La ora actuală, cu mai puţin de patru luni înainte de intrarea în vigoare a noului regulament general de protecţie date (GDPR), nimeni nu ştie în România care este gradul de conformare al operatorilor de date personale cu prevederile noului regulament. La nivel european, însă, există deja studii de largă amploare, deoarece majoritatea ţărilor UE iau dispoziţiile europene în serios, iar aceste studii arată că sunt încă multe lucruri neînţelese vizavi de GDPR.
Gândirea strategică din spatele elaborării GDPR a fost aceea a trecerii de la socotirea chestiunilor legate de securitatea datelor ca pe o listă de subiecte de bifat la socotirea lor ca pe un cadru de operare prin care se construieşte o cultură a confidenţialităţii datelor procesate în cadrul întregii organizaţii. Practic, GDPR obligă organizaţiile să abordeze din altă perspectivă modul în care procesează date personale aflate în diverse locuri, cum ar fi bazele de date cu clienţi, de pildă.
Deoarece GDPR are legătură strânsă cu datele personale, cuvântul “date” indică adesea că problema ţine într-un fel doar de IT. În realitate, GDPR înseamnă o schimbare culturală a felului în care se procesează datele personale în întreaga organizaţie, adică de unde se obţin aceste date, cum sunt folosite, unde sunt stocate, către cine sunt ele transmise şi cum folosesc părţile terţe aceste date.
Pe cale de consecinţă, conformarea cu prevederile GDPR va însemna adesea un efort de echipă din partea diferitelor departamente ale organizaţiei. Echipele IT care au senzaţia că ţine doar de responsabilitatea lor să gestioneze chestiunile legate de GDPR ar trebui încă de pe acum să conştientizeze restul membrilor organizaţiei asupra regulamentului şi să le explice că prevederile acestuia nu cad exclusiv în sarcina IT-ului.
Din perspectivă IT, regulamentul nu este în mod clar doar o nouă instanţă în care departamentul IT investeşte în alte echipamente IT pentru a bifa o listă de cerinţe de conformitate cu GDPR, indiferent de ceea ce ar putea susţine unii vendori de echipamente în legătură cu achiziţia de echipamente IT conforme cu GDPR.
La ora actuală, multe organizaţii, indiferent de tipul lor, şi multe departamente din cadrul acelor organizaţii (cum ar fi resursele umane, IT-ul şi marketingul) apelează la consiliere privind măsurile pe care ar trebui să le ia ca să fie pregătite de GDPR. De exemplu, pentru entităţile din sectorul public este obligatoriu să aibă un ofiţer responsabil cu protecţia datelor. În acelaşi timp, însă, şi organizaţiilor care nu activează în sectorul public li s-ar putea cere să numească un asemenea ofiţer dacă, de exemplu, una din activităţile de bază ale firmei respective implică monitorizarea sistematică şi regulată a persoanelor fizice pe scară largă.
De aici încolo încep şi neînţelegerile. Dacă o organizaţie decide că are nevoie de un ofiţer responsabil cu protecţia datelor, acesta nu poate fi directorul IT. De ce? Interpretările legale ale regulamentului indică faptul că acest ofiţer nu se poate afla în conflict de interese. Ca atare, dacă ofiţerul ar fi directorul IT, cel care este responsabil, să zicem, de gestionarea datelor din perspectivă IT, atunci el nu poate fi responsabil şi de protecţia lor. Esenţialmente, poziţiile manageriale superioare şi chiar cele de nivel mediu, aşa cum sunt directorul IT, directorul de marketing sau directorul de operaţiuni nu pot deţine şi o poziţie de responsabilitate cu protecţia datelor, pentru că ar însemna să-şi semneze singuri propriile declaraţii de conformitate.
Un element interesant legat de GDPR este acela că protecţia datelor nu se referă doar la protecţie contra atacurilor informatice care ţintesc furtul de informaţii personale. De exemplu, în Marea Britanie costă acum circa 10 lire sterline ca o persoană fizică să îşi obţină datele personale conform legislaţiei în vigoare de protecţie date. Conform GDPR, o astfel de cerere va fi gratuită, cu unele excepţii de bun simţ, cum ar fi cererile repetate sau nefondate. Pe cale de consecinţă, organizaţiile trebuie să se aştepte ca tot mai multe persoane fizice să dorească o copie a datelor lor personale aflate în mediile de stocare ale organizaţiei, aici incluzând clienţi sau angajaţi actuali sau trecuţi. Limita de timp pentru a răspunde la astfel de cereri este de 30 de zile, însă dacă o organizaţie primeşte un volum masiv de cereri justificate la un moment dat, va fi ea pregătită să furnizeze datele personale cerute în termenul prevăzut de 30 de zile?
Un alt element interesant este acela că multe firme s-au arătat îngrijorate de ameninţările legate de amenzile usturătoare prevăzute de GDPR pentru neconformitate cu prevederile regulamentului, amenzi care pot merge până la 20 milioane de euro sau 4% din cifra de afaceri anuală a organizaţiei, în funcţie de care e mai mare. Numai că un alt motiv de îngrijorare este acela că, dacă apare o breşă de securitate care antrenează apariţia unui risc major pentru persoane fizice, aşa cum ar fi în cazul furtului de detalii legate de cardul de credit, organizaţia afectată trebuie să notifice persoanele respective asupra evenimentului.
Ei bine, ne putem imagina o astfel de cerinţă de notificare extinsă la nivelul unei întregi baze de date. Panica generată ar putea conduce la un aflux major de cereri din partea persoanelor fizice, efectul fiind acela că o parte din ele ar putea dori să se mute la o organizaţie concurentă. Iar pierderea unui număr mare de clienţi într-o perioadă scurtă de timp ar duce, mai mult ca sigur, la pierderi de reputaţie, venituri şi de altă natură pentru organizaţia respectivă. Toate acestea adăugându-se, evident, la amenzile date de autoritatea responsabilă.
Prevederile GDPR permit persoanelor fizice să depună o plângere la autoritatea competentă în cazul în care datele lor personale nu au fost procesate în conformitate cu GDPR, să depună plângere împotriva autorităţii dacă aceasta nu a luat măsuri corespunzătoare privind soluţionarea plângerii iniţiale şi să pretindă daune din partea organizaţiei care le-a provocat daune ca o consecinţă a neconformării cu prevederile GDPR. Iar astfel de situaţii ar putea duce la apariţia de multiple procese colective şi în Europa, după ce astfel de procese sunt des întâlnite în Statele Unite. O adevărată nebunie, chiar dacă o pâine albă de mâncat pentru avocaţi!
Luând în considerare toate cele de mai sus, nu e de mirare că situaţia legată de conformitatea cu prevederile GDPR nu este roză nicăieri în Europa. Din nefericire, ceasul ticăie şi data fatidică de 25 mai 2018 nu mai lasă mult timp la dispoziţie organizaţiilor ca să fie gata.