Nevoia cristalizării unei comunități GDPR în România

Pe măsură ce ne apropiem de data de 25 mai, valuri tot mai mari se ridică amenințător pentru cei interesați de obținerea conformității GDPR.  Pe piața românească am remarcat două tendințe majore, fiecare fiind marcată de acțiuni oarecum antagoniste.

Deocamdată le voi trece în revistă, urmând să fac câte o analiză mai de detaliu pentru fiecare.

1.În ciuda interesului scăzut al companiilor, tot mai mulți vor să urmeze un curs de formare DPO

  • Nivelul general de interes din partea companiilor locale este încă foarte scăzut, în ciuda campaniilor de conștientizare derulate pe diferite canale
  • Interesul particular pentru instruirea specifică DPO este în creștere, dovadă fiind numărul simțitor crescător de solicitări pentru recomandări de cursuri
  1. Avem o Comunitate de specialiști în plină formare, dar nivelele de interes sunt bipolare:
  • Există o comunitate eterogenă de specialiști, proveniți din medii multiculturale și multidisciplinare, care este destul de activă în social media și care pare dispusă să partajeze public câte ceva din cunoștințele acumulate
  • Destul de mulți membrii ai acestei comunități par a fi mai mult preocupați de certificările și tarifele practicate de alții, care s-au apucat de treabă așa cum au știut ei.

Dar să le luăm pe rând…

Nivel redus de interes din partea companiilor

La fel ca și alții care au luat contact cu realitatea pieței, constat că în ciuda eforturilor de alfabetizare și a inițiativelor publice derulate în ultima vreme, încă se știe destul de puțin despre GDPR. Suntem asaltați de o avalanșă de evenimente și webinarii, la care participarea este totuși restrânsă, de multe ori limitată și de taxele de participare impuse de organizatori, interesați mai mult de profit, decât de impactul GDPR la mase. Persoanele de decizie din companiile mari si mici știu puțin despre GDPR, directori de resurse umane mai află unii de la alții, iar mulți dintre cei cu funcții IT ignoră toată povestea fiind convinși că GDPR este treaba juridicului, nu a lor. Cum să facem ca să audă tot mai mulți că avem de-a face cu o treabă serioasă? Televiziunile, din câte am văzut, au preluat mici anunțuri la rubricile de știri, dar și acelea trunchiate și asezonate de picanteria amenzilor uriașe. Pe când niște adevărate emisiuni de dezbatere, cu specialiști din toate zonele care interferează cu GDPR?

Interes crescător pentru cursurile de specializare

Numărul celor care mă contactează pentru recomandări legate de disponibilitatea de cursuri de formare DPO este din ce în ce mai mare. La fel ca și numărul celor care îmi citesc articolele publicate în cadrul inițiativei GDPR Ready. Asta e bine. Înseamnă că oamenii chiar sunt interesați să se instruiască. Să facă ceva. Să înceapă odată.

Oferta de cursuri susținute pe plan local s-a diversificat, pe măsura cererii. Nu mai comentez aici nivelul profesional al acestor cursuri, nici lipsa acreditărilor de certificare pentru DPO și furnizorii de instruire. Am tot scris despre asta în ultima vreme. E bine ca toți cei interesați să facă un curs, după timp și buget, și să se apuce de treabă.

Apariția unei comunități eterogene de specialiști

GDPR are un impact uriaș asupra proceselor de business, fiind deja asimilat cu marea transformare, cu pregătirea pentru era digitală. Și asta cam așa e. Cum orice proiect GDPR este un mediu multi-cultural și multi-specializat, este normal ca cei care au ajuns să fie interesați de problemă să provină din cele mai diverse medii: juriști de companie și avocați specializați în protecția datelor, consultanți de business, specialiști IT și experți în protecția și confidențialitatea datelor, oameni de proiecte, șefi de operațiuni sau directori de calitate. Și lista e mult mai lungă.

