Astazi a inceput Web Summit, o conferință despre tehnologie, organizată anual la Lisabona, considerată cel mai mare eveniment tehnologic din lume. Conferinta se desfasoara cu "casa inchisa", organizatorii anuntand un numar record de 70,469 de participanti din 163 de tari.

Prima impresie

Orice eveniment de o asemenea amploare are de rezolvat o problema cheie: inregistrarea participantilor. Desi pare un cosmar logistic, organizatorii au reusit sa ne impresioneze din momentul in care am coborat din avion, in aeroport fiind instalat un punct de inregistrare a participantilor. Inregistrarea s-a realizat in baza unui cod QR, primit anterior pe mail, si prin confirmarea identitatii, un ecuson cu codul de bare fiind printat si oferit participantului impreuna cu o bratara (double check). Intrarea la eveniment se realizeaza prin scanarea codului QR, adica aproape instant.

Edward Snowden: „Problema nu este protecția datelor. Problema este colectarea datelor”.

Punctul culminant al primei zile a fost cu certitudine dialogul purtat intre jurnalistul de investigație, câștigător al premiului Pulitzer, James Ball si Edward Snowden, cel mai celebru denuntator din lume. Daca nu stiati,  Snowden este omul care a riscat totul pentru a expune sistemul Guvernului American de supraveghere în masă. Acest lucru l-a transformat in principala tinta a Guvernului American in ultimii ani, ajungand astfel sa se refugieze in Rusia, care i-a acordat azil si de unde continua sa inspire milioane de oameni. Neputand fi prezent la acest eveniment, din motive lesne de inteles, acesta a fost prezent prin intermediul a doua ecrane imense montate pe scena principala. Asa cum era de asteptat, principalele teme de discutie au vizat incalcarile vieti private de catre gigantii IT sau de catre guverne, astfel ca Regulamentul General de Protectie a Datelor (GDPR) s-a bucurat de o atentie deosebita. Iata cateva dintre cele mai interesante replici:

Cum arată o versiune mai bună a internetului si ce presupune acesta? Noi vorbim din interiorul UE în care se aplică GDPR ...

Aceasta este o legislație bună, în ceea ce privește efortul pe care încearcă să-l depună. Este GDPR-ul o soluția corectă? Cred că NU și cred că greșeala pe care o face se gaseste de fapt chiar în numele acestuia: Regulamentul General privind Protecția Datelor. (...) Problema nu este protecția datelor. Problema este colectarea datelor. Reglementarea protecției datelor presupune că, în primul rând, colectarea de date a fost adecvată si că nu reprezintă o amenințare sau un pericol. Aș spune că dacă am învățat ceva din 2013, este că până la urmă totul sa afla.

Una din noutatile introduse de GDPR sunt aceste amenzi mari, care pot ajunge la 4% cifra de afaceri. Există  giganți tehnologici pe care ți-ar plăcea să-i vezi confruntandu-se cu astfel de sanctiuni?

Sunt de parere că este un prim efort bun. Este inca la un nivel incipient dar s-a reusit ridicarea acestei stachete și acest lucru este extrem de important. Aceasta nu este totusi soluție optima. Chiar dacă GDPR-ul propune amenzi de 4% din  veniturile globale pentru gigantii IT, astăzi acele amenzi nu există. Și până când nu vedem că aceste amenzi sunt aplicate gigantilor IT, în fiecare an, până când își reformează comportamentul și încep să respecte nu doar litera, ci si spiritul legii, lururile nu se vor schimba. Și mai cred că ne oferă un fals sentiment de asigurare, deoarece acesti giganti IT care reprezinta in prezent cel mai mare pericol, sunt si companiil cu cei mai mulți avocați si care sunt capabili să submineze cel mai eficient sensul acestei legi.

(...) Legea nu este singurul lucru care te poate proteja. Tehnologia nu este singurul lucru care te poate proteja. Suntem singurul lucru care ne poate proteja și singurul mod de a proteja pe oricine este să îi protejăm pe toți!

4 November 2019; Edward Snowden, President, Freedom of the Press Foundation, on Centre Stage during the opening night of Web Summit 2019 at the Altice Arena in Lisbon, Portugal. Photo by Piaras Ó Mídheach/Web Summit via Sportsfile

5G aduce puterea de calcul a cloud-ului la inemana utilizatorului

Tot astazi, Guo Ping, CEO-ul rotativ al Huawei, gigantul tehnologic intens macinat de acuzatiile lansate de Guvernul American si care s-au propagat cu repeziciune si in Europa, a urcat pe scena, prezentand avantajele implemetarii tehnologiei 5G. Viitorul arata super bine in prezentarea postata pe cele doua ecrane imense, insa nu ne-am putut lasa impresionati avand in vedere si ca  Comisia Europeana a emis un Raport privind evaluarea coordonată la nivelul UE a riscurilor în materie de securitate a rețelelor 5G.

"Subiectul meu este 5G + X. Creăm o nouă eră inteligentă. Acest X poate fi AI, big data sau VR, printre alte tehnologii. După cum știți, abia acum a început implementarea 5G. Aplicații AI pentru o serie de industrii. sunt încă la începutul lor. Cred că în viitor 5G + X va crea nenumărate oportunități pentru antreprenori.

În 1875, stațiile de tren din Paris Nord au început să utilizeze linii electrice. În 1879, o centrală din San Francisco a început să vândă energie electrică. Acestea au fost schimbări istorice. Mai târziu în secolul XX, electricitatea crește semnificativ productivitatea în toate industriile. Umanitatea a intrat în era electrică. La fel cum s-a început cu iluminarea electrică, 3G și 4G au rezolvat problema conectării oamenilor. (...) În prezent, patruzeci de provideri din peste 20 de țări folosesc rețele 5G. Anticipam ca până la sfârșitul acestui an, vom vedea 60 de provideri 5G. Noua experiență, oferită de 5G este bine primită de consumatori. Sa luăm Coreea de Sud de exemplu: 1 milion de utilizatori s-au înscris pentru servicile 5G în primele 69 de zile. Când a fost lansat 4G, a fost nevoie de 150 de zile pentru a acumula la fel de mulți utilizatori. Utilizatorul mediu de 5G consumă de trei ori mai multe date decât un utilizator 4G. 5G poate atinge viteze de până la 20 de gigabiti pe secundă. Poate suporta 1 milion de conexiuni pe kilometru pătrat. 5G poate asigura o experiență superioară pentru Internet of Things. Sunteți familiarizați cu conceptele de cloud și AI. 5G a redus distanța dintre dispozitive și cloud, punând puterea de calcul a cloud-ului direct în buzunarul utilizatorului. "(Guo Ping, CEO-ul rotativ al Huawei)

4 November 2019; Guo Ping, Rotating Chairman, Huawei. on Centre Stage during the opening night of Web Summit 2019 at the Altice Arena in Lisbon, Portugal. Photo by David Fitzgerald/Web Summit via Sportsfile

Echipa dpo-NET va continua să transmită zilnic informații de la acest eveniment, concentrându-se pe subiecte precum confidențialitatea și protecția datelor.

Alexandra Jivan (CIPP/E) are o experiență profesională de peste 11 ani, oferind consultanță și reprezentare juridică, atât startup-urilor, precum și companiilor multinaționale. În 2018, a fost inițiatorul proiectului GDPRO, cea mai mare platformă online românească care oferă seturi de documente adaptate pentru mai mult de 35 de domenii de practică diferite, concepute pentru IMM-uri și ONG-uri (www.protectia‐datelor‐imm.ro). Din 2020, este unul dintre membrii fondatori ai proiectului Timișoara Legal Hackers.

Este și unul din moderatorii Workshop-ulului dpo.Tools organizat de Portalul dpo-NET.ro - Data Protection Officers Network, în data de 23 și 24 Martie 2020, în parteneriat cu Wolters Kluwer România, NeoPrivacy România, SAMSUNG, Inperspective, Reimens si IJV& Partners Law Firm și care abordează o tema de mare interes, "Mobilitatea, o provocare pentru aplicarea GDPR”, analizând intr-un mod pragmatic avantajele si riscurile privind securitatea informatiilor si a datelor personale in contextul utilizarii din ce in ce mai mult a tehnologiei mobile pentru a comunica. Alexandra Jivan a acceptat să ofere un interviu în exclusivitate pentru cititorii dpo-NET.ro, reușind să ne trezească interesul tuturor pentru un subiect atât de important pentru orice compananie care își propune să adopte și să implementeze principiile GDPR: implicarea, motivarea și responsabilizarea angajaților. 

În cadrul workshop-ului dpo.Tools organizat în data de 23 și 24 Martie 2020 în parteneriat cu SAMSUNG ROMÂNIA, având titlul “MOBILITATEA, O PROVOCARE PENTRU APLICAREA GDPR”, ne vei vorbi despre reglementarea responsabilităților angajaților cu privire la utilizarea tehnologiei mobile pe dispozitive personale și pe cele ale angajatorilor. Ce te-a atras la această temă?

Atunci când am primit invitația de a fi speaker la acest eveniment, am acceptat cu mare bucurie, unul dintre motivele care au stat la baza deciziei mele fiind chiar tema generală a workshop-ului: mobilitatea în contextul GDPR. În ziua de astăzi nu mai putem vorbi despre un business fără dispozitivrlr de comunicare mobile. Mai mult, punerea la dispoziția angajatului a unui telefon sau laptop de serviciu nu mai reprezintă de mult un bonus care să facă diferența între angajatori. S-a trecut chiar la pasul următor, acela în care utilizarea device-urilor personale în interes de serviciu (BYOD - Bring Your Own Device) e tot mai des întâlnită.

Normalitatea este deci utilizarea tehnologiei mobile, cu toate consecințele firești ale acestui fapt, fie ele bune sau mai puțin bune.

La ce consecințe te referi?

Fără a dezvolta toate situațiile de fapt cu care m-am confruntat de-a lungul activității, despre care voi vorbi însă pe larg la workshop, este important să conștientizăm că folosirea tehnologiei mobile (a telefonului mobil spre exemplu) de către un angajat poate fi de un real folos societății deoarece va facilita modul în care își desfășoară acel salariat activitatea, însă va genera totodată și un risc din perspectiva securității datelor. Fotografierea unui baze de date cuprinzând datele de contact ale clienților societății sau alte angajaților acesteia, folosirea acelor date în alt scop decât cel asumat de societate, permiterea accesării bazei de date a societății de pe un laptop privat virusat ce afectează ulterior întregul sistem al angajatorului, sunt exemple simple de consecințe grave cu care orice societate se poate confrunta.

Dacă vom analiza rapoartele ANSPDCP (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal) din ultima vreme, vom putea constata că există societăți care au fost deja obligate la plata de amenzi pentru neluarea de măsuri tehnice și organizatorice adecvate în vederea evitării unor situații de tipul celor amintite anterior.

Ce înseamnă “măsuri tehnice și organizatorice adecvate”?

GDPR oferă câteva exemple de măsurile tehnice şi organizatorice considerate a fi adecvate, precum şi anumite linii directoare pe care entităţile implicate în prelucrarea datelor cu caracter personal le pot urma atunci când implementează măsurile interne. Regulamentul nu prevede însă o definiţie concretă sau o listă clară a măsurilor adecvate, întrucât un astfel de demers ar fi unul extrem de laborios, dacă nu chiar imposibil, raportat la multitudinea particularităţilor fiecăreia dintre situaţii. În consecinţă, efortul determinării măsurilor potrivite pentru fiecare caz trebuie asumat de entităţilor care prelucrează datele cu caracter personal, respectiv de societăți.

Raportat la tema workshop-ului firește că este important să amintesc dintre măsurile orgaznizatorice ce ar trebui avute în vedere, cel puțin următoarele: obligația de confidențialitate a angajaților (ce trebuie clar reglementată printr-un act adițional la contractul de muncă și asumată în deplină cunoștință de cauză de către aceștia); training-ul adecvat în urma căruia salariații să înțeleagă importanța securității datelor prelucrate și a rolului lor în acest context; implementarea de politici interne cum e cea de HR, în care să se reglementeze modul în care se folosesc echipamentele mobile, condițiile ce trebuie îndeplinite pentru a se putea folosi un echipament personal în interes de serviciu, sancțiunile ce pot fi aplicate în cazul nerespectării acestei politici ș.a.m.d.

Există deci metode prin care angajatorii se pot asigura că nu vor exista incidente de securitate a datelor ca urmare a folosirii technologiei mobile de către salariați?

Cu siguranță că există, însă acestea nu se pot rezuma strict la documentația despre care vă vorbeam. În opinia mea, o implementare corectă și completă de GDPR se face doar prin colaborarea departamentului juridic cu cel tehnic. Așadar, vom avea spre exemplu politici interne care să reglementeze modul în care se vor utiliza laptop-urile private în interes de serviciu (folosirea parolelor, existența unui antivirus valabil, aplicare de sancțiuni etc.) însă va trebui să ne putem baza și pe niște sisteme IT/aplicații care să se asigure că în practică aceste demersuri sunt și duse la îndeplinire. Fiind avocat de consultanță în domeniul de business, convingerea mea este aceea că prevenția e mai bună decât încercarea reparării situației. Țelul principal al oricărei societăți ar trebui să fie acela de a împiedica producerea unui data breach, nu de a avea împotriva cui să se întoarcă pentru recuperarea daunelor suferite...deși firește că și această plasă de siguranță trebuie construită.

În contextul unei breșe de securitate, operatorul este responsabil conform Regulamentului UE 2016/679. Ce modalități există pentru ca operatorul să atragă răspunderea pentru greșeala unui angajat, în situația în care există proceduri și instrucțiuni de lucru? Se schimbă situația dacă operatorul nu a prelucrat corespunzător aceste proceduri si instructiuni către proprii angajați?

Atunci când un angajat nu își respectă obligațiile asumate în contextul relațiilor de muncă, sancțiunile sunt cele prevăzute de Codul Muncii și pot varia de la avertisment, la reducerea salariului pe o anumită perioadă de timp și până la concediere. Dacă societatea a suferit un prejudiciu, firește că există posibilitatea solicitării de despăgubiri de la persoana culpabilă, respectiv de la angajatul care a generat acel incident de securitate. Pentru a putea susține însă faptul că neîndeplinirea obligațiilor de către un anumit angajat a dus la respectivul incident și este deci răspunzător de acesta, este în primul rând necesar ca acelui angajat să îi fie clare obligațiile avute și consecințele nerespectării lor.

Vorbim astfel despre utilitatea existenței unor prevederi în cuprinsul regulamentului intern care să includă anumite fapte în categoria abaterilor disciplinare sau a abaterilor disciplinare grave și care să prevadă sancțiunile aferente acelor fapte, dar și despre importanța ridicată a procedurilor interne cu rol în reglementarea modului de desfășurare a activităților angajatului. Dacă aceste proceduri există, trebuie discutate cu reprezentanții salariaților/sindicatele (acolo unde acestea s-au constituit) și ulterior implementate. Prin “implementare” mă refer la aducerea lor la cunoștința angajaților, explicarea lor, efectuarea de traininguri interne, audituri periodice și orice alte demersuri care sprijină intenția angajatorului de evitare a breșelor de securitate ca urmare a activității salariaților.

În situația în care astfel de proceduri nu au fost stabilite la nivelul societății, sau au fost stabilite dar nu și aduse la cunoștința angajaților, scopul final al angajatorului de asigurare a securității datelor poate fi cu greu atins. Mai mult, salariații se pot prevala de acest lucru în cazul unui litigiu referitor la răspunderea lor, susținând că nu știau de respectivele proceduri. Înspre cine va înclina balanța rămâne de văzut în funcție de fiecare situație concretă, însă cu certitudine o atitudine diligentă din partea angajatorului prin crearea și implementarea efectivă și corectă a unor proceduri interne, nu poate decât să vină în sprijinul acestuia.

Asociația pentru Tehnlogie și Internet – APTI împreună cu Centrul pentru Inovare Publică și Centrul pentru Jurnalism Independent organizează în data de 11 martie, între orele 10-14, un eveniment care își propune să analizeze modul de prelucrare a datelor personale în contextul electoral din România.

• Ce se întâmplă în lume cu datele personale în context politic și ce se poate face cu ele?
• Cât ne interesează, cât ne doare si cat ar trebui sa ne pese?
• Ce este legal și ce este neetic?
• De unde putem să găsim sau să explorăm mai multe informații când se încinge lupta politica pentru voturi?
• Ce se întâmplă pe Facebook în public și în spatele ușilor?

Evenimentul "Vin alegerile! Ce facem cu datele personale?" își propune să ofere unele răspunsuri la aceste întrebări. Organizatorii invită să participe la dezbatere categorii diverse de public: jurnaliști, studenți la jurnalism, alți comunicatori publici.

Prezentările propuse:

• “Political Data Exploitation - from Cambridge Analytica to recent elections around the world. Trying to find out more”: Ailidh Callander, Legal Officer, Privacy International
• “ Who targets me - crowdsourced global database of political adverts placed on social media”: Sam Jeffers, Who Targets Me (via Skype)
• “Platformele de reclame politice de la Google si Facebook - ce se vede, ce nu se vede și după ce date putem săpa prin API”: Alexandra Ștefănescu, Tech Officer, Code4Romania
• “Monitorizarea Facebook la alegerile prezidențiale din noiembrie 2019”: Ana Maria Luca, Global Focus Center

Workshop-ul va fi moderat de Ovidiu Voicu (Centrul pentru Inovare Publică - CIP).

Persoanele interesate sunt rugate să confirme participarea prin email la adresa contact@cji.ro.