Cybersecurity, GDPR

AVEM UN DPO: CUM ÎL CERTIFICĂM?

 

Mai sunt 114 zile până la intrarea în vigoare a Regulamentului EU 2016 – 679 și unul dintre aspectele care se află (încă) într-un con de umbră este pregătirea viitorilor responsabili cu protecția datelor (Data Protection Officer – DPO). Atât textul GDPR, cât și Ghidul privind Responsabilul cu protecția datelor (DPO) realizat de Grupul de Lucru Articolul 29 sunt destul de laconice în explicarea pregătirii profesionale a acestui personaj deosebit de important, un adevărt pivot al implementării și păstrării conformității GDPR la nivel de organizație.

Lipsa de norme dă naștere la interpretări. Această zonă crepusculară e cu atât mai critică în contextual în care avem de a face cu un Regulament European cu serioase implicații legislative. Cum alegem un DPO? Pe ce criterii profesionale? Cine ne garantează expertiza profesională a celui pe care îl vom numi în acest rol, element cheie în adopția GDPR? Sunt întrebări legitime care își găsesc cu destulă greutate răspunsul în condițiile în care în mod oficial nu există un organism de certificare sau de recunoaștere a competențelor unui DPO, nici la nivel UE și nici în celelalte țări membre. Cu o singură excepție, pe care o vom prezenta la sfârșit.

Ce găsim în Regulament, ghiduri și recomandări

Articolul 37 Alineatul 5 din GDPR stabilește că responsabilul cu protecția ar trebui să fie ”desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a îndeplini sarcinile prevăzute la articolul 39.” Destul de laconic, nu?

Haideți să căutăm ceva lămuriri în partea introductivă a Regulamentului EU 2016/ 679. În Considerentul 97 se fac niște specificații, pornind de la situațiile clare care necesită numirea obligatorie a unui DPO. Există cele trei situații: autoritate publică, prelucrare ce implică monitorizare regulată şi sistematică sau o prelucrarea pe scară largă pentru categorii speciale de date cu caracter personal se recomandă ca ”o persoană care deţine cunoştinţe de specialitate în materie de legislaţie şi practici privind protecţia datelor trebuie să acorde asistenţă operatorului sau persoanei împuternicite de operator pentru monitorizarea conformităţii.” Dacă experiența în legislație este de la sine înțeles în cazul GDPR, ce ar trebui să înțelegem din ”practici privind protecția datelor”?  Mai departe se specifică: ”În sectorul privat, activităţile principale ale unui operator se referă la activităţile sale de bază, şi nu la prelucrarea datelor cu caracter personal drept activităţi auxiliare. Nivelul necesar al cunoştinţelor de specialitate ar trebui să fie stabilit în special în funcţie de operaţiunile de prelucrare a datelor efectuate şi de nivelul de protecţie impus pentru datele cu caracter personal prelucrate de operator sau de persoana împuternicită de operator. Aceşti responsabili cu protecţia datelor, indiferent dacă sunt sau nu angajaţi ai operatorului, ar trebui să fie în măsură să îşi îndeplinească atribuţiile şi sarcinile în mod independent.” Stufos și ambiguu, lăsând loc pentru orice interpretări…

Revenind la Articolul 39, Alineatul 1 din GDPR unde ne trimite Articolul 37, aici este vorba de sarcinile care îi revin unui DPO. Să vedem cam ce experiență necesită fiecare:

  1. informarea şi consilierea companiei şi personalului care se ocupă de prelucrare cu privire la obligaţiile GDPR, dar și altor dispoziţii de drept al Uniunii sau drept intern referitoare la protecţia datelor – impune aptitudini clare pe parte legislativă și procedurală;
  2. monitorizarea respectării GDPR, a altor dispoziţii de drept referitoare la protecţia datelor şi a politicilor de protecţie a datelor cu caracter personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente – în plus față de abiltățile legislative se recomandă aptitudini manageriale de alocare a responsabilităților, sensibilizare și de formare a personalului, precum și experiență de auditare;
  3. furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionării acesteia, în conformitate cu articolul 35 – aici e clar că e nevoie de cineva familiarizat cu evaluarea riscurilor și a impactului asupra protecției datelor;
  4. cooperarea cu autoritatea de supraveghere; – aici practic e doar o chestiune de reprezentare, DPO acționând ca persoana de contact;
  5. punct de contact pentru autoritatea de supraveghere – la fel ca mai sus.

Din ce avem până acum, reiese că un DPO trebuie să aibă cunoștințe temeinice de legislație internă și europeană, să aibă un bun spirit managerial, să fie capabil să facă o analiză de risc și să fie un bun comunicator. OK. Altceva? Și bineînțeles să fie capabil să-și rezolve sarcinile de servici.

Ghidul WP29 sugerează că nivelul de expertiză al unui DPO trebuie să fie adecvat complexității datelor personale prelucrate și a măsurilor de protecție necesare. De exemplu, pentru o activitate complexă ce implică un larg volum de date senzitive, DPO trebuie să posede un înalt nivel de expertiză și suport.  O explicație logică, dar tot nu știm cine ne garantează nivelul de expertiză și suport? Pe site-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal există o pagină dedicată Responsabilului cu Protecția Datelor, care reprezintă o sinteză a recomandărilor din Ghidul WP29 de care am pomenit mai devreme. Pe lângă spiritual etic și integritatea profesională, calități personale absolut necesare pentru îndeplinirea sarcinilor, un candidat la poziția DPO trebuie să dovedească și o serie de calități profesionale, precum:

  • experiență în legislația și practicile de protecție a datelor la nivel național și european;
  • nivelul de cunoștințe în  domeniul protecției  datelor în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție necesar pentru datele cu caracter personal prelucrate;
  • să înțeleagă operațiunile de prelucrare efectuate, precum și sistemele de informații și cerințele de securitate și protecție a datelor prelucrate de operator;
  • cunoștințe privind reglementările legale din domeniul public, în cazul unei autorități sau instituții publice.

Lipsa unei entități de recunoaștere a competențelor

Bun, acum ne-am făcut o idee despre ce calități trebuie să aibă un DPO, dar tot nu știm cine ne oferă garanția că acesta va fi capabil să gestioneze un proces unde pericolele pândesc la fiecare pas? Nicăieri în documentațiile amintite nu am găsit ca principal atribut capacitatea de coordonare a unui proiect care durează cam întreg ciclul de viață al unui business și mai ales experiența de managementul crizei.

Ce criterii trebuie să primeze la numirea unui DPO? Să punem pe cineva priceput, ca să-l avem în schema la data de 25 mai a.c.? Sau să ne bazăm pe cineva care știe ce este de făcut în momentul în care apare o breșă de Securitate? Putem avea șansa ca acest moment să nu apară de loc. Putem avea încredere într-un tânăr cu abilități manageriale care face o instruire de 4-5 zile? Desigur, dar învățatul ”din mers” presupune asumarea unor riscuri. În cine aveți mai mare încredere în situația unui incendiu? Într-un proaspăt absolvent cu uniforma apretată sau într-un pompier veteran?

Lipsa de reguli clare generează ambiguitate. Desigur, există opțiunea externalizării acestei poziții și apelarea la un DPO specializat. Bun, ce fel de specializare ar trebui să aibă acesta pentru a fi de încredere? Putem să încredințăm oricui informațiile cele mai sensibile ale unei companii? O soluție ar fi selectarea pe bază de curriculum. Asta va veni în timp, când primele generații de DPO vor acumula experiența în proiecte reale.

Cursuri de formare DPO pe piața din România

În România există deja câteva opțiuni instruire pentru DPO. Unele dintre acestea sunt rezultatul cooperării dintre companii românești și organizme care girează recunoașterea internațională a certificării DPO în anumite condiții, altele sunt inițiative locale care oferă programe de formare customizate pentru cei care vor să se specializeze în GDPR. Unele dintre aceste oferte de cursuri pot fi găsite în Catalogul GDPR publicat în octombrie 2017, altele vor fi disponibile în noua ediție a Catalogului care va apărea în scurt timp.

Cu toate acestea, în acest moment niciunul dintre programele de instruire existente în țara noastră nu beneficiază de recunoașterea unei autorități naționale sau europene, care să reglementeze certificarea DPO.  Ce putem face în aceste condiții? Să mizăm pe faptul că nu va apărea niciun incident de Securitate până când DPO-ul nostru va acumula suficientă experiență pentru a administra situația critică? Sau sa ne consolăm cu faptul că datele prelucrate de noi nu sunt critice și în consecință nu avem nevoie de cineva cu ani de expertiză. Cert este că o pregătire profesională specializată pe GDPR este absolut necesară. Aici nu ne putem baza doar pe tutoriale de pe YouTube.

