”Suntem pregatiti pentru asigurarea conformității cu noul Regulament european?  Este o întrebare pe care o auzim tot mai des, în cele mai diferite medii, dar care din păcate este urmată destul de rar și de răspunsuri care să ne ofere o direcție de acțiune în acest amalgam de recomandări, articole și proceduri. Am început să înțelegem cu toții că obținerea conformității GDPR este un must, un lucru foarte serios pe care nu trebuie să îl trecem cu vederea, o abordare, pe care dacă nu o tratăm cu toată seriozitatea riscăm să pierdem enorm.

Un eveniment unicat pentru piața din România

Aflat deja la cea de-a treia ediție, evenimentul organizat de agenția de PR Concord Communication a beneficiat de suportul partenerilor principali: Mușat și Asociații, Clico Romania și Power Net Consulting și de participarea ANSSI (Asociația Națională pentru Securitatea Sistemelor Informatice). Prin ce iese în evidență acest eveniment față de alte acțiuni asemănătoare? În primul rând prin seriozitatea abordării A fost cu adevărat un eveniment dezbatere, unde participanții au avut posibilitatea să pună întrebări încă de la înregistrare și să și obțină răspunsurile dorite. Și s-a răspuns chiar la toate întrebările, atât la cele pre-adresate, cât și la cele spontane, din timpul evenimentului.

Un rol important în derularea coerentă a evenimentului l-a avut moderatorul Toma Cîmpeanu, CEO ANSSI, care a dirijat cu profesionalism și eleganță un adevărat maraton de prezentări și intervenții.  Căci evenimentul s-a făcut remarcat și prin larga concentrare de forțe a unor vectori, care deși acționează în zone diferite, s-u aliniat pe aceeași directoare, cu scopul declarat de a face mai mult decât o simplă sensibilizare a participanților. Reprezentanți guvernamentali, experți în legislație și probleme de securitate, avocați, furnizori de soluții IT, firme de consultanță și servicii de instruire, au contribuit la consolidarea unei agende din care n-au lipsit prezentările de ghiduri practice, aspecte legate de securitatea datelor cu caracter personal, obligațiile și responsabilitățile ofițerilor responsabili cu protecția datelor, transferurile de date, reguli corporative, date statistice și studii de piață, precum și oferte profesionale de instruire a viitorilor DPO.

Un alt aspect important: larga adresabilitate. Evenimentul “Noua ordine europeană pentru protecția datelor personale” s-a adresat companiilor și instituțiilor publice din cele mai diverse domenii, precum operatorii de utilități din energie, petrol și gaze, sau transport, sectorul financiar-bancar, sănătate, servicii publice, servicii Cloud computing, data center și eCommerce, motoare de căutare online, platforme de joburi, furnizori telecom, agenții de marketing sau operatori de turism.

Implicații juridice importante generate de noul regulament

Reprezentanții casei de avocatură Mușat & Asociații au avut un rol esențial în desfășurarea evenimentului, prin mai multe contribuții de valoare care au alterant prezentărilor de soluții tehnice. Astfel, avocatul Bogdan Mihai, Partener Mușat și Asociații a prezentat participanților un ghidul practic de implementare a măsurilor de conformitate GDPR,  în care sunt explicitate principalele cerințe ale noului Regulament și principalele obligații ale operatorilor și procesatorilor de date. O importanță majoră a noilor reglementări este operarea transferurilor de date personale către țări terțe sau organizații internaționale, care este supusă unor rigori suplimentare față de legislația precedentă.

Una dintre cele mai importante schimbări cu care vine noul regulament este severitatea sancțiunilor care vor fi impuse celor care nu pot dovedi că au făcut tot ce le stătea în putință pentru prevenirea și limitarea consecințelor în cazurile în care au avut loc scurgeri sau pierderi de date, cu implicații pentru posesorii acestora. Avocatul Bogdan Mihai a trecut în revistă care sunt principalele categorii de amenzi prevăzute și cele mai frecvente cauze care pot conduce la aplicarea acestora.

O altă noutate adusă de GDPR la care s-a făcut referire este dreptul persoanelor fizice de a cere companiilor ștergerea datelor personale – dreptul de a fi uitat. În multe situații posesorii datelor personale pot renunța la acordul dat într-o anumită conjunctură și au dreptul să solicite ștergerea informațiilor din toate bazele de date. Dificultăți pot apărea atunci când datele sunt stocate în Cloud și nu există garanția că pot fi șterse de pe toate serverele sau în cazul unor instituții speciale, precum cele bancare, care au nevoie de istoricul clienților în acțiunile de prevenirea a spălării banilor sau pentru alte clauze contractuale.

Alte aspecte deosebit de importante ridicate de noul regulament vizează reflectarea relațiilor dintre angajați și angajatori, prin prisma prevederilor din dreptul muncii. Anca Vătășoiu, avocat la Mușat & Asociații, s-a referit la noile obligații care pot sau nu să fie asociate cu răspunderea angajaților prin contractul de muncă. Există deja cazuri concrete în domeniul juridic, legate de monitorizarea și supravegherea angajaților la locul de muncă, în care încălcări clare ale regulamentelor interioare ale angajatorilor au fost contestate în spiritul drepturilor omului. Un alt aspect important discutat de doamna avocat Vătășoiu este răspunderea administrativă, disciplinară sau civilă a salariaților pentru încălcarea obligaților conferite de GDPR în România.

Cel mai titrat specialist GDPR din România

Un alt element cu totul special al evenimentului a fost prezența Comisarului Șef de Poliție Aurel Cătălin Giulescu, director împuternicit al Direcției de Evidență a Persoanelor și Administrarea Bazelor de Date, DPO certificat de EIPA, coordonatorul echipei MAI care a gestionat negocierile tehnice la nivel european, pentru elaborarea și adoptarea GDPR. Cu alte cuvinte, am avut onoarea să îl ascultăm și să discutăm cu cel mai titrat specialist GDPR din România, primul DPO cu atestare internațională și unul dintre cei mai mari experți în probleme de securitate a datelor personale.

Comisarul Șef Giulescu a făcut o expunere la obiect privitoare la numirea responsabilului cu protecția datelor, ce experiență trebuie să dețină și care sunt principalele atribuții. O atenție specială trebuie acordată unei bune înțelegeri a obligațiilor și responsabilităților pe care le are un DPO, care are rolul de liant între diferitele linii de business și compartimente ale unei organizații. De altfel, importanța acestui rol a fost subliniată și de faptul că majoritatea întrebărilor adresate a avut legătură cu poziția de DPO, iar ce e cel mai important, toate întrebările critice au primit răspuns.

Iată răspunsurile la cele două întrebări adresate de cloudmania, partener media al acestui eveniment:

I1: Există riscul ca un DPO să fie tras la răspundere în eventualitatea unui incident de pierdere a unor date, pasibil de expunere la penalități?

R1: Din perspectiva GDPR, un DPO nu poate fi tras la răspundere în mod direct și personal pentru incidente la nivelul unei organizații, ci organizația ca atare este cea penalizată. Evident, că există cazuri speciale în care un DPO care s-a dovedit clar ca ar fi principala sursă responsabilă de producerea unor pierderi de date, poate fi tras la răspundere potrivit regulamentelor și politicilor specifice organizației de care aparține.

I2: DPO este o persoană cu un rol special în cadrul unei organizații, care trebuie instruită și antrenată pentru a-și putea exercita cât mai eficient toate atribuțiile. Ce se întâmplă însă, în situațiile sau în perioadele în care DPO nu este disponibil pentru a-și exercita obligațiile, din diferite motive obiective sau subiective?

R2: Există recomandări în cadrul GDPR ca cel puțin pentru organizațiile mari și foarte mari să existe în permanență un ajutor de DPO sau cel puțin o persoană la fel de pregătită din cadrul echipei de coordonare, formată din reprezentanți ai tuturor departamentelor.

Tehnologia ca sursă și ca panaceu al noilor riscuri

În condițiile în care actualizarea legislației privitoare la protecția datelor personale se datorează evoluției tehnologice, care diversifică substanțial poziția posesorului de date, tot tehnologiei îi revine rolul de a veni cu soluții care să rezolve noile probleme apărute. Astfel, noua prevedere legată de dreptul individual de solicitare a ștergerii datelor, ridică o serie de întrebări de natură tehnică: sunt șterse cu adevărat datele personale de pe un dispozitiv de stocare? Cum putem dovedi unui solicitant că datele sale au fost șterse de pe toate serverele unui sistem Cloud? Compania Tryamm Trading Consulting reprezentată de Cristian Aionesei, Managing Partner, a prezentat una dintre cele mai performante soluții de ștergere fizică și virtuală a datelor. Soluția Blancco Eraser asigură o ștergere permanentă a datelor, atestată de 18 organisme de certificare, atât în driverele unităților fizice de stocare, cât și în mediile virtuale și mobile.

Monitorizarea fluxului de date personale și securizarea acestora sunt două dintre cerințele de conformitate cu noul Regulament pentru protecția datelor personale.  Alina Pavel, Channel Manager Clico Romania a făcut o amplă trecere în revistă a soluțiilor se Securitate a datelor pe care compania le furnizează pe piața din România. Unul dintre cele mai cunoscute branduri reprezentate este PaloAlto Networks, care oferă o platformă ce îmbină soluții firewall de ultimă generație cu elemente de protecție la nivel de stație și analiză la nivel de Cloud a pericolelor cibernetice ce pot afecta o companie. ForcePoint este o soluție de ”data loss prevetion”, care protejează atât datele de pe sistemele fixe, cât și cele din rețea, din Cloud sau din bazele de date mobile.

Un alt brand reprezentat de Clico este Imperva, furnizor de soluții de securizare și auditarea a bazelor de date și aplicații Web care asigură funcționalități de securitate prin minimizarea datelor, limitarea accesului utilizatorilor, pseudonimizare, anonimizare sau transfer securizat. Soluția 

 este forte utilă pentru aplicare politicilor BYOD, separând datele personale de pe orice dispozitiv mobil, de cele folosite în scop profesional. Clico oferă consultanță, cursuri de training și soluții de pre si post vânzare pentru toate aceste soluții.

Puterea exemplului Cisco

Un alt moment important al evenimentului a fost conexiune de la distanță cu unul dintre specialiștii Cisco Systemsimplicați direct în procesul de implementare GDPR la nivel de corporație. Astfel, grație echipamentelor de videoconferință Cisco, am putut asculta povestea de succes prezentată de la Bruxelles de Lorena Marciano, DPO Cisco Systems Europe. În eforturile de implementare GDPR și susținere a ecosistemului de parteneri, Cisco a optat pentru o strategie bazată pe puterea exemplului. Ce garanție mai bună de compatibilitate pentru soluțiile oferite, decât faptul că sunt folosite pentru implementarea propriei conformități? În fine, plecând de la acest proces de best practices, Cisco vine pentru partenerii săi cu o serie de recomandări, care încep cu consolidarea unei echipe multidisciplinare, alegerea unui program cadru care să funcționeze pentru organizație, stabilirea obiectivelor și priorităților, inventarierea datelor și analiza de risc, evaluarea nivelului de maturitate al sistemelor de protecție a datelor, utilizarea facilităților existente și rezolvarea rapidă a lacunelor de securitate.

Studiile de piață arată că nu suntem pregătiți

În vara acestui an, compania Power Net Consulting a realizat un studiu printre directorii IT ai unor companii private din Romania. Scopul principal al studiului a fost realizarea unei radiografii a nivelului de pregătire a companiilor, pe baza unui eșantion reprezentativ. Studiul a fost axat pe câteva direcții principale de cercetare, fiecare direcție fiind însoțită de un set de întrebări. Principalele tematici vizate au fost:

• Cât de informate sunt companiile cu privire la noile reglementări GDPR?
• Există proceduri interne conforme?
• Care sunt problemele majore de conformitate?
• Ce soluții IT și-au propus companiile să implementeze?
• Care este nivelul actual de pregătire al organizațiilor?

Iată câteva dintre cele mai relevante rezultate ale studiului prezentate de Emil Munteanu, Managing Partner Power Net Consulting: deși 79% dintre companiile chestionate pe tema pregătirii pentru implementarea Regulamentului UE 679/2016 sunt informate despre aceste subiect, doar 14% dintre acestea au persoane nominalizate pentru funcția de responsabil cu prelucrarea datelor personale. De asemenea, 57% dintre respondenți au recunoscut că până în prezent nu au revizuit sau nu au actualizat politicile de securitate existente, iar 50% nu au făcut încă o evaluare internă a datelor cu caracter personal prelucrate. Un alt aspect îngrijorător relevat de acest studiu este că doar 36% din respondenți au instruit GDPR personalul care se ocupă cu problemele de securitate, 18% au organizat traininguri GDPR interne și doar 11% au reevaluat contractele cu furnizorii. Dintre soluțiile IT pe care companiile și-au propus să le adopte în vederea conformității GDPR se numără: Data Loss Prevention (75%), Network Protection (68%) și Encription/ Tokenization/ Pseudonomization (61%).

Cum certificăm un DPO în România?

Compania RQM Certification, partener PECB pentru România, a oferit o prezentare a serviciilor de pregătire profesională pentru poziția de Certified Data Protection Officer. Această certificare permite specialiștilor desemnați să dobândească expertiza necesară pentru a înțelege riscurile care ar putea avea un impact negativ asupra organizației oferindu-le cunoștințele pentru a implementa strategia necesară, pe baza celor mai bune practici, cerințe și principii GDPR. Cursurile DPO beneficiază de certificarea PECB, un furnizor de certificări pentru standarde ISO cu recunoaștere internațională.  Prin parteneriatul cu PECB, compania RQM Certification poate asigura în România obținerea certificărilor pentru standardele ISO 9001, ISO/TS 16949, ISO 31000, ISO 14001 și ISO 27001.

Concluzionând, evenimentul “Noua ordine europeană pentru protecția datelor personale” marchează o certă maturizare  a preocupărilor legate de GDPR pe piața din România, cu o evidentă determinare în depășirea fazei de conștientizare, cu trecere la planificare  și acțiune concretă. Prezența celui mai titrat specialist GDPR din România care a răspuns la toate întrebările, implicarea casei de avocatura Mușat și Asociații, videoconferința cu DPO Cisco de la Bruxelles, prezentarea de soluții concrete de securizare a proceselor și a datelor, studiul de piață realizat de Power Net Consulting precum și cursurile de certificare DPO deja existente pe piață, au contribuit la succesul acestui eveniment. Felicitări tuturor celor implicați și în special organizatorului Concord Communication.  

Sursa: https://cloudmania2013.com/2017/10/19/o-ampla-reuniune-de-forte-la-cel-mai-important-eveniment-dezbatere-dedicat-gdpr/

Imagine de Pete Linforth de la Pixabay