Grupul editorial Universul Juridic

oordonator Marius Dumitrescu

Președinte, Asociația Specialiștilor in Confidențialitate și Protecția Datelor (ASCPD)

Dupa trei ani GDPR nu este inca ințeles și respectat de majoritatea operatorilor romani, inclusiv de autoritați

Ne indreptam spre a patra aniversare a datei de 25 mai, ca punct de plecare in aplicarea prevederilor Regulamentului (UE) 2016/679 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice in ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, norma legislativa europeana care s-a impus in memoria colectiva ca fiind cea care prevede aplicarea unor amenzi neegalate de nicio alta lege, la nivel mondial, in special din cauza faptului ca unul dintre reperele in stabilirea cuantumului acestora este reprezentat de un procent din cifra de afaceri la nivel mondial a operatorului sancționat.

Regulamentul (UE) 2016/679, cunoscut de noi toți sub numele de GDPR, a intrat in vigoare in 2016, in urma cu mai bine de cinci ani, dar se aplica doar din 25 mai 2018, dupa o perioada de grație de doi ani, pe care majoritatea țarilor europene, inclusiv Romania, nu au folosit-o pentru a lansa campanii de educație pentru persoanele vizate și operatori.

In Romania GDPR a intrat brusc in viața noastra printr-un bombardament al consimțamintelor, lansat de operatori și imputerniciții acestora din dorința de a obține rapid conformitatea cu aceste noi reglementari legislative. Din pacate, chiar și astazi exista operatori romani care folosesc, de exemplu, consimțamantul ca baza legala pentru prelucrarea datelor de sanatate ale persoanelor internate intr-un spital, de unde deduc faptul ca responsabilul cu protecția datelor cu caracter personal nu și-a caștigat inca locul pe care il merita in organizație și recomandarile sale inca nu sunt luate in considerare, deoarece prelucrarea datelor in sistemul sanitar este reglementata specific și nu este necesara obținerea unui alt consimțamant pentru prelucrarea datelor personale.

In luna mai 2018 se estima ca 20% dintre operatorii europeni incepusera un program pentru obținerea conformitații GDPR. Acest procent a crescut valoric in mod semnificativ in ultimii trei ani, fiind estimat astazi la peste 60%, dar, in același timp, ingrijoreaza din ce in ce mai mult calitatea conformitații obținute la nivel european. Conform studiilor facute de specialiști, in 2019 au fost deja create primele 500.000 de roluri de DPO, fara a fi modificate organigramele și fara a fi asigurate și garantate resursele necesare pentru ca un DPO sa iși poata indeplini cu succes acest rol. Consider ca operatorii de date cu caracter personal trebuie sa nu mai caute soluții de forma, de fațada și sa ințeleaga ca aceasta mult dorita conformitate GDPR nu se realizeaza prin apasarea butonului print și ca oricine alege aceasta cale ramane la fel de expus riscurilor ca oricare alt operator care decide sa ignore GDPR.

In ultimii trei ani strategia de marketing și vanzari a multor companii de consultanța GDPR s-a bazat pe „crearea panicii”, folosind marketingul inșelator, care accentua, in primul rand, dimensiunea astronomica a amenzilor, in loc sa promoveze nevoia de instruire a personalului. Platim in continuare pentru campaniile de marketing din acești trei ani care au vandut conformitatea „de fațada”, fara a include serviciile specializate ale unui responsabil cu protecția datelor.

Sper ca intr-un final vom ințelege ca in tot acest GDPR este vorba despre oameni, sau mai bine spus despre noi! Nu este vorba despre cresterea birocratiei si despre proceduri sufocante. Este vorba despre respectul pe care trebuie sa il acordam si sa il obtinem unii de la ceilalti, respect de care am uitat, in principal, datorita avantajelor obținute prin utilizarea tehnologiilor bazate pe tranzacționarea datelor cu caracter personal și a informațiilor confidențiale.

In afacerea mea, ca angajator, influențez direct și decid modalitațile prin care sunt procesate datele cu caracter personal. Dar, ca persoana fizica, atunci cand navighez pe internet, cand merg pe strada, la un supermarket sau ma cazez la un hotel, am așteptarea naturala de a cunoaște cine, de ce și ce date personale sunt prelucrate in ceea ce ma privește. Chiar și dupa acești trei ani, acest lucru nu se intampla aproape niciodata și am incetat sa mai cred ca ceva poate fi gratuit, dandu-mi seama ca in aceste situații platesc, de fapt, cu datele mele personale, care au devenit o moneda de schimb foarte valoroasa.

Din punct de vedere personal, cea mai mare provocare pentru companii in procesul de obținere și menținere a conformitații GDPR ramane lipsa unei culturi generale a responsabilitații in randul angajaților asupra confidențialitații datelor. Aceasta deficiența poate fi substanțial corectata prin programe de instruire cu privire la importanța protecției datelor, in conformitate cu practicile generale și politicile specifice activitații companiei. Responsabilizarea angajaților din perspectiva protecției datelor cu caracter personal va adauga valoare companiei. Un angajat conștient și informat este un angajat vigilent care acționeaza responsabil, riscurile specifice erorii umane se diminueaza semnificativ, in timp ce eficiența muncii crește. Mai mult, identificarea rapida a posibilelor breșe de securitate și respectarea procedurilor de raspuns la incidente vor reduce la minimum pierderile reputaționale și financiare ale companiei.

Persoana vizata a ramas cea mai mare provocare pentru intreg domeniul protecției datelor din Romania, deoarece, din cauza lipsei educației populației in acest domeniu al protecției datelor, Autoritatea de Supraveghere și intreg corpul profesional de specialiști se confrunta cu solicitari nejustificate și insuficient documentate privind ștergeri selective sau rectificari neintemeiate ale datelor personale. Cu siguranța, aceste solicitari nu sunt soluționate intotdeauna in favoarea persoanei vizate, existand mai multe reglementari specifice in ceea ce privește termenul de retenție și posibilitațile de restricționare și condiționare a accesului la date.

Gardianul modului in care sunt respectate confidențialitatea și mecanismele de protecție a datelor cu caracter personal ramane responsabilul cu protecția datelor cu caracter personal (DPO), aceasta profesie „tanara”, care probabil se confrunta cu una dintre cele mai mari provocari profesionale, datorita caracterului general al Regulamentului (UE) 2016/679 și a lipsei unor repere unitare pentru interpretarea și punerea sa in aplicare.

Modul in care aceasta noua funcție de DPO a fost tradusa in limba romana, inlocuind termenul de „ofițer” cu „responsabil”, este o eroare cu efecte pe termen lung, deoarece induce greșit ideea ca responsabilitatea sta pe umerii acestei persoane, facand sa fie și mai greu de conștientizat faptul ca responsabilitatea conformitații este in permanența a managementului operatorului și ca rolul responsabilului cu protecția datelor este de a susține și de a monitoriza acest proces și nu raspunde efectiv de implementare sau de consecințele neimplementarii GDPR in entitate.

Daca ne oprim asupra obligațiilor operatorilor publici din Romania de a desemna un responsabil cu protecția datelor, conform datelor furnizate de Autoritatea de Supraveghere, constatam ca doar o parte din aceste instituții publice și-au notificat decizia de numire a unui DPO, aproximativ 2000 de notificari fiind inregistrare din partea acestora, restul aparținand operatorilor din domeniul privat. Daca luam in considerare ca in Romania avem aproximativ 20.000 de instituții publice, reiese un grad de conformare de doar 10% in privința respectarii obligațiilor conform art. 37-39 din Regulament, restul de 90% alegand asumat sa nu duca la indeplinire aceasta obligație legala.

