GDPR

Nevoia cristalizării unei comunități GDPR în România

Pe măsură ce ne apropiem de data de 25 mai, valuri tot mai mari se ridică amenințător pentru cei interesați de obținerea conformității GDPR.  Pe piața românească am remarcat două tendințe majore, fiecare fiind marcată de acțiuni oarecum antagoniste.

Deocamdată le voi trece în revistă, urmând să fac câte o analiză mai de detaliu pentru fiecare.

1.În ciuda interesului scăzut al companiilor, tot mai mulți vor să urmeze un curs de formare DPO

  • Nivelul general de interes din partea companiilor locale este încă foarte scăzut, în ciuda campaniilor de conștientizare derulate pe diferite canale
  • Interesul particular pentru instruirea specifică DPO este în creștere, dovadă fiind numărul simțitor crescător de solicitări pentru recomandări de cursuri
  1. Avem o Comunitate de specialiști în plină formare, dar nivelele de interes sunt bipolare:
  • Există o comunitate eterogenă de specialiști, proveniți din medii multiculturale și multidisciplinare, care este destul de activă în social media și care pare dispusă să partajeze public câte ceva din cunoștințele acumulate
  • Destul de mulți membrii ai acestei comunități par a fi mai mult preocupați de certificările și tarifele practicate de alții, care s-au apucat de treabă așa cum au știut ei.

Dar să le luăm pe rând…

Nivel redus de interes din partea companiilor

La fel ca și alții care au luat contact cu realitatea pieței, constat că în ciuda eforturilor de alfabetizare și a inițiativelor publice derulate în ultima vreme, încă se știe destul de puțin despre GDPR. Suntem asaltați de o avalanșă de evenimente și webinarii, la care participarea este totuși restrânsă, de multe ori limitată și de taxele de participare impuse de organizatori, interesați mai mult de profit, decât de impactul GDPR la mase. Persoanele de decizie din companiile mari si mici știu puțin despre GDPR, directori de resurse umane mai află unii de la alții, iar mulți dintre cei cu funcții IT ignoră toată povestea fiind convinși că GDPR este treaba juridicului, nu a lor. Cum să facem ca să audă tot mai mulți că avem de-a face cu o treabă serioasă? Televiziunile, din câte am văzut, au preluat mici anunțuri la rubricile de știri, dar și acelea trunchiate și asezonate de picanteria amenzilor uriașe. Pe când niște adevărate emisiuni de dezbatere, cu specialiști din toate zonele care interferează cu GDPR?

Interes crescător pentru cursurile de specializare

Numărul celor care mă contactează pentru recomandări legate de disponibilitatea de cursuri de formare DPO este din ce în ce mai mare. La fel ca și numărul celor care îmi citesc articolele publicate în cadrul inițiativei GDPR Ready. Asta e bine. Înseamnă că oamenii chiar sunt interesați să se instruiască. Să facă ceva. Să înceapă odată.

Oferta de cursuri susținute pe plan local s-a diversificat, pe măsura cererii. Nu mai comentez aici nivelul profesional al acestor cursuri, nici lipsa acreditărilor de certificare pentru DPO și furnizorii de instruire. Am tot scris despre asta în ultima vreme. E bine ca toți cei interesați să facă un curs, după timp și buget, și să se apuce de treabă.

Apariția unei comunități eterogene de specialiști

GDPR are un impact uriaș asupra proceselor de business, fiind deja asimilat cu marea transformare, cu pregătirea pentru era digitală. Și asta cam așa e. Cum orice proiect GDPR este un mediu multi-cultural și multi-specializat, este normal ca cei care au ajuns să fie interesați de problemă să provină din cele mai diverse medii: juriști de companie și avocați specializați în protecția datelor, consultanți de business, specialiști IT și experți în protecția și confidențialitatea datelor, oameni de proiecte, șefi de operațiuni sau directori de calitate. Și lista e mult mai lungă.

În această conjunctură heteroclită, se discută cu acuitate problema numirii responsabilului cu protecția datelor personale. Care cea mai apropiată poziție de idealul DPO, ale căror competențe le-am tot discutat. Aici nebulozitatea e destul de mare. Reprezentanți autorității de supraveghere în luărilor lor publice de cuvânt recomandă un jurist cu studii de IT sau un IT-st cu specializare juridică. E destul oare? Reacțiile din social media au fost pe măsură.

Orice om cu experiență de proiect își dă seama că nu e de ajuns. Și aici polemica e destul de mare în diferitele comunități de breaslă, care contestă mare parte din ce zic colegii lor și nici nu iau în seamă mesajele venite din comunități conexe sau tangente, de la oameni care văd lucrurile din alte perspective, cu alte experiențe practice.  Și asta nu e bine, pentru că argumentarea de dragul argumentării și cantonarea în șabloane fără orizonturi nu nasc deschidere, și nici progres. Multe idei mari au venit de la oamenii de pe margine, care au perspectiva spațială.

Nevoia de acțiune duce la conglomerare

În condițiile actuale, ca și în natură, e nevoie de câțiva factori externi care să producă ordine într-un mediu aparent guvernat de haos. Sau neguvernat… Să luăm încă o dată exemplul naturii. Aici  forțele tectonice acționează asupra tuturor rocilor, amestecându-le și conglomerându-le, după care urmează recristalizarea metamorficelor în diferite condiții de temperatură și presiune. Așa și în eforturile noastre de conformitate. GDPR-ul reprezintă forțele telurice ce generează o tectonică accidentată cu deformări la nivelul tuturor compartimentelor de business dintr-o companie. Acesta este efectul disturbator al GDPR. Forța și presiunea geotectonică trebuie să fie în cazul nostru conștientizarea, determinarea și unitatea de acțiune.

Adunați reprezentanți din fiecare departament critic pentru prelucrarea datelor personale, faceți un grup de acțiune care,  singur sau cu asistență externă să facă un plan de conformitate, o analiză a circulației datelor, o prima analiză GAP și mai ales revizuirea tuturor condițiilor legale și contractuale. Orice manager de proiect știe să facă asta. După aceea, cu juristul, omul de HR, omul de operațiuni și IT-stul ținându-se de mână, e timpul să treceți și la finețuri precum analiza de risc, analizele de impact și planurile de anunțare a breșelor.

Au apărut în timp o serie de recomandări pentru strategiile și procedurile de implementare GDPR, emise de diferite organisme de supraveghere din țările cu experiență în protecția datelor sau recomandări ale grupului de lucru Articolul 29. Implementare în 6 pași, în 10 pași sau în 12 pași? Cine ne împiedică să adoptăm strategia care se potrivește cel mai bine nevoilor și resurselor noastre?

În marea majoritate a acestor checklist-uri, numirea unui DPO este unul dintre pașii finali. Adică n-avem nevoie în mod esențial de un DPO ca să începem procesul și să parcurgem primele etape. Adunați o echipă multidisciplinară și conștientă și veți face mult mai bine toate astea decât un DPO care învață din mers. După aceea, daca e cazul, gândiți-vă și la un DPO.

Un alt aspect, foarte rar adus în discuții este faptul că în multe companii mari un DPO are în permanentă în jur o forță de sprijin formată din colegii de la diferite departamente, care la nevoie pot să pria chiar sarcinile de DPO adjunct sau temporar.

Cristalizarea comunității de specialiști

Toți acești oameni care vin fiecare din domeniul lor de expertiză și au propria lor experiență pot contribui la crearea unui cadru emulator pentru organizațiile care au nevoie de sprijin. Dar pentru a fi emulatori, trebuie să fim toți pe aceeași lungime de undă, să cântăm cu toții în același cor, chiar dacă avem voci diferite. Fiecare dintre profesioniștii în legislație, securitatea datelor, procese de business sau consultanță interesați trebuie să se recristalizeze printr-un liant comun într-o adevărată comunitate de specialiști GDPR.

 

Asta va folosi cu adevărat comunității de business aflate în derivă. Asta ne va folosi și nouă, negreșit.   

Articol publicat și în revista IT Trends, Februarie 2018

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.