Regulamentul general privind protecția datelor: Ce fac cu maldărul de documente din subsol? Dar cu documentele de prin sertare de care nu mai știe nimeni? Cum știu că asigur un nivel de securitate "adecvat"? (foto: Getty/ Guliver Images)
Acestea au fost numai câteva dintre întrebările ridicate în cadrul evenimentului din 25 mai 2017 organizat de AmCham România și găzduit de Microsoft și cu susținerea și participarea Autorității Naționale de Supraveghere a Datelor cu Caracter Personal (ANSDCP). Specialiștii juriști din Task Force-ul de Protecția Datelor din cadrul Comitetului IT&C al AmCham România s-au reunit în două grupuri de dezbateri pentru a discuta o serie de teme de interes în legătură cu Regulamentul General pentru Protecția Datelor cu Caracter Personal aprobat la nivelul Uniunii Europene, care devine direct aplicabil și în România începând cu 25 mai 2018. Intrăm, practic, pe ultimii cinci sute de metri cu pregătirea pentru conformitatea cu acest Regulament, iar întrebările și neclaritățile sunt încă numeroase. Este de apreciat faptul că, deși are resurse umane foarte limitate față de magnitudinea nevoii de educare a pieței locale, ANSDCP are deschiderea de a participa la astfel de evenimente, astfel încât, împreună cu experții legali și industria de tehnologie să încerce ridicarea nivelului de conștientizare a cerințelor impuse de Regulament și comunicarea imperativului de pregătire din timp de către companiile din România, indiferent de mărime.
Dezbaterile au fost intense și s-au concentrat pe teme importante precum obținerea consimțământului persoanei vizate, profilarea, drepturile persoanelor vizate, map-area datelor, obligațiile companiilor în cazul unui incident de securitate. Am rezumat mai jos câteva dintre principalele concluzii rezultate din aceste dezbateri:
Consimțământul persoanei vizate pentru prelucrarea datelor trebuie să fie specific și explicit. Un consimțământ general riscă să fie invalidat, iar un consimțământ implicit-prin simpla accesare a unei pagini web sau utilizarea unui serviciu -nu mai este permis sub noua reglementare. Asta nu înseamnă că singurul temei legal pentru prelucrarea datelor este consimțământul. Participanții au arătat că, sub legea curentă, consimțământul pare să fie poziționat ca fiind temeiul legal suprem-regulă, iar celelalte posibile temeiuri legale, precum îndeplinirea unui contract, respectarea unei obligații legale, interesul legitim al operatorului, par să fie excepția. Regulamentul face mult mai clar faptul că toate aceste temeiuri legale sunt egal poziționate. Mai mult, specialiștii au semnalat că utilizarea excesivă a consimțământului poate atrage anumite dificultăți companiilor care sunt operatori, întrucât în acest caz drepturile persoanelor vizate sunt mai extinse-de exemplu, își pot retrage oricând acest consimțământ și pot solicita încetarea prelucrării datelor lor și ștergerea acestora. Dacă ești într-o situație în care interesul legitim era mai potrivit ca temei legal-de exemplu pentru menținerea securității sistemelor-dar s-a referat obținerea consimțământului, compania se expune la riscuri suplimentare în caz de retragere a consimțământului.
Persoana vizată se poate opune deciziilor bazate pe profilare automată, care nu implică intervenție umană. Există, însă, și excepții precum activități de detectare a fraudei fiscale impuse de legea aplicabilă operatorului. Dezbateri intense au existat în jurul prelucrării datelor și profilării în cazul proceselor interne de conformitate menite să răspundă unor cerințe de evaluare de riscuri și identificare de fraude impuse de o lege străină, precum legislația americană Foreign Corrupt Practices Act și care se aplică și filialelor companiilor americane din alte țări. Unele dintre aceste reglementări din jurisdicții străine nu au o legislație echivalentă în România, unde este situată subsidiara companiei-mamă americane . Concluzia a fost că, în astfel de situații, e de preferat ca, în cazul în care faci profilare, să nu recurgi la decizii automate bazate pe o astfel de profilare, ci să implici o evaluare umană-de exemplu în cazul evaluării riscului de conformitate în ceea ce privește proprii parteneri de afaceri. Ce ne facem însă, cu o profilare de risc de securitate: implementezi sisteme împotriva securității cibernetice, care, pe bază de machine learning, pot crea profiluri de comportament. În caz de identificare a unor anomalii în comportamentul terminalului sau al sistemului, sistemul semnalează un posibil atac cibernetic, iar administratorul companiei poate stabili măsuri automate de reacție, cum ar fi blocarea accesului acelui terminal la infrastructura sau la aplicațiile companiei. În acest caz, s-a ajuns la concluzia că profilarea se poate întemeia chiar pe prevederile Regulamentului, care impun securitatea datelor și a sistemelor și protecția lor inclusiv împotriva atacurilor cibernetice.
În cazul unui incident de securitate compania trebuie să notifice atât autoritatea de supraveghere (ANSPDCP)-în 72 de ore, cât și să informeze fără întârziere persoanele vizate ale căror date au fost supuse unui incident de securitate, dacă există un risc ridicat să le fie afectate drepturile și libertățile. Compania poate fi scutită de obligația de informare a persoanelor vizate dacă doveste că a implementat în prealabil măsuri tehnice și organizatorice 'adecvate' pentru securizarea datelor și limitarea riscului. Unul dintre participanți a ridicat o întrebare foarte pertinentă: ce înseamnă 'adecvate' și cum mă pot asigura că măsurile pe care eu le implementez sunt, într-adevăr adecvate? Va emite ANSPDCP ghiduri de securitate sau măsuri minime? Răspunsul esta da și nu în același timp. Există deja un set de măsuri minime impuse prin Ordinul Avocatului Poporului nr 52/2002, însă în realitate acestea sunt depășite de realitatea tehnologică și de evoluția tipurilor de atacuri cibernetice. Pe de altă parte, se pare că un ghid mai detaliat privind măsurile tehnice și organizatorice recomandabil a fi adoptate de operatori este îl lucru la nivelul Grupului consultativ de la nivelul UE (Grupul de Lucru Art 29). Din punct de vedere practic, ce poate ajută în evaluarea caracterului adecvat al măsurilor de securitate este raportarea la standarde internaționale, regionale sau de industrie privind securitatea informației-ISO 27001 sau SOC 1 și SOC 2 sunt exemple bune în acest sens.
Abordează obligațiile impuse de Regulament că pe o oportunitate de organizare a datelor și de inovare prin exploatarea lor inteligentă. 'Ce mă fac cu maldărul de documente arhivate pe hârtie?' a fost una dintre întrebările ridicate de un participant la dezbateri. Nu există un răspuns general valabil despre cum să procedați cu identificarea și organizarea datelor, fie că sunt ele pe suport electronic sau pe hârtie, astfel încât să 'asigurati conformitatea' cu acest Regulament. Cert este că cele mai multe dintre obligații se aplică pentru ambele situații, iar datele trebuie prelucrate în mod legal și protejat indiferent de mediul de stocare. Prin urmare, așa cum recomanda Julia White, vicepreședinte Microsoft într-un webcast pe tema GDPR, poate că ar trebui să privim spre acest nou cadru legal că o oportunitate de organizare și exploatare inovativă și inteligență a datelor, mai degrabă decât că pe o corvoadă similară taxelor. Poate că este cazul ca, în special companiile care prelucrează volume masive de date sau date cu caracter sensibil-precum bănci, societăți de asigurare, societăți de retail, case de avocatură și audit, companii de servicii medicale- să se gândească în primul rând la o actualizare a infrastructurii IT, să scape de sistemele și aplicațiile vechi și depășite din punct de vedere al gradului de securitate și să adopte soluții de organizare și trasabilitate inteligentă a datelor.
Urmăriți Republica pe Google News
Urmăriți Republica pe Threads
Urmăriți Republica pe canalul de WhatsApp
Alătură-te comunității noastre. Scrie bine și argumentat și poți fi unul dintre editorialiștii platformei noastre.