În această conjunctură heteroclită, se discută cu acuitate problema numirii responsabilului cu protecția datelor personale. Care cea mai apropiată poziție de idealul DPO, ale căror competențe le-am tot discutat. Aici nebulozitatea e destul de mare. Reprezentanți autorității de supraveghere în luărilor lor publice de cuvânt recomandă un jurist cu studii de IT sau un IT-st cu specializare juridică. E destul oare? Reacțiile din social media au fost pe măsură.

Orice om cu experiență de proiect își dă seama că nu e de ajuns. Și aici polemica e destul de mare în diferitele comunități de breaslă, care contestă mare parte din ce zic colegii lor și nici nu iau în seamă mesajele venite din comunități conexe sau tangente, de la oameni care văd lucrurile din alte perspective, cu alte experiențe practice.  Și asta nu e bine, pentru că argumentarea de dragul argumentării și cantonarea în șabloane fără orizonturi nu nasc deschidere, și nici progres. Multe idei mari au venit de la oamenii de pe margine, care au perspectiva spațială.

Nevoia de acțiune duce la conglomerare

În condițiile actuale, ca și în natură, e nevoie de câțiva factori externi care să producă ordine într-un mediu aparent guvernat de haos. Sau neguvernat… Să luăm încă o dată exemplul naturii. Aici  forțele tectonice acționează asupra tuturor rocilor, amestecându-le și conglomerându-le, după care urmează recristalizarea metamorficelor în diferite condiții de temperatură și presiune. Așa și în eforturile noastre de conformitate. GDPR-ul reprezintă forțele telurice ce generează o tectonică accidentată cu deformări la nivelul tuturor compartimentelor de business dintr-o companie. Acesta este efectul disturbator al GDPR. Forța și presiunea geotectonică trebuie să fie în cazul nostru conștientizarea, determinarea și unitatea de acțiune.

Adunați reprezentanți din fiecare departament critic pentru prelucrarea datelor personale, faceți un grup de acțiune care,  singur sau cu asistență externă să facă un plan de conformitate, o analiză a circulației datelor, o prima analiză GAP și mai ales revizuirea tuturor condițiilor legale și contractuale. Orice manager de proiect știe să facă asta. După aceea, cu juristul, omul de HR, omul de operațiuni și IT-stul ținându-se de mână, e timpul să treceți și la finețuri precum analiza de risc, analizele de impact și planurile de anunțare a breșelor.

Au apărut în timp o serie de recomandări pentru strategiile și procedurile de implementare GDPR, emise de diferite organisme de supraveghere din țările cu experiență în protecția datelor sau recomandări ale grupului de lucru Articolul 29. Implementare în 6 pași, în 10 pași sau în 12 pași? Cine ne împiedică să adoptăm strategia care se potrivește cel mai bine nevoilor și resurselor noastre?

În marea majoritate a acestor checklist-uri, numirea unui DPO este unul dintre pașii finali. Adică n-avem nevoie în mod esențial de un DPO ca să începem procesul și să parcurgem primele etape. Adunați o echipă multidisciplinară și conștientă și veți face mult mai bine toate astea decât un DPO care învață din mers. După aceea, daca e cazul, gândiți-vă și la un DPO.

Un alt aspect, foarte rar adus în discuții este faptul că în multe companii mari un DPO are în permanentă în jur o forță de sprijin formată din colegii de la diferite departamente, care la nevoie pot să pria chiar sarcinile de DPO adjunct sau temporar.

Cristalizarea comunității de specialiști

Toți acești oameni care vin fiecare din domeniul lor de expertiză și au propria lor experiență pot contribui la crearea unui cadru emulator pentru organizațiile care au nevoie de sprijin. Dar pentru a fi emulatori, trebuie să fim toți pe aceeași lungime de undă, să cântăm cu toții în același cor, chiar dacă avem voci diferite. Fiecare dintre profesioniștii în legislație, securitatea datelor, procese de business sau consultanță interesați trebuie să se recristalizeze printr-un liant comun într-o adevărată comunitate de specialiști GDPR.

