I. Context
Regulamentul general privind protecția datelor (GDPR) sporește semnificativ obligațiile și responsabilitățile în sarcina companiilor, în ceea ce privește modul în care colectează, utilizează, protejează și transferă datele cu caracter personal. Numărul și complexitatea obligațiilor stabilite prin GDPR, în special a cerințelor privind transparența și securitatea prelucrării datelor personale, au generat anxietate în rândul celor care gestionează o afacere.
Să nu uităm însă de aspectele pozitive pe care le aduce cu sine implementarea GDPR. Acesta oferă cetățenilor mai mult control asupra modului în care sunt utilizate datele lor personale. De asemenea, simplifică mediul de reglementare pentru întreprinderi, pentru că stabilește un cadru uniform pentru legislația privind protecția datelor în întreaga Uniune Europeană, ceea ce ușurează activitatea companiilor cu dimensiune transfrontalieră.
Deși noul Regulament a beneficiat de o promovare intensă pe toate canalele de comunicare, fiind organizate conferințe, forumuri, zile ale porților deschise, evenimente care au fost dublate de publicarea unui număr impresionant de articole în presă și în literatura de specialitate, în prezent, mediul de afaceri din România este departe de fi pregătit pentru provocările generate de aplicarea GDPR.
În plus, publicitatea agresivă din partea unor persoane care au încercat monetizarea prevederilor Regulamentului, prin mediatizarea obsesivă a perspectivei de aplicare a unor amenzi maxime de 4% din cifra de afaceri și acreditarea ideii false că aplicarea amenzilor maxime ar fi principalul obiectiv al GDPR, s-a îndepărtat de obiectivul GDPR, astfel cum a fost subliniat în numeroase rânduri de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, respectiv acela al edificării unei adevărate culturi a protecției datelor personale în România.
Cu cât citim mai multe informații despre GDPR, cu atât devenim „imuni” la prevederile sale. Ne agățăm de concluzia comodă că, și dacă GDPR s-ar aplica propriei companii, amânarea implementării prevederilor sale relevante nu ar determina consecințe semnificative pentru bunul mers al afacerii. Dar oare ar trebui să ne lăsăm conduși de o asemenea atitudine? Sau ar fi mai bine să analizăm la rece măsurile pe care le avem de luat pentru a alinia compania noastră cu cerințele GDPR?
II. De ce crezi că societatea ta nu este „vizată” de dispozițiile GDPR?
Primele dificultăți în procesul de conformare cu dispozițiile GDPR apar din cauza unei probleme de principiu: mulți dintre reprezentanții companiilor pur și simplu nu conștientizează că acestea au calitatea de operatori care desfășoară operațiuni de prelucrare a datelor cu caracter personal. Nu de puține ori am întâlnit exprimări dezarmante, precum „noi nu prelucrăm date cu caracter personal, ci doar le colectăm”. De asemenea, anumite dificultăți iau naștere din simplul motiv că noțiunea de „date cu caracter personal” a fost, cel puțin indirect, redefinită.
În al doilea rând, unul dintre cele mai întâlnite mituri despre aplicarea GDPR este generat de percepția eronată conform căreia aceasta este influențată în mod direct de dimensiunea afacerii. Altfel spus, GDPR ar viza în special segmentul „big data”, iar întreprinderile mici și mijlocii nu ar avea de ce să își facă prea multe griji. Subliniem că am auzit de nenumărate ori replici de tipul „oricum, noi nu prelucrăm prea multe date”.
În al treilea rând, mulți dintre operatorii economici consideră că GDPR se preocupă în exclusivitate de problema securității datelor. În aceste condiții, se concluzionează adesea că, „dacă am soluții de securitate și de criptare robuste, activitatea de prelucrare va fi conformă cu dispozițiile GDPR”. Am întâlnit inclusiv manageri care afirmau că utilizează soluții software furnizate de Microsoft, iar această companie respectă deja obligațiile instituite de Regulament, ceea ce înseamnă că respectivii beneficiari nu ar trebui să ia nicio măsură suplimentară.
În al patrulea rând, cele mai multe întreprinderi sunt descurajate de afluența specialiștilor în materia protecției datelor. În plus, în multe situații, colaborarea cu un specialist IT pentru alinierea activității companiei cu cerințele GDPR nu este suficientă, fiind de multe ori necesară și angajarea unui avocat (ori a unei echipe de avocați, în cazul unor companii cu activități complexe în materia prelucrării datelor personale) care să verifice, din perspectivă juridică, îndeplinirea standardelor GDPR. În aceste condiții, nu este de mirare că multe companii încă reflectează asupra oportunității contactării unor specialiști, inclusiv din considerente financiare, deși o amânare a procesului de conformare cu noua reglementare poate să fie destul de riscantă.
În altă ordine de idei, există societăți care împărtășesc falsa impresie că simpla calitate de persoane împuternicite de operator nu presupune asumarea unor obligații și nici implementarea unor măsuri tehnice și organizatorice corespunzătoare. Alte societăți nu doresc să împărtășească informații sensibile de business unor persoane din exteriorul companiei, având în vedere că accesul la bazele de date cu caracter personal nu ar putea fi disociat de accesul la datele controlate. În fine, unele societăți pur și simplu canalizează resursele investiționale în alte direcții, motiv pentru care protecția datelor cu caracter personal ajunge inevitabil să dobândească un rol marginal.
III. De ce te înșeli?
În primul rând, conform GDPR, prelucrarea datelor reprezintă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea. În aceste condiții, simpla colectare a datelor personale reprezintă o activitate de prelucrare a datelor cu caracter personal.
Este esențial să ai în vedere faptul că, deși în mod tradițional înțelegeam prin date cu caracter personal numele unei persoane, o poză în care aceasta apărea, adresa de e-mail, numărul de telefon, adresa și orice alt număr de identificare (codul numeric personal, contul bancar etc.), sub imperiul GDPR trebuie să avem în vedere o definiție semnificativ mai largă. În acest context, aspecte precum adresa IP, statisticile generate de softurile de identificare a dispozitivelor mobile, geo-locația și datele biometrice (amprentele digitale, scanările retinei etc.) pot să constituie date cu caracter personal. În plus, aspecte precum identitatea fizică, psihologică, genetică, mentală, economică, socială și culturală intră în sfera de reglementare a GDPR. Aceste modificări de perspectivă reflectă evoluția tehnologică și modul în care companiile prelucrează datele cu caracter personal. De aceea, având în vedere că societatea ta interacționează în mod frecvent cu asemenea informații, este necesară implementarea anumitor măsuri, dar și revizuirea modului în care compania și-a desfășurat activitatea până în prezent.
Este important să cunoști că, indiferent dacă societatea ta stochează și procesează date cu caracter personal folosind o infrastructură informatică deosebit de complexă ori, din contră, folosește clasicele agende și registre în format fizic, toate aceste operațiuni vor fi guvernate de dispozițiile GDPR. Nici faptul că societatea beneficiază de soluții software de securitate și criptare puse la dispoziție de giganții IT nu este suficient pentru asigurarea conformității. De altfel, GDPR vizează în special respectarea drepturilor fundamentale ale persoanelor fizice și nu se referă în exclusivitate la aspecte privind securitatea informatică.
În zilele noastre, aproape că nu mai există sector economic în care marketingul să nu joace un rol central, ceea ce înseamnă că trebuie să acorzi o atenție deosebită domeniului prelucrării datelor cu caracter personal, fie că societatea ta are doar un angajat, fie că are 100 de angajați. Pregătirea și informarea angajaților sunt extrem de importante, întrucât implementarea oricărui program de guvernanță a datelor se realizează în primul rând prin angajați, iar cele mai multe breșe de securitate intervin tocmai din cauza neglijenței unora dintre aceștia.
Chiar și în ipoteza în care societatea ta se promovează numai prin intermediul unei pagini de Facebook, Curtea de Justiție a Uniunii Europene a decis recent că aceasta va avea calitatea de operator de date, cu toate că utilizează platforma pusă la dispoziție de operatorul american.
În plus, faptul că societatea prelucrează date doar în numele și pe seama altei societăți, adică are calitatea de persoană împuternicită de operator, nu o scutește de respectarea unor obligații specifice prevăzute de Regulament.
Nu în ultimul rând, nu trebuie să ignori nici existența așa-numiților „hateri”. Astfel, există persoane care abia așteptau aplicarea GDPR pentru a-și înregistra plângerile pe rolul Autorității de supraveghere, indiferent de justețea argumentelor prezentate. Pentru a preveni surprizele neplăcute în cazul unor controale inopinate din partea Autorității de supraveghere, considerăm că este foarte important să beneficiezi de verificarea și supravegherea pe termen lung a conformității operațiunilor de prelucrare a datelor cu caracter personal și de sprijin în relația cu această autoritate.
IV. Concluzii
Prelucrarea datelor personale ar trebui să prezinte interes doar pentru alte companii, nicidecum pentru a ta?
La o analiză ”la rece”, mai mult ca sigur compania ta este „vizată” de noua reglementare. Având în vedere că doar 15% dintre consumatori simt că dețin controlul complet asupra informațiilor pe care le furnizează în mediul on-line, putem afirma că aplicarea GDPR este în primul rând o chestiune de încredere. Comisia Europeană estimează beneficiile economice ale aplicării GDPR la 2,3 miliarde de Euro.
Însă dincolo de respectarea drepturilor fundamentale ale angajaților și ale clienților, conformarea cu dispozițiile GDPR arată respectul pe care îl manifești față de propria afacere, fiind la fel de importantă precum călcarea hainelor înainte de a ieși din casă. În fine, nu uita să apelezi la specialiști, în cazul în care consideri că ai nevoie de asistență pe traseul tumultuos al respectării noii reglementări. Un criteriu relevant în alegerea specialistului potrivit pentru tine ar fi să verifici cum și dacă acesta a implementat, la rândul său, prevederile GDPR în activitatea pe care o desfășoară. Vei fi surprins să constați că mulți dintre specialiștii GDPR au neglijat adaptarea propriei afaceri la cerințele GDPR.
În aceste condiții, nu ne mai rămâne decât să vă urăm… succes!
Un articol semnat de Andreea Micu - Partner și Alin-Gabriel Oprea - Junior Lawyer, STOICA & Asociații
0
1
