AVEM UN DPO: CUM ÎL CERTIFICĂM?

 

Mai sunt 114 zile până la intrarea în vigoare a Regulamentului EU 2016 – 679 și unul dintre aspectele care se află (încă) într-un con de umbră este pregătirea viitorilor responsabili cu protecția datelor (Data Protection Officer – DPO). Atât textul GDPR, cât și Ghidul privind Responsabilul cu protecția datelor (DPO) realizat de Grupul de Lucru Articolul 29 sunt destul de laconice în explicarea pregătirii profesionale a acestui personaj deosebit de important, un adevărt pivot al implementării și păstrării conformității GDPR la nivel de organizație.

Lipsa de norme dă naștere la interpretări. Această zonă crepusculară e cu atât mai critică în contextual în care avem de a face cu un Regulament European cu serioase implicații legislative. Cum alegem un DPO? Pe ce criterii profesionale? Cine ne garantează expertiza profesională a celui pe care îl vom numi în acest rol, element cheie în adopția GDPR? Sunt întrebări legitime care își găsesc cu destulă greutate răspunsul în condițiile în care în mod oficial nu există un organism de certificare sau de recunoaștere a competențelor unui DPO, nici la nivel UE și nici în celelalte țări membre. Cu o singură excepție, pe care o vom prezenta la sfârșit.

Ce găsim în Regulament, ghiduri și recomandări

Articolul 37 Alineatul 5 din GDPR stabilește că responsabilul cu protecția ar trebui să fie ”desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a îndeplini sarcinile prevăzute la articolul 39.” Destul de laconic, nu?

Haideți să căutăm ceva lămuriri în partea introductivă a Regulamentului EU 2016/ 679. În Considerentul 97 se fac niște specificații, pornind de la situațiile clare care necesită numirea obligatorie a unui DPO. Există cele trei situații: autoritate publică, prelucrare ce implică monitorizare regulată şi sistematică sau o prelucrarea pe scară largă pentru categorii speciale de date cu caracter personal se recomandă ca ”o persoană care deţine cunoştinţe de specialitate în materie de legislaţie şi practici privind protecţia datelor trebuie să acorde asistenţă operatorului sau persoanei împuternicite de operator pentru monitorizarea conformităţii.” Dacă experiența în legislație este de la sine înțeles în cazul GDPR, ce ar trebui să înțelegem din ”practici privind protecția datelor”?  Mai departe se specifică: ”În sectorul privat, activităţile principale ale unui operator se referă la activităţile sale de bază, şi nu la prelucrarea datelor cu caracter personal drept activităţi auxiliare. Nivelul necesar al cunoştinţelor de specialitate ar trebui să fie stabilit în special în funcţie de operaţiunile de prelucrare a datelor efectuate şi de nivelul de protecţie impus pentru datele cu caracter personal prelucrate de operator sau de persoana împuternicită de operator. Aceşti responsabili cu protecţia datelor, indiferent dacă sunt sau nu angajaţi ai operatorului, ar trebui să fie în măsură să îşi îndeplinească atribuţiile şi sarcinile în mod independent.” Stufos și ambiguu, lăsând loc pentru orice interpretări…

Revenind la Articolul 39, Alineatul 1 din GDPR unde ne trimite Articolul 37, aici este vorba de sarcinile care îi revin unui DPO. Să vedem cam ce experiență necesită fiecare:

  1. informarea şi consilierea companiei şi personalului care se ocupă de prelucrare cu privire la obligaţiile GDPR, dar și altor dispoziţii de drept al Uniunii sau drept intern referitoare la protecţia datelor – impune aptitudini clare pe parte legislativă și procedurală;
  2. monitorizarea respectării GDPR, a altor dispoziţii de drept referitoare la protecţia datelor şi a politicilor de protecţie a datelor cu caracter personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente – în plus față de abiltățile legislative se recomandă aptitudini manageriale de alocare a responsabilităților, sensibilizare și de formare a personalului, precum și experiență de auditare;
  3. furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionării acesteia, în conformitate cu articolul 35 – aici e clar că e nevoie de cineva familiarizat cu evaluarea riscurilor și a impactului asupra protecției datelor;
  4. cooperarea cu autoritatea de supraveghere; – aici practic e doar o chestiune de reprezentare, DPO acționând ca persoana de contact;
  5. punct de contact pentru autoritatea de supraveghere – la fel ca mai sus.

Din ce avem până acum, reiese că un DPO trebuie să aibă cunoștințe temeinice de legislație internă și europeană, să aibă un bun spirit managerial, să fie capabil să facă o analiză de risc și să fie un bun comunicator. OK. Altceva? Și bineînțeles să fie capabil să-și rezolve sarcinile de servici.

Ghidul WP29 sugerează că nivelul de expertiză al unui DPO trebuie să fie adecvat complexității datelor personale prelucrate și a măsurilor de protecție necesare. De exemplu, pentru o activitate complexă ce implică un larg volum de date senzitive, DPO trebuie să posede un înalt nivel de expertiză și suport.  O explicație logică, dar tot nu știm cine ne garantează nivelul de expertiză și suport? Pe site-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal există o pagină dedicată Responsabilului cu Protecția Datelor, care reprezintă o sinteză a recomandărilor din Ghidul WP29 de care am pomenit mai devreme. Pe lângă spiritual etic și integritatea profesională, calități personale absolut necesare pentru îndeplinirea sarcinilor, un candidat la poziția DPO trebuie să dovedească și o serie de calități profesionale, precum:

  • experiență în legislația și practicile de protecție a datelor la nivel național și european;
  • nivelul de cunoștințe în  domeniul protecției  datelor în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție necesar pentru datele cu caracter personal prelucrate;
  • să înțeleagă operațiunile de prelucrare efectuate, precum și sistemele de informații și cerințele de securitate și protecție a datelor prelucrate de operator;
  • cunoștințe privind reglementările legale din domeniul public, în cazul unei autorități sau instituții publice.