 

Asta va folosi cu adevărat comunității de business aflate în derivă. Asta ne va folosi și nouă, negreșit.   

Articol publicat și în revista IT Trends, Februarie 2018

Advertisements

PARIUL CELOR 100 DE ZILE

Au mai rămas fix 100 de zile până la intrarea în vigoare a noului Regulament european privitor la prelucrarea datelor personale. Să fie 25 Mai 2018 data la care detonează bomba? N-ar trebui să privim așa. Trebuie să ne gândim că este un deadline pentru terminarea și predarea unui proiect. În mod firesc urmează consolidarea și susținerea acestuia.

Mulți apreciază că cele mai mari companii nu au cum să fie gata până atunci. Sunt speculații că ar apărea niște termene de grație. Cât despre companiile mici și mijlocii, proorocii zic că multe or să dispară. Povești. Cu cât o companie este mai mica, și procesele de business sunt mai simple, iar fluxurile de date mai ușor de mapat și implicit datele mai simplu de protejat. Tot ce trebuie să facă un IMM este să cunoască foarte bine prevederile GDPR și să mențină o serie de proceduri obligatorii pentru sănătatea în business. Da, lucrurile nu sunt simple și nu oricine are răbdare să citească cele 99 de articole și 173 de considerații din textul GDPR. Dar pentru asta sunt specialiștii și consultanții. Și mai sunt și diferitele ghiduri elaborate din inițiativele autorităților sau comunității private.

 

Europa are nevoie de firul Ariadnei în labirintul către GDPR

Se cuvine să amintim aici recentul Ghid online  lansat de Comisia Europeană la sfârșitul lunii ianuarie, care conține întrebări și răspunsuri esențiale pentru cetățeni și organizații, în special cele din zona IMM. Important pentru companiile mici și mijlocii din țara noastră este că au la dispoziție și o versiune de conținut a Ghidului în limba română.

Pe această pagină putem găsi un document foarte important pentru analiza procesului de adopție GDPR și în special pentru activitățile care urmează să se desfășoare în sprijinul autorităților locale și al cetățenilor. Este vorba de o ”Comunicare a Comisiei către Parlamentul European și Consiliul Europei” prin care se trec în revistă Orientările Comisiei privind aplicarea directă a Regulamentului general privind protecția datelor de la 25 mai 2018. Documentul recapitulează principalele inovații și oportunități oferite de noua legislație a UE privind protecția datelor, face bilanțul activităților pregătitoare efectuate până în prezent la nivelul UE, evidențiază ceea ce ar trebui să facă în continuare Comisia Europeană, autoritățile naționale pentru protecția datelor și administrațiile naționale pentru finalizarea cu succes a etapei de pregătire, stabilind totodată măsurile pe care Comisia intenționează să le adopte în următoarele luni.

Tot în acest document găsim o evidență a activității Grupului de lucru Articolul 29 – cunoscut sub abrevierea WP29, care reunește toate autoritățile naționale pentru protecția datelor, inclusiv Autoritatea Europeană pentru Protecția Datelor. WP29 joacă un rol esențial în pregătirea punerii în aplicare a regulamentului, prin publicarea de orientări pentru întreprinderi și pentru alte părți interesate. Iată o listă complete a diferitelor ghiduri și recomandări elaborate de Grupul de lucru sau aflate în curs de procesare:

 

Dreptul la portabilitatea datelor Adoptat la 4-5 aprilie 2017
Responsabili cu protecția datelor
Desemnarea autorității de supraveghere principale
Evaluarea impactului asupra protecției datelor Adoptat la 3-4 octombrie 2017
Amenzi administrative Adoptat la 3-4 octombrie 2017
Crearea de profiluri Activitate în curs
Încălcarea securității datelor Activitate în curs
Consimțământul Activitate în curs
Transparența Activitate în curs
Certificarea și acreditarea Activitate în curs
Criterii de referință privind adecvarea Activitate în curs
Reguli corporatiste obligatorii pentru operatori Activitate în curs
Reguli corporatiste obligatorii pentru persoanele împuternicite de către operatori Activitate în curs

Întrucât este esențial ca operatorii să dispună de un set unic și coerent de orientări, ghidurile actuale realizate din inițiative naționale trebuie aduse în conformitate cu cele adoptate de WP29 cu privire la același subiect.

