PROTECȚIA DATELOR PERSONALE - ÎNTRE SUBESTIMARE, DELĂSARE ȘI GREȘITĂ ÎNTELEGERE. SINTEZA UNEIA DINTRE CELE MAI GRAVE PROBLEME SOCIALE ȘI COMERCIALE DIN PREZENT.

Este o certitudine că ne îndreptăm cu pași siguri spre o capcană potențial păguboasă pentru majoritatea companiilor din Romania în ce privește protecția datelor personale. Această capcană ar putea fi activată și utilizată oricând și în orice scop anumite interese ar putea-o dicta.

Pare credibilă o astfel de afirmație? Ei bine, da!

Haideți să facem o scurtă analiză istorică pe baza căreia să încercăm o deducție a modului cum s-ar putea crea și cum ar putea funcționa această capcană legală.

Suntem deja la un an de la intrarea în vigoare a deja renumitului Regulament cunoscut generic sub numele „GDPR” iar adaptarea la noile principii pendulează între neînțelegerea obligațiilor legale, subestimarea gravității nerespectării legii si  riscul alegerii unor servicii de piață incomplete sau limitate în capacitatea lor de conformare legală.

”Momentul Zero”, luna mai 2018, s-a aflat sub semnul unei temeri de necunoscut. O mică parte din companiile românești au făcut  pași spre conformarea cu noul Regulament. In perioada imediat următoare, în lipsa impactului major și imediat, mediul de afaceri  a devenit treptat tot mai dezinteresat de subiect. Iar acest lucru va reprezenta un iminent pericol în viitor.  

Contextul. Ce s-a întâmplat, în câteva cuvinte, în acest an? Propunem o analiză separată, din perspectiva companiilor, apoi din cea a furnizorilor de servicii specifice, iar ulterior din perspectiva autorităților.

Companiile.

O bună parte a marilor companii a reușit, mai mult sau mai puțin, prin diverse moduri, să aplice proceduri de raliere la noul Regulament GDPR. Puterea financiară le-a permis demararea procedurilor specifice, dar la niște costuri considerabile (și practic nejustificate) în scopul adaptării la noile obligații legale.

Companiile mici și medii, însă, deși inițial au manifestat un oarecare interes în aplicarea noii legi, treptat au devenit din ce în ce mai ignorante.

În acest timp, au fost „bombardate” cu tot felul de oferte, de la foarte scumpe la foarte ieftine, prin diverse metode (și aici aproape sigur vă regăsiți în cel puțin una din situații): au fost speriate pentru a li se forța mâna în solicitarea de servicii pretins complete, dar în realitate parțiale ori chiar false, au fost înșelate în a crede că deținerea un simplu act le pune în situația respectării regulamentul GDPR, au primit oferte de „audit gratuit”, audit care invariabil concluzionează lucruri grave și care sugerează imperativ și urgent ralierea la GDPR prin proceduri cu costuri bineînțeles foarte mari, sunt invitate la cursuri de specializare în GPDR, neautorizate, unde în realitate nu învață nimic ci doar li se prezintă câteva articole din Regulament, și așa mai departe.

Acestei situații i se alătură atitudinea managerilor de companii ce trăiesc falsa senzație că nu au nevoie de astfel de servicii, impresia că știu despre ce este vorba și că ralierea la GDPR este doar o modalitate de a li se lua niște bani, și nimic altceva. Multitudinea de „impresii” și „ false senzații” nu ii va scuti însă  de plata de penalități și amenzi „usturătoare”.

Piața de specialitate este un haos. Iar lipsa de informare reală și onestă este esența cangrenatoare a acestei situații.

Furnizorii de servicii. Intrarea în vigoare a noilor obligații legale a generat nașterea unei piețe de servicii aproape inexistente anterior.

Aceasta a fost rapid speculată și „umplută” cu tot felul de prestatori de” specialitate” mai mult sau mai puțin pregătiți.

