GDPR – o adevărată oportunitate pentru o nouă revoluţie digitală

GDPR – o adevărată oportunitate pentru o nouă revoluţie digitală

77
Marjola Begaj

Autor:Marjola Begaj

Mulţimea de rapoarte, cercetări și informaţii legate de respectarea Regulamentului de Protecţie a Datelor cu Caracter Personal (GDPR), înainte și după termenul limită din luna mai, pare încă insuficientă pentru a face faţă eforturilor de conformitate cu acest regulament.

Unul dintre cele mai recente rapoarte care mi-a fost trimis pe email cu doar câteva săptămâni în urmă sună
astfel: Un nou raport de cercetare realizat de TrustArc centralizează nivelul de conformitate GDPR, după data
de 25 mai, pentru 600 de companii din SUA, Marea Britanie si alte companii din UE.

„ …Oferă, printre altele, informaţii despre abordările lor cu privire la conformitatea GDPR, principalele provocări la nivel de conformitate și nevoile care au apărut ulterior termenului limită. Unele dintre cele mai importante concluzii sunt:

  • ► Doar 20% dintre companii au finalizat complet implementarea GDPR;
  • ► Companiile sunt conforme cu politicile și procedurile de actualizare și cu managementul
    consimţământului pentru cookie-uri, și mai puţin conforme cu managementul riscului furnizorilor și
    transferul internaţional de date;
  • ► 50% dintre companii vor solicita validarea conformităţii cu GDPR de către o firmă independentă.1

Faptul că o companie poate respecta mai mult politicile și procedurile de actualizare, dar mai puţin
managementul riscului furnizorilor și transferul internaţional de date nu este tocmai în regulă. Da, politicile fac parte din modul de respectare a criteriilor de parcurs ale GDPR , dar ar trebui, în cel mai bun mod,
GDPR
să reflecte, printre altele, cum este gestionat riscul vânzătorului prin transferul internaţional de date. Și totuși, companiile au avut la dispoziţie doi ani de perioadă de tranziţie pentru a implementa GDPR în cadrul proceselor lor.

Dar nu a fost o chestiune de timp și nici măcar o chestiune de a nu fi deloc familiarizat cu legile privind protecţia datelor. Problema reală a acestei reglementări este că, pentru prima dată, ne confruntăm pe o scară largă cu lipsa culturii din cadrul companiilor și din sectorul public cu privire la modul în care ratează și protejează datele cu caracter personal. Și cât de importantă este securitatea informaţiilor din lumea digitală. Și toate acestea ies la iveală în mijlocul unui nou val de transformări digitale cum ar fi AI, IoT, Blockchain și criptomonede. Tehnologii care se hrănesc cu datele noastre, printre altele.

Cu toţii știm, și cu GDPR trebuie să știm, că identitatea noastră, bazată pe datele noastre personale, este direct legată de tot ceea ce folosim și facem, de la:

  • ► Servicii financiare
  • ► Sănătate
  • ► Vot
  • ► Proprietăţi (fizice dar și intelectuale)
  • ► Comunicare
  • ► Divertisment
  • ► Călătorii, și până la
  • ► Caracteristicile și măsurile de securitate utilizate – unele dintre ele deja bazate pe date personale (în special date biometrice, cum ar fi amprentele digitale, recunoașterea feţei și a vocii, bătăile inimii pentru a menţiona câteva).

Astfel, modul în care sunt utilizate aceste elemente de date și serviciile pe care toate aceste tehnologii le promit să le ofere sunt foarte importante pentru economie și pentru bunăstarea societăţii noastre. Și aici se localizează însuși GDPR.

S-ar putea să existe diferite modalităţi de a vedea și interpreta GDPR, în ceea ce privește aplicaţiile și implicaţiile reale. Dar există câteva considerente de bază, care nu se vor schimba în următorii ani:

În primul rând, în afară de simplul sens juridic al Regulamentului2 General 3, principalul subiectul al GDPR îl reprezintă datele personale și protecţia acestora, iar în articolele sale găsim mai detaliat cine, cum, ce, unde și când. Principalele domenii sunt:

  • ► Drepturile persoanelor vizate
  • ► Responsabilitate
  • Securitatea
  • ► Procesori, terţe părţi și transfer internaţional de date.
  • ► Sancţiuni mai mari – considerate a fi o modalitate mai eficienta de a reduce abuzul de acest drept!