Aceste ghiduri nu sunt bătute în cuie, ci se actualizează prin procese consultative permanente și pe baza celor mai bune practici. Fiecare ghid de recomandări trebuie să fie supus unei consultări publice înainte de a fi finalizat. Responsabilitatea finală pentru aceste orientări revine grupului de lucru instituit prin articolul 29 și viitorului Comitet european pentru protecția datelor. Pentru a crea posibilitatea modificării orientărilor în lumina evoluțiilor și a practicilor, este esențial ca autoritățile pentru protecția datelor să promoveze o cultură a dialogului cu toate părțile interesate, inclusiv cu organizațiile. Este de reținut că în momentul în care apar neclarități referitoare la interpretarea și aplicarea regulamentului, instanțele de la nivel național și de la nivelul UE sunt cele care vor furniza interpretarea definitivă a acestuia. Citiți cu atenție textul Comunicării. Cu siguranță veți mai găsi multe aspect de interes pentru etapele care urmează.

Norme pentru companii și organizații

Ce mai găsim în Ghidul online al Comisiei Europene? În primul rând o serie de întrebări și răspunsuri fundamentale, menite să expliciteze normele aplicabile organizațiilor care procesează date personale. Iată o trecere în revistă a acestora:

Aplicarea regulamentului: ● Cui i se aplică Regulamentul privind protecția datelor? ● Se aplică normele în cazul IMM-urilor? ● Normele de protecție a datelor se aplică datelor referitoare la societăți?

Principiile GDPR: ● Ce date pot fi prelucrate și în ce condiții? ● Scopul prelucrării datelor ●  Cât de multe date se pot colecta? ● Cât timp pot fi păstrate datele și se impune actualizarea lor? ● Ce informații trebuie să le oferim persoanelor ale căror date sunt colectate? ● Privire generală asupra principiilor r

Administrațiile publice și protecția datelor: ● Care sunt principalele aspecte ale Regulamentului general privind protecția datelor (RGPD) pe care ar trebui să le cunoască o administrație publică? ●Cum tratăm solicitările din partea persoanelor fizice? ●Ce se întâmplă dacă o administrație publică nu respectă normele privind protecția datelor?

Temeiul juridic al prelucrării datelor: ●  Motivele prelucrării ●Date sensibile ● Există garanții specifice pentru datele referitoare la copii? ● Pot fi folosite pentru marketing datele primite de un terț?

Obligații: ● Operator/persoana împuternicită de operator ● Sunt identice obligațiile indiferent de volumul de date pe care îl gestionează societatea/organizația mea? ● Ce înseamnă asigurarea protecției datelor „începând cu momentul conceperii” și „în mod implicit”? ● Ce este o încălcare a securității datelor și ce trebuie făcut în cazul unei asemenea încălcări? ● Când este necesară o evaluare a impactului asupra protecției datelor (DPIA)? ● Responsabilii cu protecția datelor ● Ce norme se aplică dacă organizația mea transferă date în afara UE? ● Cum pot demonstra că organizația mea se conformează la GDPR?

Relațiile cu cetățenii: ● Cum trebuie tratate solicitările din partea persoanelor fizice care își exercită drepturile privind protecția datelor? ● Ce date și informații cu caracter personal poate accesa o persoană fizică la cerere? ● Suntem obligați întotdeauna să ștergem datele cu caracter personal dacă o persoană ne cere acest lucru? ● Ce se întâmplă dacă cineva se opune la prelucrarea datelor sale cu caracter personal de către societatea mea? ● Pot persoanele fizice să solicite transferarea datelor lor la o altă organizație? ● Există restricții privind utilizarea proceselor decizionale automate?

Aplicarea legii și sancțiuni: ● Aplicarea legii ● Sancțiuni

Ghilotina amenzilor uriașe

Ce se mai întâmplă în România?  GDPR a ajuns în sfârșit un subiect pe burtierele emisiunilor de știri și un cuvânt cheie în titlurile mari de prin ziare. S-au înmulțit evenimentele de popularizare și conștientizare a noului regulament, ceea ce e bine pentru că GDPR trebuie să ajungă la mase. Personal am mari îndoieli legate de eficiența unora dintre evenimente care își propun să facă awareness, dar percep taxe de participare de peste 100 de euro…

Cu toate astea, mai de frică, mai de spaimă, lucrurile au început să se miște. E bună și spaima, dacă în cele din urmă te convingi că lucrurile sunt serioase și e timpul să faci ceva pentru afacerea ta acum. O bună parte din presiunea care s-a pus pe orice are legătură cu GDPR e legată de ghilotina amenzilor uriașe. Majoritatea covârșitoare a articolelor, prezentărilor și materialelor de popularizare pe care le-am văzut încep cu triada:

  1. Mai ai de trăit până pe 25 mai 2018
  2. Oricând riști o amendă de 20 de milioane de euro
  3. Vin-o la noi și îți arătăm calea…

În acest context, de salutat inițiativa Autorității Naționale de Supraveghere pentru Prelucrarea Datelor cu Caracter Personal (ANSPDCP) de a face puțină lumină în discuțiile legate de amenzile cu care vine GDPR. Într-un Comunicat de presă de la începutul acestei luni Autoritatea explică persoanelor vizate că au posibilitatea de ași exercita drepturile privitoare la protecția datelor personale în mod gratuit, și tot gratuite sunt și plângerile adresate operatorilor sau autorității. Dacă plângerea este admisibilă, aceasta va putea fi urmată de o investigație la operatorul de date reclamat.

Măsurile corective pe care Autoritatea de Supraveghere le va putea dispune în temeiul Noului Regulament General privind Protecția Datelor Personale se referă la: dispunerea unei avertizări în atenția unui operator, acordarea unei mustrări, obligarea operatorului să informeze persoana vizată cu privire la o încălcare a protecției datelor, impunerea unei limitări temporare sau definitive, inclusiv o interdicție asupra prelucrării, rectificarea sau ștergerea datelor sau restricționarea prelucrării, etc.” se arată în comunicatul Autorității.

Mai departe se face clarificarea cazurilor în care e nevoie să se aplice sancțiuni cu amendă. Acestea nu vor fi aplicate fără a avea la bază o analiză temeinică, în funcție de circumstanțele fiecărui caz în parte.” Și totuși, ”atunci când se va lua decizia dacă să se impună o amendă administrativă, precum și valoarea acesteia în fiecare caz în parte, se va acorda atenția cuvenită criteriilor prevăzute de Regulamentul General privind Protecția Datelor, astfel încât să se asigure principiul proporționalității,” se specifică în comunicat.

În fine, propunându-și susținerea creșterii nivelului de conștientizare, Autoritatea de Supraveghere se delimitează de opiniile lansate tot mai des în spațiul public, care induc în mod greșit ideea că sancțiunile cu amenzi la nivel maxim sunt singurele măsuri corective la care se poate recurge”. Totodată, Autoritatea se delimitează și respinge publicitatea agresivă a unor terțe părți în încercarea de monetizare a prevederilor Regulamentului General privind Protecția Datelor, prin mediatizarea ”perspectivei de a se aplica amenda maximă de 4% din cifra de afaceri” și acreditarea ideii false că aplicarea amenzii maxime ar fi principalul obiectiv al Regulamentului.