Oferta majorității prestatorilor de servicii reprezintă o  modalitate de a face bani ușor și rapid, și nu  conține o prestație cu adevărat valoroasă pentru companii.

Iată 3 metode de acaparare: metoda sperieturii, metoda auditului gratuit si metoda cursurilor GDPR.

Pe fondul unei lipse aproape totale de specialiști în domeniu, dar mai ales a unor norme legale clare de aplicare a noului Regulament GDPR, acesta a fost interpretat, și eventual aplicat, în zeci de moduri diferite, marea majoritate dintre ele greșite.

Deși, în realitate, regulile de bază ale protecției datelor cu caracter personal sunt clare și concise, acestea au fost interpretate și aplicate fie greșit, fie alambicat în mod intenționat, pentru a se putea justifica o serie de costuri crescute în dauna unor clienți nebănuitori.

Autoritățile.

La nivelul forurilor decizionale în materie, acestea aproape că au bătut pasul pe loc.

Legea nr. 190/2018, care s-ar fi dorit a fi un fel de Norme de aplicare a GDPR, în proporție de 80% nu este altceva decât o copie a Regulamentului, detaliile procedurale suplimentare lipsind aproape cu desăvârșire.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal este încă o instituție mică organizațional, nedezvoltată la nivel teritorial, dar mai ales limitată și suprasolicitată din punct de vedere al exercițiului atribuțiunilor specifice.

Nu există nicio informare coerentă asupra planurilor de viitor, nicio metodologie de autorizare a furnizorilor de servicii, Autoritatea în materie bătând metodic pasul pe loc, din acest punct de vedere.

Suntem absolut convinși că, la un an de la intrarea în vigoare a Regulamentului GDPR, lipsa de implicare a Autorității în clarificarea unor aspect extrem de importante în ce privește procedurile de protecție a datelor personale nu ține de incapacitate, ci este una intenționată și strategică.

Este foarte posibil (aproape sigur) ca în viitor această Autoritate din domeniu să se dezvolte brusc organizațional și teritorial și să inițieze controale inopinate în teritoriu, cu consecințe extrem de dure și de grave în ce privește mediul de afaceri.

Deci toate acestea se vor schimba cât de curând, și fără vreun avertisment prealabil, iar cea mai mare greșeală a unui manager companie este să creadă că „status quo-ul” prezent nu se va schimba, și că nu va intra niciodată în contact cu  Autoritatea, ori că nu vor exista controale ale activității sale pe această latură. O astfel de viziune este extrem de periculoasă, și generatoare, în viitorul apropiat, de consecințe potențial păguboase.

Ei bine, în contextul celor prezentate mai sus, ar fi util să încercăm să identificăm un ghid de bune practici pentru companiile care vor cu adevărat să fie în acord cu Legea.

Evident că se nasc două întrebări fundamentale.

Prima: suntem obligați, până la urmă, ca și companii de orice dimensiuni, să ne raliem procedurile comerciale la noul Regulament GDPR?

Răspunsul este simplu și clar: DA!!

Cum identificăm un prestator onest de servicii de specialitate care să asigure conformarea corectă și completă la regulamentul GDPR?

Ei bine, identificarea unui bun prestator în materie este simplă dacă este respectată o singură regulă esențială: informarea.

Informația este putere, ea ne ajută să ne ferim de pericole.

Haideți să clarificăm câteva elemente fundamentale greșit înțelese de marea majoritate a managerilor de companii.

1. Simpla generare a unui document Politica de Confidențialitate și afișarea pe website-ul companiei nu înseamnă respectarea Regulamentului GDPR.

Printr-o paralelă, pentru o mai bună înțelegere a situației, este exact ca si cum ați spune că în casa dumneavoastră este cald iarna pentru că are acoperiș. Este evident că, pentru a fi cald în casă, mai sunt câteva condiții de îndeplinit, existența acoperișului nefiind o condiție suficientă.

La fel și în cazul Politicii de Confidențialitate, simpla statutare a unor reguli nu înseamnă că le și aplicați.