În al doilea rând, motivul central al punerii sale în aplicare este integrarea drepturilor
fundamentale în procesul legislativ al UE. În mod specific, dreptul de protecţie a datelor cu caracter personal
menţionat în articolul 8 din Carta drepturilor fundamentale a Uniunii Europene4. GDPR este departe
de a fi perfect și, în ceea ce privește eficienţa, necesită o practică de zece ani pentru a se dovedi astfel. Poate
fi supus unor schimbări și, așa cum se întâmplă deseori cu orice act juridic, este deschis la interpretare. Cu
toate acestea, un lucru nu se va schimba, cel puţin pentru o lungă perioadă de timp, iar acesta este dreptul
fundamental de protecţie a datelor cu caracter personal.

În al treilea rând, își propune să restabilească încrederea în sectorul digital și în afaceri, să promoveze inovarea, să sporească securitatea cibernetică și să orienteze atât cultura, cât și modalităţile practice de evoluţie a vieţii digitale și a securităţii acesteia. Securitatea informatică nu poate fi îmbunătăţită fără o înţelegere corectă a relaţiei dintre securitate și alte imperative naţionale (și internaţionale), cum ar fi intimitatea, transparenţa și tehnologia. Având în vedere modelul Cyber 2025 propus de Windows, se poate spune că GDPR se situează în scenariul Peak, care are ca una dintre principalele caracteristici faptul ca politicile și standardele guvernamentale trebuie să fie clare și eficiente5.

În cele din urmă, GDPR devine un standard de facto în întreaga lume. Acesta trebuie respectat de toate companiile de tehnologie care lucrează cu datele clienţilor din UE, respectiv de orice companie multinaţională care operează în Europa. Și nu este vorba doar de acest aspect. Regulamentul are influenţe și asupra altor ţări din afara UE. Spre exemplu, statul California (SUA) a adoptat recent o lege extinsă privind

Trust buttonconfidenţialitatea consumatorilor, care ar putea duce la schimbări semnificative asupra companiilor care se ocupă de datele cu caracter personal – și mai ales cele care operează în spaţiul digital. Această lege, prevăzută să intre în vigoare la începutul anului 2020, se aplică din punct de vedere tehnic numai locuitorilor din California, însă ea va avea, cel mai probabil, implicaţii mult mai largi. Majoritatea companiilor importante care se ocupă de datele consumatorilor, de la comercianţii cu amănuntul la furnizorii de reţele mobile până companiile de internet, toate au clienţi californieni. Aceste companii vor avea două opţiuni principale: fie să-și modifice infrastructurile globale de protecţie pentru respecta legea din California, fie să instituie un sistem regional separat în care californienii sunt trataţi într-un fel și toţi ceilalţi altfel. Această ultimă opţiune poate fi mai costisitoare pentru companii și ar putea deranja clienţii non-californieni în cazul în care furnizorul de servicii le va oferi mai puţine opţiuni de confidenţialitate a datelor. Într-adevăr, întrebări similare cu privire la drepturile datelor americanilor au apărut în timpul mărturiei lui Mark Zuckerberg din cadrul Congresului American, mărturie legată de respectarea de către Facebook a GDPR-ului UE.

Dar, ce este mai important, având în vedere că datele personale și securitatea cibernetică dar și dezvoltarea de noi tehnologii sunt principalele subiecte de discuţie din ziua de astazi?

Conformitatea în general este o povară și implică costuri reale pentru întreaga societate. Și GDPR nu te scutește de acest lucru. De fapt, orice respectare aplicată a GDPR-ului în cadrul unei organizaţii necesită trei lucruri esenţiale:

  • ► Cultura de conformitate
  • ► Monitorizarea continuă
  • ► Efortul în echipă

Cultura de conformitate: O știre actuală menţionează: „The Information Commissioner’s Office (ICO) din Marea Britanie a amendat compania Lifecycle Marketing (Mother and Baby) Ltd, cunoscută și ca Emma’s Diary, cu 140.000 de lire sterline pentru colectarea și vânzarea ilegală de Compliance Cultureinformaţii personale aparţinând a mai mult de un milion de persoane6.” Nu se poate vorbi despre o cultură conformităţii în acest caz. Și totuși, au fost aduse în discuţie comportamentele controversate atât la nivelul companiei cât și la nivelul clienţilor săi. Iată ce a spus Chris Rouland, fondator și CEO al Bastille – „Aș dori să am oportunitatea de a plăti o sumă mai mare pentru păstrarea propriilor mele date sau, cel puţin, pentru garantarea faptului că datele mele sunt înstrăinate de către mine,”, completând că este dispus să îi plătească în plus 1.99 dolari pe lună companiei de la care are dispozitivul său mobil de fitness pentru a nu îi vinde mai departe datele7. Așa cum Geoff Mulgan – CEO Nesta menţionează într-una dintre prelegerile sale de la Colegiul Universitar „Majoritatea oamenilor devine destul de îngrijorată atunci când descoperă cât de multă informaţie lasă în urmă, totuși această colectare a datelor are și un avantaj uriaș, partajarea datelor, transbordarea datelor poate duce la oferirea de servicii mai bune, sau chiar la reducerea criminalităţii, și așa mai departe. Cred că în următorii 10 ani vom avea nevoie de un nou contract social, în jurul acestor date”. Pentru moment avem doar baza legală a acestui contract – GDPR-ul.

Monitorizarea continuă: – „Un hacker a spart câteva dintre sistemele Reddit și a reușit să acceseze anumite date despre utilizatori, inclusiv unele adrese de e-mail curente și baza de date de rezervă din 2007 care conţinea parole vechi. De atunci efectuăm o anchetă minuţioasă pentru a afla exact ceea ce a fost accesat și pentru a îmbunătăţi sistemele și procesele noastre pentru a împiedica revenirea acestei situaţii.” se menţionează într-o notificare oficială a companiei respective8. Oare ce s-ar fi întâmplăt dacă s-ar fi efectuat înainte o evaluare a impactului protecţiei datelor (DPIA)? Cum ar fi fost ca investigaţia datelor existente să fi fost deja făcută și acest lucru să ajute atât la efectuarea investigaţiei curente dar și la derularea unui plan

Grafic GDPR de răspuns mai puţin dureros, mai rentabil, mai fiabil și receptiv? Monitorizarea continuă a sistemelor și proceselor, ca o practică obișnuită a rezilienţei cibernetice, nu mai este opţională în cadrul GDPR. Este obligatorie. Actorii implicaţi încă subestimează importanţa securităţii cibernetice și a datelor personale. Mai devreme sau mai târziu valurile de reglementări vor face ca securitatea cibernetică – care până acum este privită ca o modalitate de a proteja averile și se bazează pe anumite principii – să devină un drept și un bun în sine. Sau, cel puţin, în viitorul apropiat, ne putem aștepta la o strategie de securitate cibernetică mai detaliată și bazată pe reguli.

Efortul în echipă: – chiar și cei puternici greșesc. Google recent a retras 145 aplicaţii din Google Play deoarece s-a descoperit că acestea conţineau niște fișiere executabile Windows maliţioase. Acest tip de infecţie „reprezintă o ameninţare la adresa lanţului de distribuţie software, deoarece dezvoltatorii de software maliţios sunt utilizaţi în mod eficient pentru atacuri la scală largă”9.

Până în prezent, datele cu caracter personal ca activ digital și securitatea cibernetică nu sunt complementare. Este normal să te întrebi de ce la nivelul Biroul Comisarului pentru Informaţii nu s-a stabilit încă o alianţă cu o instituţie de importanţă majoră în strategia de securitate cibernetică din Regatul Unit110? Astfel, deși s-au trimis invitaţii pentru a se alătura unei alianţe mai multor instituţii, faptul că Autoritatea pentru Protecţia Datelor lipsea la prima strigare demonstrează foarte multe. Adevărul este că importanţa legăturii dintre datele personale, ca un activ digital și nu doar ca o o povară legată de conformitatea GDPR (sau legile naţionale privind confidenţialitatea), și securitatea cibernetică ca mijloc de a proteja aceste active nu este percepută la nivelul necesar nici măcar în etaloanele superioare.

În concluzie, GDPR se referă la noi toţi. Provocările creează oportunităţi. GDPR reprezintă prilejul dezvoltării unor modalităţi creative de a echilibra problemele conflictuale și de a garanta protecţia datelor personale ca drept al omului. Dacă este adevărat, aceasta este valoarea extraordinară a aplicării tehnologiei digitale în noile servicii personalizate și mai mult în general în viaţa noastră. Este, de asemenea, adevărat că, odată cu tehnologiile emergente de acum, apar și probleme etice serioase legate de tehnologii precum inteligenţa artificială sau genomica. Dacă am petrecut ultimele câteva decenii învăţând cum să ne mișcăm rapid, în decursul următoarelor decenii va trebui să ne reamintim cum încetinim. Sau poate că singura modalitate de a avansa este de a restabili simplitatea și eficienţa.

Și nu putem gândi nici în silozuri. Totul este interconectat, la fel sunt și interesele implicate, jucătorii, reglementările, datele și securitatea. Nu ne putem permite să ne întoarcem în trecut, dar avem responsabilitatea de a face acum alegeri corecte și responsabile, pentru a crea un viitor mai bun al vieţii noastre digitale. Conformitatea se referă la mult mai multe aspecte și nu este un mod de luare a deciziilor care necesită doar o analiză cost-beneficiu. Se adresează celor care nu au realizat până acum că datele personale sunt un bun digital real care trebuie protejat sau celor care au abuzat de acest bun digital, iar acum este momentul ca această situaţie să fie îndreptată.

Așadar, gândiţi-vă la GDPR nu ca la o povară de conformitate, ci ca la un element de schimbare a jocului, care trebuie utilizat pentru progresul mai coerent și mai etic al construirii noilor tehnologii dar și pentru realizarea de noi afaceri, luând în considerare principiile sale:

  • ► securitatea datelor cu caracter personal,
  • ► responsabilitate și răspunderea atât a companiilor, cât și a indivizilor
  • ► relaţia sa cu alte principii fundamentale ale societăţii noastre și evoluţia continuă a noilor
    tehnologii.

  1. ► Validarea conformităţii cu GDPR de către o firmă independentă.
  2. Regulament înseamnă că se aplică direct tuturor membrilor UE fără a fi nevoie să fie implementată în legislația națională.
  3. General înseamnă că acoperă în mare măsură tot ce are legătură cu subiectul său. Dar, de asemenea, aceasta înseamnă că este supusă regulii de interpretare cunoscută în latină ca generalia specialibus non derogant – dispoziţiile unui statut general trebuie să se conformeze unor dispoziţii speciale. Pur și simplu, în caz de conflict, prevalează cel special.
  4. Articolul 8 – Protecția datelor personale. Călătoria spre drepturile omului nu este una ușoară și chiar și astăzi drepturile omului au o viaţă dificilă. Printre altele, vă recomand o lectură semnifi cativă pentru cine este interesat să afle despre drepturile omului: Lynn Hunt, Inventing human rights. A history., W. W. Norton & Company, New York-London2007.
  5. Cyberspace 2025: Today’s decisions, Tommorow’s Terrain. Navigating the Future of Cybersecurity Policy, iunie 2014, disponibil aici.
  6. Emma’s Diary a fost amendată cu 140,000 lire sterline pentru vânzarea de informaţii personale pentru campanii politice, disponibil aici . A se vedea: ICO a pus dispus verificarea practicile de partajare a datelor în cursul acestui an pentru cele 11 principale partide politice din Marea Britanie, adresându-se inclusiv brokerilor de date, precum Experian, ca parte a anchetei sale privind analiza datelor. Mai multe informaţii: aici ; O altă perspectivă: aici.
  7. Danny Bradbury. How can privacy survive in the era of the internet of things?
  8. Reddit dezvăluie o scurgere de date, un hacker a accesat datele personale ale utilizatorilor, disponibil: aici.
  9. Sute de aplicații scoase din Google Play Store pentru că erau infectate cu un virus de tip malware pentru Windows.
  10. O importantă alianță între 17 organizații de top din UK, cu impact asupra securităţii cibernetice, a fost alcătuită ca răspuns la apelul din partea Departamentului Digital, de Cultură, Media și Sport (DCMS), al guvernului britanic, pentru dezvoltarea unui corp profesional în sfera securităţii cibernetice. Mai multe detalii: aici.