În lipsa unor standarde de certificare se merge pe principiul că piața aduce experiența, care ajută la formarea experților. În țările cu tradiție, un rol important îl au asociațiile profesionale și mediile academice. Probabil că lucrurile vor evolua și la noi. Dacă ne uităm la recomandările organismelor de certificare cu recunoaștere internațională precum IAPP sau PECB vom vedea că pentru acordarea unei diplome de Certified Data Protection Officer este nevoie de o experiență de minim 2-3 ani în proiecte de protecție a datelor personale sau de acumularea ulterioară a acestei experiențe în peste 300 de ore de proiect. Partenerii IAPP oferă cursuri independente sau corelate de Certified Information Privacy Professional/Europe (CIPP/E) și Certified Information Privacy Manager (CIPM), menite să asigure formarea optimă a unui DPO.  Statisticile arată că e nevoie de cel puțin 25-30 de ore de instruire doar pentru a obține o înțelegere coerentă a problematicii GDPR, și de peste 300 de ore de proiect pentru obținerea unei experiențe  de DPO.

Modelul spaniol

Agenția de protecție a datelor personale din Spania (AEDP) este prima din Europa care a stabilit un set de reguli pentru certificarea DPO. Acestea explică în detaliu ce abilități trebuie să demonstreze un DPO pentru ași putea exercita funcția în proiectele GDPR. În lipsa unor specificații clare în GDPR, AEPD a decis elaborarea unei scheme de certificare care să definească un cadru general de recunoaștere a competențelor unui DPO.

Pentru aceasta, AEPD colaborează cu ENAC (Entitatea Națională Spaniolă pentru Acreditări) și cu un grup de experți în protecția datelor. Rolul ENAC în acest demers este acreditarea schemei de certificare care se face conform standardului ISO 17024. AEPD apreciază că va fi necesar și un proces de autorizare a entităților care oferă servicii de instruire.

Dar și aici apare o problemă: evaluatorii organismului de certificare vor trebui să dețină o experiență profesională echivalentă sau (de dorit) mai mare decât candidații propuși certificării… și capacitatea de evaluare a examenelor. Asta presupune cel puțin o diplomă postuniversitară și minim 5 ani de experiență în securitatea informațiilor.

Într-un viitor articol vom discuta care sunt cerințele de bază pentru a activa ca DPO în Spania.

11 thoughts on “AVEM UN DPO: CUM ÎL CERTIFICĂM?

  1. Deci, pana la urma, trebuie sau nu certificare ?
    Eu daca sunt specialist IT, cu experienta in securitate It, in management, matketing, etc, fara sa ma dau prea mare, pot sa fiu DPO sau pot oferii servicii ca PFA in acest sens?

    Reply

  2. Salut,

    Scuze pentru intarzierea raspunsului.

    Oricine poate fi DPO cu un minimum de experienta in proiecte IT. Nu e nevoie de certificare. Trebuie doar sa va apucati de treaba, iar daca sunteti deja angajatul companiei sa nu existe conflict de interese. Pentru DPO extern, ca PFA intruniti toate conditiile.

    Multa bafta,

    Radu Crahmaliuc

    Reply

  3. din raspunsul dvs ar reiesi ca oricine are ceva experienta in protectia datelor cu caracter personal(un HR sau responsabil cu protectia personalului(obtinerea autorizatiilor eliberate de ORNISS), poate fi DPO, fara insa a face ceva in plus si recunoscut de o entitate nationala. reiese in acelasi timp ca toate cursurile oferite de diverse companii/firme sunt nule si au valoarea unei hartii tiparite. am inteles bine?

    Reply
  4. Pingback: GDPR – UN STATUS DUPĂ 100 DE ZILE | cloud☁mania
  5. Pingback: GDPR – UN STATUS DUPĂ 100 DE ZILE – GDPR Ready!

  6. buna ziua, eu sunt consilier juridic. Pt a deveni DPO-PFA (nu vreau sa fiu salariat) trebuie sa am certificare DPO, altfel nu ai in ce baza legala sa fii DPO!

