste 50% dintre managerii din România că trebuie să facă ceva. Să nu uităm că sunt încă foarte mulți care nu știu despre ce este vorba și care sunt convinși că organizațiile lor nu au nimic de-a face cu datele personale... Trebuie continuat cu mare sârguință procesul de conștientizare și sensibilizare în masă. Legat de cele 2 cazuri apărute la noi, aș comenta numai atât. E foarte ciudat că s-a ajuns la asta, pentru că ambii operatori, prin natura activității,  ar fi trebuit să fie compatibili și pentru legea 677/ 2001. Puteau fi evitate aceste vulnerabilități? Cu siguranță, dacă cei 2 operatori s-ar fi gândit și la verificarea adecvării tehnice și operaționale. Nu știu cum s-au petrecut lucrurile intern, dar cineva a tratat totul cu superficialitate, limitându-se probabil la asigurarea necesarului de documente. Legat de al doilea caz, sunt mulți care consideră că documentele pe suport de hârtie nu intră sub incidența GDPR. S-a văzut cât de păgubitoare poate să fie o astfel de atitudine...

Credeți că instituțiile publice ar trebui sa fie un exemplu pentru restul operatorilor? Punem această întrebare pentru că în Romania avem un tratament preferențial pentru instituțiile publice, amenda maxima pentru nerespectarea GDPR-ului fiind de 200.000 lei (aproximativ 42.000 euro), cu mult inferior față de ceea ce risca operatorii privați.

RC: Legat de ce se întâmplă în instituțiile publice, prefer să nu comentez. Ne batem cu morile de vânt. Politizarea schimbă radical regulile jocului. Aștept cu nerăbdare, ca pe o curiozitate profesională, nu din dorințe revanșarde, primul anunț al Autorității care vizează o instituție publică...

Cu toate că România înregistrează cel mai scăzut nivel de utilizare a serviciilor de internet dintre statele membre ale UE, 86 % dintre utilizatorii români de internet au conturi pe rețelele sociale, ceea ce ne face campionii Europei la acest capitol. Având în vedere scandalurile imense în care au fost implicate rețelele de socializare, fie prin breșele de securitate, fie prin utilizarea ilicită a datelor, putem considera că suntem și cei mai vulnerabili. Cum considerați ca ar trebui să se comporte un utilizator de internet, dacă ar fi constient de riscurile pe care internetul le ascunde?

RC: Depinde de modul în care rețelele sociale afectează integritatea datelor noastre personale prelucrate de operatori. Statisticile de utilizare a Internetului amintite se referă la activități de navigare și accesare individuale. Ca indivizi suntem expuși, iar faptul că 86% dintre utilizatorii români au cont de social media, prin extinderea analizei la volumul total al populației, cifrele devin nerelevante și nu cred că suntem cei mai vulnerabili din Europa din această perspectivă. Vulnerabilitatea noastră constă în analfabetismul digital, și în faptul că nu știm sau nu putem să folosim tehnologiile digitale așa cum trebuie. Studiile DESI ne-au situat an de an pe ultimele locuri din UE (ultimii sau penultimii într-o strânsă tovărășie cu Bulgaria). Digital Economy and Society Index (DESI) este un index compozit ce cumulează indicatorii specifici pentru 6 direcții de activitate ce implică pregătirea digitală: conectivitatea, abilitățile digitale ale capitalului uman, folosirea serviciilor Internet de către cetățeni, integrarea tehnologiilor digitale în business, folosire serviciilor publice digitale și nivelul de dezvoltare al cercetării IT&C.  Ce zice DESI 2019 despre starea digitală a României? https://ec.europa.eu/digital-single-market/en/desi

La Conectivitate suntem pe locul 27 (din 28), la abilitățile digitale tot pe 27, la folosirea Internetului pe 27, la integrarea tehnologiilor pe 27, la folosirea serviciilor publice pe digitale pe 27, iar la nivelul IT&C pe locul 6, ca procentaj al industriei din PIB. Ce e greșit aici?

Accesul copiilor la internet este deja o normalitate. Ar trebui acest lucru sa ne îngrijoreze? Considerați că o educație privind privind accesul la internet al copiilor ar trebui sa fie o sarcina a părinților sau sistemul de învățământ ar trebui să-și asume acest rol?

RC: Răspunderea pentru copii o poartă în primul rând părinții. Mulți dintre copiii care au posibilitatea intră pe Internet înainte de școală. Părinții au principalul rol în educația digitală a copiilor și asta se referă nu numai la crearea de conturi sau postarea pozelor pe Internet. În cazul GDPR pentru copii sub 16 există obligația obținerii acordului părintelui, dar să nu uităm că nu totdeauna decizia unui părinte privitoare la datele personale făcute publice presupune și acordul copiilor pentru acest lucru. Școala are rolul ei, prin integrarea elevilor în programe educaționale care să-i învețe ce și cum să folosească de pe Internet, dar educația digitală de bază se face în cei 6 ani de acasă...

Facebook a lansat Study, un program de cercetare de piață bazat pe recompense. Cum vi se pare un asemenea concept: să fim plătiți pentru datele pe care le facem publice? Este acesta direcție una corecta?

RC: Decizia aparține întotdeauna utilizatorului și întotdeauna există o miză, o momeală, prin care acesta e convins să facă ceva. Tot procesul acesta trebuie să fie transparent și dacă luăm o decizie, să cunoaștem toate implicațiile acesteia.

Conform unui raport DLA Piper (GDPR data breach survey: February 2019), de la data aplicării GDPR-ului și pana în februarie 2019, Autoritatea de supraveghere din Olanda înregistrase 15,400 de notificări de breșe, în timp ce România număra la acea vreme doar 270. Care credeți că este motivul acestei discrepanțe? Suntem noi romanii un popor norocos și breșele de securitate ne evită, ori nu recunoaștem o breșă de securitate nici dacă ne împiedicăm de ea?

RC: Cauzele sunt legate de alfabetizarea digitală. A se vedea comentariile de la întrebarea nr.9

Identificarea riscurilor este unul din cei mai importanți pași spre complianta GDPR. Dar dacă noi nu reușim sa identificam nici breșele, cum am putea identifica riscurile?

RC: Sunt două lucruri diferite. Riscurile sunt cauza, iar breșele sunt consecințele. Identificarea breșelor ține de latura tehnologică a sistemelor de protecție cybersecurity. Analiza de risc este un proces care se face în avans și care ține de componentele umane, operaționale și tehnice ale unei organizații.

A trecut un an de la intrarea în vigoare a GDPR-ului. Ce s-a schimbat în decursul acestui an?

RC: Am comentat destul de mult pe tema asta în articolele din GDPR Ready. Nu putem spune că nu s-a întâmplat chiar nimic. Cei mai mari operatori și-au făcut temele prin derularea de activități de conformitate. După depășirea momentului de panică din ziua de 25 mai 2018, când foarte multe companii și-au canibalizat bazele de date, s-a intrat într-o perioadă de aparent calm, în are mulți operatori au adoptat o atitudine sănătoasă de pregătire și asimilare, și-au instruit oamenii și aparent sunt la un nivel de conformitate care să le asigure un anumit grad de confort. Partea proastă este că acest grad de confort dispare imediat la cea mai mică tentativă de atac. Partea cea mai proastă este că fiecare și-a construit un castel din cărți de joc, dar puțini s-au preocupat de edificarea unei reale Culturi GDPR care să le asigure temeinicia construcției. Exemple clare sunt cele două cazuri devenite publice de la noi. Puteau fi evitate breșele de securitate? Cu siguranță, dacă cineva ar fi urmărit modul de punere în practică a livrabilelor și controalelor adoptate. Știu destul de puține cazuri în care operatorii au avut timpul și resursele să simuleze intern sau extern apariția unor breșe. Despre analizele DPIA ce să mai vorbim. Deși aici lucrurile sunt de clare, nivelul de confuzie e destul de mare cu toate ghidurile WP29 și aplicația software realizată de CNIL. O bună analiză de impact poate avea rolul implementării unui standard și reprezintă cel mai elocvent barometru pentru conformitatea acțiunilor întreprinse într-un proiect GDPR. Desigur. Specialiștii recomandă DPIA în cazul noilor procese de business, dar pentru sănătatea afacerii este bine să facem o astfel de analiză și în cazul proiectelor GDPR realizate până acum. Numai așa avem posibilitatea documentată de a vedea că ceva nu e în ordine, că ce apare în documente nu se pupă cu realitatea...     

Cum vedeți implementarea Directivei NIS în România? Care sunt cele mai mari provocări ? Ce măsuri au fost luate până în prezent ?

RC: Legea nr. 362 din 2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice a intrat în vigoare de la 12 ianuarie 2019, ca transpunere a Directivei UE 2016/1148 și are ca scop creșterea nivelului de pregătire a statelor UE pentru a face față la incidentele de securitate informatică. Spre deosebire de GDPR, companiile din cele 7 segmente industriale ce intră sub incidența NIS erau destul de bine pregătite theoretic pentru noile prevederi. Faptul că CERT.RO a fost stabilit ca organism de reglementare, supraveghere și control și care va îndeplini și cu funcție de Punct Unic de Contact la nivel national și de echipă CSIRT națională este un lucru foarte bun. Provocările, ca și la GDPR sunt legate de punerea efectivă în aplicare și care intră clar în atribuțiile CIO din fiecare organizație.

Cine credeți ca ar trebui să se implice mai mult în diseminarea importantei datelor personale? Instituțiile publice, Autoritățile naționale de supraveghere sau ONG-urile din domeniul protecției datelor?

RC: Este un efort care ne privește pe toți. De obicei evit să comentez activitatea celor îndreptățiți să coordoneze această diseminare. Este treaba lor și pentru toată lumea e clar că s-a făcut prea puțin pentru asta. Acesta este motivul pentru care a apărut inițiativa GDPR Ready, din dorința de a suplini lipsa de informație și de a oferi operatorilor și procesatorilor de date personale informații concrete despre ce au de făcut. După o serie de 15 articole de fundamentare GDPR au urmat publicarea celor 3 Cataloage GDPR Ready, o premieră absolută nu numai pentru piața din România, evenimente și paneluri dedicate, un site special, un newsletter, un grup dedicat de discuții pe LinkedIn și, cel mai recent, studii și analize de piață privitoare la stadiul asimilării. Astea toate s-au făcut Pro Bono și în completarea activităților curente de consultanță, formare, business development și auditare internă. Mai sunt multe de făcut, nu ducem lipsă de proiecte, dar toate la vremea lor...