Lipsa unei entități de recunoaștere a competențelor

Bun, acum ne-am făcut o idee despre ce calități trebuie să aibă un DPO, dar tot nu știm cine ne oferă garanția că acesta va fi capabil să gestioneze un proces unde pericolele pândesc la fiecare pas? Nicăieri în documentațiile amintite nu am găsit ca principal atribut capacitatea de coordonare a unui proiect care durează cam întreg ciclul de viață al unui business și mai ales experiența de managementul crizei.

Ce criterii trebuie să primeze la numirea unui DPO? Să punem pe cineva priceput, ca să-l avem în schema la data de 25 mai a.c.? Sau să ne bazăm pe cineva care știe ce este de făcut în momentul în care apare o breșă de Securitate? Putem avea șansa ca acest moment să nu apară de loc. Putem avea încredere într-un tânăr cu abilități manageriale care face o instruire de 4-5 zile? Desigur, dar învățatul ”din mers” presupune asumarea unor riscuri. În cine aveți mai mare încredere în situația unui incendiu? Într-un proaspăt absolvent cu uniforma apretată sau într-un pompier veteran?

Lipsa de reguli clare generează ambiguitate. Desigur, există opțiunea externalizării acestei poziții și apelarea la un DPO specializat. Bun, ce fel de specializare ar trebui să aibă acesta pentru a fi de încredere? Putem să încredințăm oricui informațiile cele mai sensibile ale unei companii? O soluție ar fi selectarea pe bază de curriculum. Asta va veni în timp, când primele generații de DPO vor acumula experiența în proiecte reale.

Cursuri de formare DPO pe piața din România

În România există deja câteva opțiuni instruire pentru DPO. Unele dintre acestea sunt rezultatul cooperării dintre companii românești și organizme care girează recunoașterea internațională a certificării DPO în anumite condiții, altele sunt inițiative locale care oferă programe de formare customizate pentru cei care vor să se specializeze în GDPR. Unele dintre aceste oferte de cursuri pot fi găsite în Catalogul GDPR publicat în octombrie 2017, altele vor fi disponibile în noua ediție a Catalogului care va apărea în scurt timp.

Cu toate acestea, în acest moment niciunul dintre programele de instruire existente în țara noastră nu beneficiază de recunoașterea unei autorități naționale sau europene, care să reglementeze certificarea DPO.  Ce putem face în aceste condiții? Să mizăm pe faptul că nu va apărea niciun incident de Securitate până când DPO-ul nostru va acumula suficientă experiență pentru a administra situația critică? Sau sa ne consolăm cu faptul că datele prelucrate de noi nu sunt critice și în consecință nu avem nevoie de cineva cu ani de expertiză. Cert este că o pregătire profesională specializată pe GDPR este absolut necesară. Aici nu ne putem baza doar pe tutoriale de pe YouTube.

În lipsa unor standarde de certificare se merge pe principiul că piața aduce experiența, care ajută la formarea experților. În țările cu tradiție, un rol important îl au asociațiile profesionale și mediile academice. Probabil că lucrurile vor evolua și la noi. Dacă ne uităm la recomandările organismelor de certificare cu recunoaștere internațională precum IAPP sau PECB vom vedea că pentru acordarea unei diplome de Certified Data Protection Officer este nevoie de o experiență de minim 2-3 ani în proiecte de protecție a datelor personale sau de acumularea ulterioară a acestei experiențe în peste 300 de ore de proiect. Partenerii IAPP oferă cursuri independente sau corelate de Certified Information Privacy Professional/Europe (CIPP/E) și Certified Information Privacy Manager (CIPM), menite să asigure formarea optimă a unui DPO.  Statisticile arată că e nevoie de cel puțin 25-30 de ore de instruire doar pentru a obține o înțelegere coerentă a problematicii GDPR, și de peste 300 de ore de proiect pentru obținerea unei experiențe  de DPO.

Modelul spaniol

Agenția de protecție a datelor personale din Spania (AEDP) este prima din Europa care a stabilit un set de reguli pentru certificarea DPO. Acestea explică în detaliu ce abilități trebuie să demonstreze un DPO pentru ași putea exercita funcția în proiectele GDPR. În lipsa unor specificații clare în GDPR, AEPD a decis elaborarea unei scheme de certificare care să definească un cadru general de recunoaștere a competențelor unui DPO.

Pentru aceasta, AEPD colaborează cu ENAC (Entitatea Națională Spaniolă pentru Acreditări) și cu un grup de experți în protecția datelor. Rolul ENAC în acest demers este acreditarea schemei de certificare care se face conform standardului ISO 17024. AEPD apreciază că va fi necesar și un proces de autorizare a entităților care oferă servicii de instruire.

Dar și aici apare o problemă: evaluatorii organismului de certificare vor trebui să dețină o experiență profesională echivalentă sau (de dorit) mai mare decât candidații propuși certificării… și capacitatea de evaluare a examenelor. Asta presupune cel puțin o diplomă postuniversitară și minim 5 ani de experiență în securitatea informațiilor.

Într-un viitor articol vom discuta care sunt cerințele de bază pentru a activa ca DPO în Spania.

Advertisements

About Radu Crahmaliuc
Independent IT&C analyst, GDPR advisor, digital transformation & Cloud computing evangelist, start-ups developer, freelancer, storyteller, events moderator & keynote speaker

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: