Sari la continut

Un singur om poate să schimbe cu mintea lui o țară

De trei ani, peste 300 de contributori își scriu ideile pe această platformă, construiesc împreună cu noi o comunitate, un spațiu al celor care știu că România poate să arate altfel. Te invităm să scrii și tu!

Protectia datelor: Ce fac cu maldărul de documente din subsol? Dar cu hârtiile de prin sertare de care nu mai știe nimeni?

Noul Regulament cu privire la Protecția Datelor cu Caracter Personal, valabil din 2018

Regulamentul general privind protecția datelor: Ce fac cu maldărul de documente din subsol? Dar cu documentele de prin sertare de care nu mai știe nimeni? Cum știu că asigur un nivel de securitate "adecvat"? (foto: Getty/ Guliver Images)

Acestea au fost numai câteva dintre întrebările ridicate în cadrul evenimentului din 25 mai 2017 organizat de AmCham România și găzduit de Microsoft și cu susținerea și participarea Autorității Naționale de Supraveghere a Datelor cu Caracter Personal (ANSDCP). Specialiștii juriști din Task Force-ul de Protecția Datelor din cadrul Comitetului IT&C al AmCham România s-au reunit în două grupuri de dezbateri pentru a discuta o serie de teme de interes în legătură cu Regulamentul General pentru Protecția Datelor cu Caracter Personal aprobat la nivelul Uniunii Europene, care devine direct aplicabil și în România începând cu 25 mai 2018. Intrăm, practic, pe ultimii cinci sute de metri cu pregătirea pentru conformitatea cu acest Regulament, iar întrebările și neclaritățile sunt încă numeroase. Este de apreciat faptul că, deși are resurse umane foarte limitate față de magnitudinea nevoii de educare a pieței locale, ANSDCP are deschiderea de a participa la astfel de evenimente, astfel încât, împreună cu experții legali și industria de tehnologie să încerce ridicarea nivelului de conștientizare a cerințelor impuse de Regulament și comunicarea imperativului de pregătire din timp de către companiile din România, indiferent de mărime.

Dezbaterile au fost intense și s-au concentrat pe teme importante precum obținerea consimțământului persoanei vizate, profilarea, drepturile persoanelor vizate, map-area datelor, obligațiile companiilor în cazul unui incident de securitate. Am rezumat mai jos câteva dintre principalele concluzii rezultate din aceste dezbateri:

Consimțământul persoanei vizate pentru prelucrarea datelor trebuie să fie specific și explicit. Un consimțământ general riscă să fie invalidat, iar un consimțământ implicit-prin simpla accesare a unei pagini web sau utilizarea unui serviciu -nu mai este permis sub noua reglementare. Asta nu înseamnă că singurul temei legal pentru prelucrarea datelor este consimțământul. Participanții au arătat că, sub legea curentă, consimțământul pare să fie poziționat ca fiind temeiul legal suprem-regulă, iar celelalte posibile temeiuri legale, precum îndeplinirea unui contract, respectarea unei obligații legale, interesul legitim al operatorului, par să fie excepția. Regulamentul face mult mai clar faptul că toate aceste temeiuri legale sunt egal poziționate. Mai mult, specialiștii au semnalat că utilizarea excesivă a consimțământului poate atrage anumite dificultăți companiilor care sunt operatori, întrucât în acest caz drepturile persoanelor vizate sunt mai extinse-de exemplu, își pot retrage oricând acest consimțământ și pot solicita încetarea prelucrării datelor lor și ștergerea acestora. Dacă ești într-o situație în care interesul legitim era mai potrivit ca temei legal-de exemplu pentru menținerea securității sistemelor-dar s-a referat obținerea consimțământului, compania se expune la riscuri suplimentare în caz de retragere a consimțământului.

Persoana vizată se poate opune deciziilor bazate pe profilare automată, care nu implică intervenție umană. Există, însă, și excepții precum activități de detectare a fraudei fiscale impuse de legea aplicabilă operatorului. Dezbateri intense au existat în jurul prelucrării datelor și profilării în cazul proceselor interne de conformitate menite să răspundă unor cerințe de evaluare de riscuri și identificare de fraude impuse de o lege străină, precum legislația americană Foreign Corrupt Practices Act și care se aplică și filialelor companiilor americane din alte țări. Unele dintre aceste reglementări din jurisdicții străine nu au o legislație echivalentă în România, unde este situată subsidiara companiei-mamă americane . Concluzia a fost că, în astfel de situații, e de preferat ca, în cazul în care faci profilare, să nu recurgi la decizii automate bazate pe o astfel de profilare, ci să implici o evaluare umană-de exemplu în cazul evaluării riscului de conformitate în ceea ce privește proprii parteneri de afaceri. Ce ne facem însă, cu o profilare de risc de securitate: implementezi sisteme împotriva securității cibernetice, care, pe bază de machine learning, pot crea profiluri de comportament. În caz de identificare a unor anomalii în comportamentul terminalului sau al sistemului, sistemul semnalează un posibil atac cibernetic, iar administratorul companiei poate stabili măsuri automate de reacție, cum ar fi blocarea accesului acelui terminal la infrastructura sau la aplicațiile companiei. În acest caz, s-a ajuns la concluzia că profilarea se poate întemeia chiar pe prevederile Regulamentului, care impun securitatea datelor și a sistemelor și protecția lor inclusiv împotriva atacurilor cibernetice. 

În cazul unui incident de securitate compania trebuie să notifice atât autoritatea de supraveghere (ANSPDCP)-în 72 de ore, cât și să informeze fără întârziere persoanele vizate ale căror date au fost supuse unui incident de securitate, dacă există un risc ridicat să le fie afectate drepturile și libertățile. Compania poate fi scutită de obligația de informare a persoanelor vizate dacă doveste că a implementat în prealabil măsuri tehnice și organizatorice 'adecvate' pentru securizarea datelor și limitarea riscului. Unul dintre participanți a ridicat o întrebare foarte pertinentă: ce înseamnă 'adecvate' și cum mă pot asigura că măsurile pe care eu le implementez sunt, într-adevăr adecvate? Va emite ANSPDCP ghiduri de securitate sau măsuri minime? Răspunsul esta da și nu în același timp. Există deja un set de măsuri minime impuse prin Ordinul Avocatului Poporului nr 52/2002, însă în realitate acestea sunt depășite de realitatea tehnologică și de evoluția tipurilor de atacuri cibernetice. Pe de altă parte, se pare că un ghid mai detaliat privind măsurile tehnice și organizatorice recomandabil a fi adoptate de operatori este îl lucru la nivelul Grupului consultativ de la nivelul UE (Grupul de Lucru Art 29). Din punct de vedere practic, ce poate ajută în evaluarea caracterului adecvat al măsurilor de securitate este raportarea la standarde internaționale, regionale sau de industrie privind securitatea informației-ISO 27001 sau SOC 1 și SOC 2 sunt exemple bune în acest sens.

Abordează obligațiile impuse de Regulament că pe o oportunitate de organizare a datelor și de inovare prin exploatarea lor inteligentă. 'Ce mă fac cu maldărul de documente arhivate pe hârtie?' a fost una dintre întrebările ridicate de un participant la dezbateri. Nu există un răspuns general valabil despre cum să procedați cu identificarea și organizarea datelor, fie că sunt ele pe suport electronic sau pe hârtie, astfel încât să 'asigurati conformitatea' cu acest Regulament. Cert este că cele mai multe dintre obligații se aplică pentru ambele situații, iar datele trebuie prelucrate în mod legal și protejat indiferent de mediul de stocare. Prin urmare, așa cum recomanda Julia White, vicepreședinte Microsoft într-un webcast pe tema GDPR, poate că ar trebui să privim spre acest nou cadru legal că o oportunitate de organizare și exploatare inovativă și inteligență a datelor, mai degrabă decât că pe o corvoadă similară taxelor. Poate că este cazul ca, în special companiile care prelucrează volume masive de date sau date cu caracter sensibil-precum bănci, societăți de asigurare, societăți de retail, case de avocatură și audit, companii de servicii medicale- să se gândească în primul rând la o actualizare a infrastructurii IT, să scape de sistemele și aplicațiile vechi și depășite din punct de vedere al gradului de securitate și să adopte soluții de organizare și trasabilitate inteligentă a datelor. 

Abonează-te la newsletterul Republica.ro

Primește cele mai bune articole din partea autorilor.

Comentarii. Intră în dezbatere
  • e amuzant(?) cum suntem desensibilizati de tot felul de articole, avertizati despre cum sa facem si ce sa facem, cand treaba e mult mai simpla. toate legile si ce-o mai fi pe zona asta sunt doar praf in ochi, liniste pentru creduli, realitatea este ca treaba asta cu protectia datelor e ca si discutia despre extraterestrii. un utilizator/companie obisnuita nu prea poate sa-si protejeze datele decat in fata altora la fel de (in)competenti. incepand de la implementarea de backdoor-uri in software cand acestea sunt create sau mai nou chiar in hardware, structurile ce se ocupa cu domeniul asta au tot ce le trebuie pentru a accesa orice si oriunde. Microsoft vorbind despre protectia datelor e ceva hilar, dar si razboiul din Irak sau Iugoslavia a fost in numele democratiei... asta la nivel mai sofisticat (la sursa), iar la noi, unde treaba nu e asa avansata tehnic, nu prea cred ca serviciile intreaba de sanatate inainte... imi vine in minte o discutie cu un tip pensionat (avea 40 de ani) ce a lucrat la o structura si care imi zicea ca la o "cuplare" la un furnizor de voce nu mai avea port liber, au fost ceilalti mai rapizi. mda... dar e ok, articolele astea ne fac sa ne simtim in siguranta.
    • Like 1


Îți recomandăm

articol audio
play icon mic icon Speranța Farcă

„Părinții sunt foarte angoasați, aud peste tot că copilul lui cutare face așa, copilul lui cutare face așa. Și se gândesc că ei nu oferă același start copilului lor, care va intra în competiție cu acei copii care au făcut toate acele cursuri. Gândim educația și viața ca pe o competiție”, spune Speranța Farca.

Citește mai mult

Șezlonguri în apă la Marea Neagră

Este o adevărată luptă între turişti pentru a prinde cel mai apropiat pat de plajă lângă apă deşi nu stau prea mult pe sezlong şi apoi tot ei se plâng că nu au soare pentru a se bronza din cauza umbrelelor extrem de apropiate.

Citește mai mult

Foto pentru textul Arinei Angelescu

Plec în oraș. Nu apuc să conduc prea mult când aud telefonul. E mama, care rămăsese cu cel mic. Inima îmi bate deja mai tare. Îmi trec tot felul de scenarii prin cap. Niciunul prea fericit. Răspund. Nu e mama. E băiețelul meu. Plânge în hohote și lasă puțin spațiu ca eu să înțeleg ceva. Nu-știu-ce grisine pe care le-am uitat acasă?!

Citește mai mult

Andrei Ene

AntiFragile, un startup care dezvoltă un sistem de etichete inteligente, care permit monitorizarea de la distanță a coletelor pe parcursul procesului de transport, a fost desemnat vineri seara câștigătorul competiției UPGRADE 100 Floors Elevator Pitch. Pe scurt, eticheta își schimbă culoarea dacă pachetul a fost scăpat de curieri.

Citește mai mult