 În toate discuțiile pe care le am cu diferitele organizații și în luările mele publice de cuvânt pledez pentru o atitudine optimist-constructivă în relația cu GDPR, pe care trebuie să îl abordăm cu toată responsabilitatea. Oricine parcurge procedurile și procesele esențiale din proiectul de implementare a conformității GDPR face un mare pas înainte pentru că își pune ordine în toate datele cu care operează, nu numai în datele personale. Odată parcurse niște etape, cele mai multe asimilabile cu un proces de implementare a unui standard de calitate, capeți o încredere mai mare în oportunitățile tale și, ce e cel mai important oferi încredere clienților, partenerilor și angajaților.

Azure Stack for the first time in Romania through BinBox

BinBox is the first provider of Azure Stack hybrid cloud services in Romania. Capitalizing the full potential of the Microsoft Azure Stack hybrid Cloud platform, BinBox’s datacenters are providing improved access and control to their clients. From the government infrastructure to any industries organizations like health, insurance or finance can benefit from the immediate advantages offered by the hybrid cloud platform.

Microsoft Azure Stack is an extension of the Microsoft Azure Cloud platform, which sets the building blocks of a truly consistent Cloud platform. Its consistency eliminates any setbacks generated by the complexity of a hybrid Cloud platform, aiding to maximize the clients’ investments in the Cloud platform and local storage media. At the same time, this consistency contributes to the optimization of the application development process and the increase of developers’ productivity.

Azure Stack facilitates the fast development of Cloud applications, by building components thereof directly in the Azure Marketplace. Consequently, this feature allows clients to invest in people and processes, knowing that they are fully transferable. The ability to run consistent services on a local basis in Azure provides full flexibility in the decision-making process surrounding the location of the applications and processes’ storage. In the same time, the integrated delivery model allows companies to faster delivery of innovative solutions from the Azure platform.

Through this first implementation of Azure Stack in Romania, Microsoft, together with partners such as BinBox, is helping companies benefit from the sheer strength of our Cloud platform, in order to develop new products by using artificial intelligence, machine learning, cognitive intelligence and IoT”,  stated Daniel Rusen, Cloud and Enterprise Lead, Microsoft Romania.

The BinBox team is permanently developing and implementing new ideas, in order to provide a wide range of applications and services, designed to optimize business processes across the board. For instance, Azure Stack allows companies located in remote areas or dealing with unreliable networks to use cloud methods without an Internet connection. Also important is the Cloud model can be brought on premises, by designing, updating and extending applications, with the help of a consistent DevOps process, available for deployment in the Cloud platform as well as on-premises.

 

Tiberiu Croitoru, CEO BinBox Global Services

 

 

We are thrilled by this new challenge and we are confident that it will lead to new opportunities on the Romanian Cloud market”, said Tiberiu Croitoru, CEO BinBox Global Services. ”Moreover, we will be able to improve our products and launch customized services designed for the premium market, at the same time”.

 

 

 

Microsoft’s hybrid Cloud platform also brings a number of innovative characteristics to the Romanian market, such as:

  • Compliance with the new European regulations regarding the protection of personal data – GDPR
  • Improved DevOps and CloudOps practices
  • Continuous integration
  • Customized services
  • Deployment templates for any environment

As a Microsoft partner and certified Azure Stack provider, BinBox is committed to providing the highest level of accessibility and security to its clients, by using state of the art technology from top-tier providers such as CISCO.

About BinBox

BinBox is dedicated to connecting people, information and ideas around the world, providing the highest quality telecommunication and data center services. The company has evolved from a classic data center provider to a full-service provider, aiming to save costs and reduce its clients’ efforts to manage hardware and software platforms, thus allowing them to focus on the activities that are most important to their businesses.

%d bloggers like this: