Expert IT — June 26, 2017 at 5:35 am

Un acronim pentru reguli de joc fundamental schimbate

by

gdprGDPR. Acesta este acronimul care defineşte o schimbare fundamentală ce va deveni obligatorie pentru întreg mediul de afaceri european din luna mai a anului viitor. Iar companiile au obligaţia să se conformeze acestori noi reguli, altfel consecinţele pot fi devastatoare.

Ce înseamnă GDPR? Înseamnă acronimul pentru Regulamentul privind Protecţia Datelor cu Caracter Personal adoptat la nivelul întregii Uniuni Europene. Regulamentul are caracter obligatoriu și se aplică direct în Statele Membre, fără ca acesta să treacă prin procesul de transpunere în legislația națională. În termeni de conformitate şi efecte, data de la care noile reguli vor începe să aplice este 25 mai 2018. Altfel, companiile riscă amenzi de la 10.000 euro și până la 4% din cifra de afaceri. În plus, alături de Regulament a fost adoptată și o Directivă privind prelucrarea datelor cu caracter personal de către autorități în scopul urmăririi penale a infracțiunilor și a executării pedepselor. Statele Membre au termen până la 6 mai 2018 să implementeze directiva în legislația națională.

,,GDPR va înlocui legile de protecţie date din fiecare ţară membră UE,” spune Bogdan Vigaru, Security Business Development Manager în cadrul Asseco SEE. ,,Asta înseamnă schimbarea regulilor privitoare la confidenţialitatea datelor personale şi nevoia organizaţiilor care prelucrează informaţii legate de persoane fizice de a se adapta la ele. Pentru noi, ca furnizor de soluţii de securitate pe piaţa locală, noul regulament înseamnă simultan o oportunitate de afaceri şi o provocare pentru aducerea clienţilor noştri în stare de conformare cu cerinţele legale.”

Una din modificările esenţiale induse de GDPR este aceea că noul regulament va întări drepturile persoanelor de a deţine controlul asupra propriilor date. Iar unul din cele mai semnificative exemple în acest sens este un drept nou care a fost acordat indivizilor, acela la portabilitatea datelor. În esenţă, acest drept spune că o persoană fizică are dreptul de a-şi transfera datele personale de la o organizaţie la alta, de unde şi termenul de portabilitate. Aceste date personale trebuie furnizate persoanei respective într-un format structurat, de uz comun şi prelucrabil de către computere.

,,Pentru firme, impactul acestei reguli s-ar putea extinde. Ce înseamnă din punct de vedere comercial cerinţa unui client de a-i furniza o copie a datelor lui personale pentru a fi transferate competitorului? În plus, există şi o provocare din punct de vedere tehnic: Va fi compania respectivă capabilă să furnizeze o copie a tuturor datelor personale ale clienţilor şi vor putea sistemele existente să gestioneze astfel de cerinţe la scară mare?”, atrage atentia Bogdan Vigaru.

Fiecare organizaţie care procesează date personale trebuie să se asigure că aceste date sunt protejate în mod adecvat împotriva pierderilor, furtului, accesului neautorizat etc. Acest element este atât de important încât GDPR include o regulă de notificare privind atacurile la adresa datelor personale. Conform regulii, atunci când apare un astfel de atac, el trebuie raportat la autoritatea supervizoare în termen de 72 de ore. Iar dacă atacul poate genera riscuri mari de încălcare a confidenţialităţii pentru persoana fizică, atunci aceasta trebuie şi ea informată despre atac.

BogdanVigaru,,Unul din aspectele pozitive ale noului regulament este acela că legiuitorul european s-a ţinut de cuvânt în sensul eliminării birocraţiei, deoarece dispare obligaţia de a notifica autorităţile locale în privinţa datelor personale procesate,” adaugă Bogdan Vigaru. ,,Această obligaţie a fost socotită de foarte mulţi ca o regulă dificilă şi mai degrabă birocratică, care a generat o povară grea mai ales pentru organizaţiile cu operaţiuni la nivel internaţional. În locul ei apare această regulă de menţinere a unui inventar al tuturor datelor personale procesate.”

GDPR include o regulă privitoare la protecţia datelor prin designul implicit al arhitecturilor de sistem. Asta înseamnă, în esenţă, două lucruri. În primul rând, devine obligatoriu ca la proiectarea unui nou sistem, proces, sau serviciu de procesare date să fie luate în calcul elementele de protecţie date încă din primele etape ale proiectării. În plus, organizaţiile trebuie să fie capabile să demonstreze că au respectat acest imperativ. În al doilea rând, atunci când sistemul, procesul sau serviciul care va fi proiectat va include opţiuni pentru persoanele fizice privind alegerea volumelor de date personale care pot fi diseminate terţelor părţi, setarea implicită va fi aceea de confidenţialitate maximă, adică aceea care restricţionează diseminarea oricărei informaţii.

,,Există multe alte reguli la fel de importante în cadrul regulamentului. De exemplu, regula teritorială spune că GDPR se aplică şi organizaţiilor care nu îşi au sediul în interiorul UE. Dreptul la uitare spune că orice organizaţie care procesează date personale trebuie să şteargă toate acele date dacă este întrunită cel puţin una din cele şase condiţii înscrise într-o listă specială. Evaluarea impactului asupra protecţiei datelor, o regulă nouă, înseamnă un mijloc de identificare riscuri la adresa drepturilor la confidenţialitatea datelor personale atunci când acestea sunt procesate. În ceea ce priveşte sancţiunile pentru nerespectarea regulilor descrise în GDPR, acestea sunt clare şi, aş zice eu, extrem de severe,” încheie Bogdan Vigaru. ,,Amenzile de ordinul zecilor de mii de euro sau chiar al milioanelor nu sunt uşor digerabile de oricine. De aceea, Asseco SEE pune un mare accent în această perioadă pe prevenţie şi conştientizarea tuturor clienţilor noştri asupra impactului acestui nou regulament. Ne dorim cu adevărat ca anii care vin să fie ani în care România să aibă cât mai puţine cazuri de aplicare sancţiuni pentru încălcarea acestor prevederi deoarece, în ultimă instanţă, dincolo de imaginea potenţial negativă, astfel de sancţiuni generează şi un impact economic asupra mediului de afaceri în care activăm.”