Protecția datelor cu caracter personal nu este un subiect nou nici pe departe. Prima directivă europeană pe subiect datează din 1995, când începutul internetului, Windows 95 si Internet Explorer 1.0 ori Nokia 9000, reprezentau avangarda tehnologiei. În 1995, analizele IDC menționează aproximativ 16 milioane utilizatori ai Internetului la nivel global, iar în 2016 discutăm despre peste 3 miliarde. De la folosirea în comun de către mai multe persoane a unui singur dispozitiv de tip PC, astăzi suntem puși în fața unor scenarii în care un singur utilizator are peste 5 dispozitive de pe care acceseaza resurse online – laptop, tabletă, telefon, ceas, sistem media al mașinii, televizor, etc (foto: Getty/ Guliver Images).
Directiva 95/46/CE a fost implementată în România prin Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, încă în vigoare. Evoluția tehnologică a depășit cu mult, însă, nivelul de reglementare. Doar cu titlu de exemplu, Ordinul 52/2001 al Avocatului Poporului, valabil și acum, destinat sa reglementeze cerinţele minime de securitate a prelucrărilor de date cu caracter personal prevede printre măsurile recomandate păstrarea de copii de siguranță "în alte camere, în fişete metalice cu sigiliu aplicat, şi, dacă este posibil, chiar în camere din altă clădire". In practica, până nu de mult, companiile care obișnuiau să apeleze la copii de siguranță utilizau încă benzi magnetice pentru stocarea acestora în locuri diferite de sediul principal. Prin comparație, marile companii de servicii IT care furnizeaza soluții, funcționalități și infrastructură ca serviciu din propriile centre de date păstrează copiile de siguranță în centre de date aflate pe falii tectonice diferite, în condiții de siguranță fizică a perimetrului comparabile cu cele ale unităților militarizate.
Companii de cercetare de piață din domeniul tehnologic anticipează o creștere fără precedent a utilizării noilor tehnologii precum inteligența artificială (mașini care se orientează singure în trafic, sisteme de securitate care identifică amenințări și atacuri informatice fără a le mai fi întâlnit anterior), realitatea virtuală și realitatea augumentata (chirurgie la distanță, noi experiențe de interacțiune cu clienții online), ori aplicațiile inteligente (aplicații de asistență personală și inteligență automată), toate posibile cu ajutorul cloud computing - a se vedea de exemplu top 10 al trendurilor tehnologice strategice în 2017 creat de Gartner. Mai mult, utilizatori din întreaga lume își partajează tot mai des datele personale în scopul accesului la funcționalități de care au nevoie – în special aplicații mobile și soluții de comerț electronic.
Nu este de ignorat faptul că aceste tendințe inovatoare vin și cu un revers al medaliei, respectiv motive de îngrijorare pe cel puțin două paliere: pe de o parte, conduc la o utilizare mult mai extinsă a datelor cu caracter personal, ceea ce poate induce riscul unei intruziuni în viața privată, și, pe de altă parte, deschid ușa unor atacurilor cibernetice de o amploare fără precedent și la un nivel extrem de sofisticat. Asta pentru că furtul și valorificarea datelor personale au devenit astăzi una dintre cele mai valoroase monede de schimb. Odată cu mutarea noastră tot mai mult în spațiul virtual, este natural să facem și o tranziție la nivel de reglementare. De la securizarea unor atribute fizice, acum filozofia trebuie să se mute tot mai mult spre securizarea accesului, pe care să îl poți acorda în mod conștient și controlat: trebuie să știi cine și cum îți accesează datele și să ai puterea la orice moment să revoci accesul către acele date pe care le-ai partajat anterior. Pe măsură ce tehnologia este adoptată pe scară tot mai largă ca mijloc de creștere a afacerii, entități al căror obiect de activitate nu este colectarea datelor cu caracter personal sunt puse în situația de a deveni gardienii unor informații foarte prețioase – de exemplu comercianții care întroduc carduri de fidelitate. Nu este vorba doar despre datele considerate în general ca fiind personale, ci mai mult – comportamentul și profilul de utilizator al acelui client: ce cumpără , în ce condiții și cum poate fi influențat.
În aceste condiții, adoptarea la nivelul Uniunii Europene a noului Regulament General de Protecție a Datelor cu Caracter Personal în aprilie 2016 este binevenită, intenția statelor membre fiind aceea de a avansa reglementarea la nivelul evoluției tehnologice și de crea un cadru mult mai protectiv pentru persoanele fizice ale căror date sunt utilizate de către companii, organizații non-profit sau autorități publice. Totodată, s-a dorit o uniformizare a reglementării în cele 28 de state membre.
Înainte de a trece la o analiză a principalelor cerințe din cadrul Regulamentului, mi se pare important să clarificăm câteva chestiuni de bază.
De când se aplică noul Regulament?
Termenul de aplicare este 25 mai 2018. Pare departe, dar nivelul de evaluare și pregătire pentru că o entitate să se conformeze cu cerințele Regulamentului este foarte ridicat și costisitor din perspectiva timpului necesar, după cum voi încerca să exemplific într-o serie de articole pe această temă. Important de reținut că Regulamentul se aplică direct statelor membre, fără a fi nevoie de o adoptare prin legislație internă. Prin urmare, nu va lăsați păcăliți de lipsa unei legi de adoptare a Regulamentului, ea nu este absolut necesară.
Cui se aplică acest regulament?
Oricărei entități, indiferent că vorbim de companii private, mici, medii sau mari, ori organizații non-profit sau autorități publice care utilizează sau prelucrează în alt mod date cu caracter personal ale persoanelor aflate în statele membre UE. Chiar și o companie cu doi angajați care colectează datele utilizatorilor săi din UE printr-un portal online este supusă acestei reglementări în privința modului în care colectează, utilizează și pastraza datele respectivilor utilizatori. Totodată, o companie de tehnologie precum Microsoft sau Google, care oferă un serviciu de email persoanelor fizice de pe teritorul UE, este supusă cerințelor foarte stricte ale acestei reglementări. Desigur, nivelul de cerințe și posibilele sancțiuni sunt gradate în funcție de amploarea prelucrării și tipul de date prelucrate. De remarcat faptul că, spre deosebire de actuala Directivă, Regulamentul extinde sfera de aplicare și asupra operatorilor de date stabiliți în afara UE, în măsura în care bunurile și/sau serviciile acestora se adresează și persoanelor aflate pe teritoriul UE.
De ce e important pentru companii să acorde atenție Regulamentului? (sau, cum ar spune corporatiștii, "What's in it for you?")
Mai întâi să vorbim despre "băț": Regulamentul prevede amenzi foarte drastice: până la 20 milioane de euro sau 4% din cifra de afaceri globală, oricare din aceste două limite este mai mare. "Morcovul" e de asemenea important: orice companie care își face bine temele și implementează cerințele Regulamentului poate câștiga puncte bune în imagine, utilizând această conformitate în mesajele către proprii clienți în campaniile de promovare.
Ce aduce nou acest Regulament față de actuală reglementare?
În primul rând au fost extinse drepturile persoanelor vizate (adică persoanelor fizice ale căror date cu caracter personal sunt prelucrate): este acum reglementat, de exemplu, dreptul de a fi uitat, dezvoltat anterior de practică judiciară a Curții Europene. Se pune un accent ridicat asupra măsurilor de securitate și protecție a datelor, cu exemple concrete de măsuri de protecție recomandate, cum ar fi criptarea datelor sau alte bune practici dezvoltate în domeniu, care acum sunt ridicate la nivel de reglementare. Se remarcă o schimbare de paradigmă în privința răspunderii operatorului (adică entității care prelucrează datele) și a modului de monitorizare a activităților de prelucrare: de la obligații de notificare a prelucrării, centrate pe formalități în fața autorităților de control și supraveghere, se trece la o responsabilizare a operatorilor prin impunerea de obligații mai degrabă preventive: evaluări prealabile ale impactului de risc asupra datelor cu caracter personal, training de personal în acest domeniu, numirea unui ofițer de protecția datelor în anumite cazuri, evaluări periodice ale măsurilor de securitate. Aceste obligații preventive sunt însoțite de amenzi usturătoare, de până la 10 mil.EUR sau 4% din cifra de afaceri.
Noul Regulament General pentru Protecția Datelor cu Caracter Personal va conduce la o schimbare semnificativă în modul de utilizare a acestui tip de date: numai cei care au o abordare structurată, programatică și preventivă, bazată pe tehnologii de încredere, vor putea supraviețui cerințelor foarte stricte ale noilor reglementări.
Urmăriți Republica pe Google News
Urmăriți Republica pe Threads
Urmăriți Republica pe canalul de WhatsApp
Alătură-te comunității noastre. Scrie bine și argumentat și poți fi unul dintre editorialiștii platformei noastre.