    Reply

    1. Buna ziua. Discutia e lunga. In acest moment nu exista aceasta baza legala. Nu o ofera nici macar cursurile atestate ANC. Exista codul COR inregistrat, dar nu exista o decizie aprobata de MEC si de MM pentru standardul educational asociat. Desi exista cod COR 242231, acesta nu se regaseste nici pe portalul COR de la ANC, nici in Revisal… Sfatul colegilor dvs
      juristi este inregistrarea im Revisal a celui mai apropiat COD existent in revisal, dar mentionarea cofului DPO on fisa postului. Deci, teoretic nu exista in real temei legal nici pentru DPO intern/ angajat. Ca DPO extern e suficient sa aveti o diploma de absolvire a inui curs si minim 2-3 ani experienta in proiecte de securitatea datelor. SINGURUL CURS ce ofera certificare internationala DPO este cel girat de PECB si sustinut in RO de 2-3 parteneri. Puteti gasi detalii aici despre conditiile de acordare a certificarii:
      https://pecb.com/en/education-and-certification-for-individuals/gdpr/certified-data-protection-officer

      Reply

      1. Multumesc, insa poate puteti sa detaliati un pic va rog unde scrie ca pentru DPO extern (ceea ce ma intereseaza pe mine sau PFA) trebuie sa am minim 2-3 ani experienta in proiecte de securitatea datelor/DPO? ca si consilier juridic am destul de mare vechime si tangential am lucrat si in proiecte legate de protectia datelor, dar nu exclusiv in aceasta arie/ca DPO….

      2. Nu exista o distinctie intre cerintele de experienta pentru DPO intern sau extern.
        Conform cerintelor PECB pote fi acordata diploma de CERTIFIED DPO doar pentru experienta dovedita de 2-3 ani la momentul sustinerii examenului sau acumulare a peste 300 de ore de proiect postexamen.

        Recomandarile WP29 nu fac distinctie intre DPO extern si intern: A se vedea site ANSPDCP: https://www.dataprotection.ro/servlet/ViewDocument?id=1384

        8 Care sunt calitățile profesionale pe care trebuie să le posede un DPO?
        DPO trebuie desemnat pe baza calităților profesionale și, în special a cunoștințelor de specialitate în
        dreptul și practicile în domeniul protecției datelor, precum și pe baza capacității de a-și îndeplini
        sarcinile.
        Nivelul de expertiză necesar ar trebui determinat pe baza operațiunilor de prelucrare efectuate și a
        protecției necesare pentru datele cu caracter personal prelucrate. De exemplu, în situația în care o
        operațiune de prelucrare a datelor este deosebit de complexă sau în cazul în care este implicat un
        volum mare de date speciale, DPO poate necesita un nivel mai ridicat de expertiză și suport.
        Aptitudinile și expertiza relevante includ:
         experiență în legislația și practicile de protecție a datelor la nivel național și european, precum
        și o înțelegere complexă a RGPD
         înțelegerea operațiunilor de prelucrare efectuate
         înțelegerea tehnologiilor de informații și de securitate a datelor
         cunoașterea sectorului de afaceri și a organizației
         abilitatea de a promova protecția datelor în cadrul organizație

        In acelasi document, pentru DPO extern exista specificatia:
        În situația în care funcția DPO este exercitată de un furnizor de servicii extern, o echipă de persoane
        fizice angajate ale respectivei entități poate îndeplini eficient sarcinile DPO ca o echipă, sub
        responsabilitatea unei singure persoane desemnate ca persoană de contact principală și „persoană
        responsabilă” pentru client. În această situație, este esențial ca fiecare membru al organizației care
        exercită funcțiile unui DPO să îndeplinească toate cerințele aplicabile potrivit RGPD.
        Din motive de claritate juridică și o bună organizare și pentru a preveni conflictele de interes pentru
        membrii echipei, Ghidul recomandă existența unei alocări clare a sarcinilor în cadrul echipei DPO și
        desemnarea unei singure persoane ca persoană de contact principală și persoană „responsabilă” pentru
        fiecare client.

        SFATUL MEU: Urmati un curs DPO, faceti-vă un portofoliu de experienta si incepeti activitatile de consultanta. Daca aveti un partener din zona de tehnologie puteti merge impreuna si sa acoperiti tot necesarul de cerinte dintr-un proiect.
        Multa Bafta!

  7. Pingback: CELE MAI CITITE ARTICOLE CLOUDMANIA DIN 2018 | cloud☁mania

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.