In ultimul an, societatea in care traim s-a schimbat, fiind supusa unuia dintre cele mai dificile teste de stres. Frica este cea care a forțat societatea noastra sa se adapteze și sa se maturizeze forțat, facand, in primul rand, un mare salt spre digitalizare. Astazi vorbim mai mult ca oricand despre telemunca, telemedicina, tele-educație și, mai ales, despre știri false. Mediul de afaceri romanesc a resimțit pe deplin efectele acestei pandemii. Unele companii și-au suspendat in totalitate activitațile, in timp ce altele au implementat noi procese de lucru la distanța pentru angajați, ținand cont de regulile de izolare. Prioritatea a fost restabilirea cat mai rapida a activitații companiilor și instituțiilor publice și, in acest context, au existat compromisuri privind protecția datelor, compromisuri care vor trebui rezolvate pe masura ce situația se indreapta spre o noua normalitate.

Putem spune ca pandemia a acționat ca un accelerator pentru deciziile de adoptare și utilizare a noilor tehnologii, deoarece, in doar cateva luni, a devenit clar ca digitalizarea nu mai este opționala, ci este absolut necesara pentru supraviețuirea companiilor și pentru continuitatea serviciilor publice furnizate de autoritați. Aceasta situație a facut ca multe proiecte sa fie lansate in regim de urgența, deși, in mod normal, ar necesita ani de analiza și planificare și a fost practic imposibil sa fie luate in considerare toate efectele „secundare”.

In urma recomandarilor autoritaților romane, mai multe companii au decis sa accepte, de la o zi la alta, ca angajații sa lucreze de acasa. Din punct de vedere legal, am fost pregatiți, legislația romana are prevederi clare in ceea ce privește telemunca/munca la domiciliu și majoritatea companiilor au semnat acum cu fiecare angajat doar o anexa la contractul de munca, pentru a indeplini aceasta formalitate birocratica. Foarte puține companii au investit in securitatea echipamentelor și canalelor de comunicații, alegand adesea soluțiile cele mai rapide și mai ieftine și folosind deseori echipamentele de calcul și de comunicare personale ale angajaților.

Trebuie sa ne dam seama ca toata aceasta digitalizare in regim de urgența vine la pachet cu asumarea riscurilor de catre operatori. Cu toate acestea, urgența nu inseamna renunțarea la precauții și analize prealabile. Chiar și cu timp și resurse limitate, se pot lua masuri pentru a reduce riscul prin identificarea proceselor a caror digitalizare are impact maxim asupra funcționarii companiei și alocarea cu prioritate a resurselor de analiza și control al riscurilor.

Derapajele operatorilor de la respectarea principiilor GDPR au devenit o normalitate pe care persoanele vizate le accepta și le trec cu vederea in speranța ca nu se vor repeta. Cu toate acestea, valorile amenzilor aplicate de Autoritațile de Supraveghere europene sunt in creștere, ajungand sa depașeasca 170 milioane euro in 2020, dublu atat ca numar de amenzi, cat și valoric, fața de anul anterior.

In ultimii ani, de cand a fost recunoscuta oficial pandemia COVID-19, s-a vorbit mai mult despre GDPR decat in intreaga perioada de la intrarea in vigoare a Regulamentului (UE) 2016/679 și este trist ca a fost necesar acest virus pentru a oferi domeniului protecției datelor cu caracter personal atenția pe care o merita cu adevarat. Numarul crescut de incidente de securitate, de multe ori prin campanii de phishing, infectand mii de computere, se datoreaza naivitații utilizatorilor care citesc acum orice e-mail legat de acest Coronavirus. Din pacate, multe afaceri au suferit și, mai mult decat efectele crizei sanitare ale acestei pandemii, sunt ingrijorat de valul de recesiune economica pe care estimez ca o vom parcurge in urmatoarele luni și care va pune, din pacate, protecția datelor cu caracter personal intr-un con de umbra.