Despre GDPR se vorbește puțin și de bine?

Căutând „GDPR” pe Internet, o știre ignorată la noi publică informații importante despre numărul de reclamații din prima lună de la aplicare în 14 dintre țările UE, printre care și România. IAPP, Asociația Internațională a Profesioniștilor din domeniul Protecției Confidențialității (Privacy), a colectat aceste informații direct de la autoritățile de supraveghere, inclusiv de la ANSPDCP. Știrea se află aici, în engleză.

Din păcate, presa este prea puțin preocupată de astfel de informații, iar articolele cu referire la aplicarea corectă a cerințelor lipsesc sau pot fi numărate pe degete. Până la finalul anului 2016, ANSPDCP a publicat lunar comunicate de presă despre sancțiunile acordate pentru încălcări ale reglementărilor privind protecția datelor personale ale persoanelor fizice. Câteva exemple pot fi citite aici: sume de la câteva mii de lei, la câteva zeci de mii de lei, pentru abateri prin SMS, telefonic, emailing sau alte practici nepermise.

Situația este gravă și are potențial periculos. Din noiembrie 2016, s-a făcut liniște, ca și cum ar fi dispărut abaterile. Senatul tocmai a aprobat ca organizațiile statului să plătească amenzi de până la 100 de ori mai mici decât organizațiile private, în cazul abaterilor. Totuși, chiar și o sancțiune de „numai” 10,000 Euro poate destabiliza o organizație mică sau mijlocie. Suma reprezintă echivalentul unui salariu anual acceptabil.

Multe organizații cred că au eliminat riscurile, cumpărând un morman de formulare și clauze tipizate ad-hoc, universal valabile, publicate pe paginile de Internet, copiate și prinse în contractele cu firmele de curierat, furnizorii, clienții și angajații lor. Greșit! Periculos! Simpla instalare a unui plugin WordPress este doar un element, insuficient pentru a acoperi și rezolva complexitatea implementării GDPR.

Iată câteva exemple de incidente, devenite banale azi, însă pentru care puțini s-au pregătit temeinic sau nici măcar nu s-au informat despre riscurile implicite:

GDPR: incidente minore cu impact major

Ce se întâmplă, când un angajat deschide un fișier anexat într-un banal email, care vine dintr-o sursă aparent inofensivă? De exemplu, mesajul pretinde că transmite o factură, un bilet câștigător la o loterie sau un cupon de reduceri, un manifest de livrare a unui colet rătăcit sau o presupusă comandă făcută de la un magazin online?

Un virus nebănuit sau un program malware se poate răspândi rapid pe computer sau chiar în rețea. El poate afecta datele personale stocate fără măsuri de precauție, prelucrate într-un mediu caracterizat de programe fără licență de operare, cu licențe expirate sau fără protecția unui program antivirus actualizat.

Uneori, atunci când același mesaj este menit să ajungă la mai mulți destinatari, o metodă simplă este de a înghesui o serie de adrese în „cc:”, pentru a economisi timp. Totuși, acesta poate fi un incident de încălcare a protecției datelor personale, pentru că destinatarii, fără să se cunoască între ei, fără să-și fi exprimat acordul, constată că adresele lor de email devin cunoscute tuturor celorlalți vizați de același mesaj. Astfel, pot deveni ținte ale unor campanii de mesaje nesolicitate… la nesfârșit!

O astfel de reclamație poate pune capăt afacerilor mânate de cele mai bune intenții. Incidentele de acest tip se raportează obligatoriu în maxim 72 de ore, atât către ANSPDCP, cât și către toate persoanele ale căror date personale au fost afectate. Pare simplu? Pare neglijabil? Avertismentele prevăzute de GDPR ca primă sancțiune, se vor epuiza relativ rapid. Dacă revii puțin la comunicatele din 2016, constați că erau aplicate cam 4-5 amenzi în fiecare lună, cel puțin.

GDPR: 145 de reclamații înregistrate în România din 25 mai încoace

Pare puțin? Pare mult? De ce atâta liniște? De exemplu, în septembrie 2016 ANSPDCP a aplicat 11 amenzi, de la 5,000 la 25,000 de lei, conform comunicatului de aici. După cele 145 de reclamații înregistrate din 25 mai încoace, probabil amenzile vor fi mai multe și mai mari. Atunci, de ce firmele au impresia că „merge și așa”, în continuare? Cui folosește această lipsă de informare, lipsă de pregătire, lipsă de responsabilitate, până la urmă?

Oamenii care prelucrează date personale au nevoie de un minim training. Această pregătire va trebui să fie reluată periodic. GDPR este o chestiune serioasă, care se va permanentiza. S-au amânat prea mult investițiile minimale în licențele pentru programele utilizate pe computerele multor organizații. Riscurile s-ar putea să fie tot mai greu de contracarat, dacă ignorarea cerințelor continuă.

Irlanda, zeloasă, a raportat 547 de incidente de încălcare a confidențialității datelor și 386 de reclamații în 32 de zile! Franța a înregistrat 426 de plângeri în 24 de zile, Cehia 400 în 26 de zile. Probabil, presa de la noi caută încă informații sau neglijează subiectul. Organizațiile luate prin surprindere sau care mizează că vor fi ocolite de neșansă, vor simți un gust amar, o senzație de duș rece, dacă amână decizia corectă. GDPR a venit și rămâne!

Când ai nevoie de mai multe informații sau de sprijin pentru implementare GDPR, click pe contact. Succes!