Ei bine, cum le aplicați?

Trebuie să asigurați cu adevărat securitatea bazelor de date, precum și să îndepliniți concomitent toate celelalte obligații legale, cum ar fi: anonimizarea, raportările de diverse tipuri, ștergerile de diverse tipuri, gestionarea separată, garantarea drepturilor legale ale persoanelor cu privire la propriile date (de ex: dreptul de acces, de modificare, de uitare, etc.) evaluarea riscurilor, analize de impact, notificarea breșelor de securitate, relaționarea cu autoritățile, etc.

2. Ralierea la GDPR doar în mediul online nu înseamnă invariabil respectarea în totalitate a obligațiilor legale.

În cazuri bine determinate, cu precădere în situația companiilor medii și mari, obligațiile legale în materie de date personale se extind și asupra relațiilor de muncă, asupra relațiilor comerciale fizice, directe, asupra structurii organizaționale a companiei, asupra mecanismelor de supraveghere video s.a.m.d., și vizează modalitățile de stocare a informațiilor, termenele de stocare și procedurile operaționale de ștergere sau distrugere a acestora, după caz, modalitățile de obținere a consimțământului în diverse contexte, temeiurile de fapt și de drept aplicabile, etc.

3. Respectarea GDPR nu presupune doar o prestație inițială unică.

Activitatea de respectare a obligațiilor GDPR este una continuă, permanentă. În activitatea comercială întrați în mod permanent în contact cu date cu caracter personal, astfel încât acestea trebuie în mod continuu gestionate în concordanță cu legea. Iar asta presupune în mod obligatoriu alocarea unor costuri lunare pentru activitate de gestionare a procedurilor. Rămâne, însă, la latitudinea fiecărui manager de companie ce costuri alocă, iar aceasta este o chestiune ce ține corecta aplicare a legii, dar și de capacitatea de identificare a unui prestator de servicii corect și cu cel mai bun raport cost per serviciu. Cu certitudine, alocarea unui operator intern in gestionarea procedurilor de protecție a datelor cu caracter personal este mult mai costisitoare și mult mai riscantă decât un serviciu externalizat.

Ei bine, există prestatori de servicii specializate care asigură ralierea la GDPR pe toate palierele mai sus menționate? Răspunsul este: da! Piața este plină de ofertanți de servicii care pretind conformarea completă la Regulamentul GDPR, însă aceștia nu reușesc cu adevărat să atingă esența fundamentală a legii: securitatea datelor.

Pentru a veni în ajutor, am efectuat o cercetare de piață amănunțită, iar un prestator de servicii care ne place și care îndeplinește toate condițiile căutate de noi într-un astfel de furnizor, este gdpshield.com. Se  remarcă prin  simplitate și intuitivitate, serviciile oferite pretându-se oricărui tip de afacere, de orice dimensiuni, iar prețurile sunt justificate și oneste.

 Printre avantajele majore am identificat:

-crearea unei baze de date securizate și încriptate,

-automatizarea, în cadrul unei soluții software, a tuturor obligațiilor legale subsecvente prevăzute în Regulamentul GDPR,

-serviciile de consultanță tehnică și legală permanente și gratuite pe întreaga perioadă a colaborării.

-abonament lunar extrem de competitiv,

-raportul preț/servicii de calitate excelent,

-costuri ascunse inexistente.

Puteți accesa gdpshield.com unde veți găsi toate informațiile necesare, iar ce ni se pare interesant este că pentru orice nelămuriri echipa GDP Shield stă oricând la dispoziție cu răspunsuri la orice întrebări, fără a fi necesară existența vreunei relații contractuale.

 În concluzie.

Nu vă lăsați induși în eroare! Informați-vă!

Vă sugerăm sa priviți cu seriozitate și profesionalism legislația GDPR .

Luați cu discernământ toate măsurile ce se impun în ce privește activitatea proprie de protecție a datelor personale.