GDPR, între conformare slabă şi speranţa că „merge şi aşa”

gdpr header.jpg

Există trei tipuri de organizaţii în prezent, şi vorbesc strict din perspectiva GDPR: cele care au început să implementeze parţial regulamentul, cele care încă încearcă să digere ideea de corvoadă (deci nu au făcut încă nimic, dar intenţionează) şi cele care abordează situaţia cu „Las’ că merge şi aşa”. Am vorbit cu câţiva dintre cei mai buni experţi din piaţă despre starea de fapt, despre cum ar trebui să se conformeze utilizatorii şi mediul de afaceri la noua realitate. Avem şi câteva previziuni cu privire la GDPR în România.

În luna mai se împlineşte un an de când experienţa utilizatorului de Internet s-a schimbat semnificativ, odată cu apariţia GDPR. Majoritatea navigatorilor spun că schimbarea este în rău. Iată câteva efecte desprinse din comentariile acestora de pe diverse reţele sociale: consumul de media a scăzut, experienţa utilizatorilor a devenit extrem de frustrantă, primim aceeaşi cantitate de emailuri nerelevante sau junk şi avem mai puţin control asupra datelor personale decât aveam înainte. Noi am încercat chiar şi un sondaj – e adevărat, destul de empiric – pe Facebook, in care să aflăm opinia utilizatorilor: 9 din 10 spun că experienţa de navigare pe Internet a devenit mai greoaie odată cu GDPR. Ceea ce este trist, mai ales privind din perspectiva obiectivelor oneste ale regulamentului. 

elmer fudd gdpr.jpg

91% din utilizatori spun că navigarea pe Internet s-a îngreunat după apariţia GDPR

Sursa: Sondaj empiric, pe baza ratei de engagement Fb

Potrivit Oanei Leahu, Managing Partner la Proficient Advice, este greu de spus cât de conştient este utilizatorul simplu cu privire la importanţa datelor sale personale, la controlul asupra acestora. „Nu cred că acum au mai puţin control decât înainte. Doar că bătându-se multă monedă pe acest subiect, oamenii au senzaţia că sunt expuşi mai mult decât înainte. Cât priveşte e-mailurile junk, într-adevar numărul acestora nu s-a diminuat, ceea ce ne îndreptăţeşte să concluzionăm că deţinătorii de site-uri nu s-au conformat prevederilor GDPR”, crede Oana Leahu. Experienţa este sau poate deveni frustrantă întrucât majoritatea paginilor de media sunt acoperite de informaţiile referitoare la cookies, nedându-se posibilitatea utilizatorului să aleagă tipul de cookies pe care le acceptă. Iar în cazul în care nu le acceptă, nu mai poate naviga pe pagina respectivă. Deci şi consumul de media scade.

gdpr.jpg

Un raport recent al casei de avocatura DLA Piper arată că, în ultimele opt luni, au fost raportate peste 59.000 de încălcări ale regulamentului GDPR către reglementatorii din statele UE. Gravitatea notificărilor vizează acţiuni diverse, de la emailuri trimise incorect, până la încălcarea gravă a securităţii datelor cu caracter personal, precum cazul Airbus. Potrivit cercetării citate, România a raportat 260 de notificări de breşă GDPR în intervalul 25 mai 2018 – 28 ianuarie 2019. Spre comparaţie, în 2017, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a înregistrat 191 de sesizări, ceea ce înseamnă o creştere de aproximativ 30%, produsă după implementarea GDPR. Însă instituţia nu a anunţat nicio amendă sau rezultat notabil în ceea ce priveşte verificările. 

Conformitate legală vs. protecţia datelor

Potrivit Elenei Gabăr, Privacy Consultant, mediul corporate înţelege în acest moment că regulamentul este încă un proiect care trebuie implementat în marea de măsuri necesare pentru a fi conform cu cerinţele generale şi cu cele specifice domeniului. Aşa că nu este perceput ca ceva care le va schimba modul de lucru. Asta fiindcă multe dintre măsurile impuse de GDPR se regăsesc în principiile corporate de lucru. Şi aici intră inclusiv componenta de ştergere a datelor inutile care, în multe organizaţii, este făcută pe baza procedurilor implementate înainte de GDPR. Astfel că după apariţia GDPR sunt pur şi simplu verificate termenele de retenţie pentru a fi conforme. „Focusul este pe conformitatea legală, iar securitatea datelor este lăsată pe plan secundar. Chiar şi aşa, în corporaţii, spre deosebire de IMM-uri, nivelul de cunoştinţe pe componenta de securitate IT este crescut”, arată Elena Gabăr.

elena gabar.jpg

“Am întâlnit cazuri în care contabilul şi-a cumpărat un kit de implementare GDPR de pe net, după care l-a dat tuturor firmelor. Şi cam atât

Elena Gabăr, Privacy Consultant

Pentru segmentul de IMM-uri si startup-uri, implementarea GDPR este văzută tot ca o sarcină suplimentară, însă fără să fie înţeleasă corect şi partea pozitivă a implementarii corecte a unui plan de conformitate. „De cele mai multe ori, au apelat la ajutorul unui avocat pentru actualizarea contractelor şi atât, eventual a făcut fiecare cum a putut şi ştiut, plus un Registru al Procesărilor. Am întâlnit cazuri în care contabilul şi-a cumpărat un kit de implementare GDPR de pe net, după care l-a dat tuturor firmelor. Şi cam atât”, ne-a mai spus Elena.

A şti nu înseamnă a cunoaşte

În urma unui sondaj realizat de CNIPMMR şi publicat în vara anului trecut, aproape 80% din repondenţi (IMM-uri) au spus că deţin informaţii despre conţinutul GDPR, iar 35% declarau că s-au informat de pe site-urile naţionale. Tot la acel moment, peste 42% dintre IMM-urile respondente nu adoptaseră normele. Doar că specialiştii, dar şi practica utilizatorilor, ne arată că majoritatea celor care, teoretic, au implementat regulamentul au făcut-o cel puţin incomplet.

Printre cele mai mari probleme apărute la implementarea GDPR se numără nu doar creşterea  cheltuililor, ci şi lipsa unor proceduri standard pe care să le urmeze. Senzaţia noastră, ca specialişti implicaţi în acest domeniu, este că după efervescenţa din preajma datei de 25 mai 2018, când regulamentul a intrat în vigoare, conformarea fie nu s-a mai realizat deloc, fie este incomplet implementată”, arată Oana Leahu. La rândul ei, Elena Gabăr subliniază că, pentru o implementare de succes, echipa desemnată cu această sarcină trebuie să aibă specialişti care să acopere trei zone esenţiale: Juridic, IT şi Procese de Business.

Rolul specialistului IT este esenţial într-o implementare. Fără ajutorul lui nu poţi face o mapare reală a acţiunilor care au la bază procesarea de date cu caracter personal. Fără el nu ai: o evidenţă a transmiterii acestor date între diverse sisteme de suport IT, trasabilitate şi responsabilitate pentru datele utilizate în cadrul companiei, o analiză de risc corectă privind incidentele de securitate. Mai mult, nu poţi decide ce măsuri de securitate trebuie implementate”, arată consultantul. Iar handicapurile pe care le implică absenţa unui expert IT nu se opresc aici: fără el nu poţi clasifica un eveniment ca breşă de securitate şi nu-l poţi raporta corect, nu ai certitudinea că datele pierdute pot fi recuperate şi multe altele.

Ce urmează în România: controale, posibil amenzi

Potrivit Oanei Leahu, multe companii încă analizează oportunitatea contractării unor specialiști, inclusiv din considerente financiare, deși o amânare a procesului de conformare cu noua reglementare poate să fie destul de riscantă. „Momentan, cred că în mediul de business este o relaxare care se va transforma într-o agitaţie incontrolabilă, de tip Brownian, odată cu prima aplicare a unei sancţiuni în România”, spune reprezentanta Proficient Advice. Iar prima sancţiune este posibil să apară chiar în acest an. 

Elena Gabăr este de aceeaşi părere. „Cred că anul acesta o să avem primele întâlniri ale Autorităţii cu operatorii pentru verificarea implementării. Cel mai probabil, aceste controale vor porni de la sesizările persoanelor fizice şi vom vedea exact care sunt zonele cu o implementare precară”, spune consultantul. Aceasta este de părere că potenţialele dificultăţi vor fi pe componenta de IT şi de temei legal pentru procesare. Se va dezbate dacă activităţile de acest tip au fost făcute în baza interesului legitim, dacă în prealabil au fost realizate teste şi analize de risc specifice. De asemenea, se va verifica dacă procesarea datelor s-a făcut în baza consimţământului explicit al persoanei vizate.