Noul regulament privind protecția datelor, în vigoare din 25 mai. România, fără un ghid cu minime măsuri de securitate

Amenda maximă va fi de 4% din cifra de afaceri anuală sau 20 de milioane de euro. Multe firme nu știu ce au de făcut sau dacă sunt vizate de directiva ceea ce provoacă neliniște. Autoritatile nu au elaborat un ghid cu măsuri minime de securitate ceea ce amplifică neliniștea de pe piață.

Avocatul Adrian Decianu explică: "Regulamentul se aplică tuturor celor care au de-a face cu date cu caracter personal, atât timp cât este vorba despre o prelucrare a acestora în mod automat. Vorbim despre baze de date pe PC, dar și dacă aceste informații sunt stocate în formă fizică.

Reporter: Ce înseamnă date cu caracter personal? La ce ne referim?

A.D: La orice informații, numele, prenumele unei persoane, emailul, chiar și înregistrarea vocii. Dacă are un ton distinct prin care se poate identifica o persoană dintre mai multe alte persoane, atunci este considerată dată cu caracter personal....Obiceiurile, locul unde te duci să cumperi într-o anumită perioadă de timp, ce tipuri de cumpărături faci, orice elemente prin care poți ajunge să identifici o persoană anume.

Ca orice legislație de acest gen, nu poate da o definiție clară, ci doar elemente care te ajută să identifici ce înseamnă aceste informații.

(Datele cu caracter personal pot fi) orice informații privind o persoană prin care poți ajunge să identifici clar cine este persoana respectivă. Normal că cele mai simple (date) sunt CNP-ul, numele, prenumele, dar orice altă informație, atât timp cât ajută să identifici cine este persoana respectivă, va fi considerată dată cu caracter personal și intră sub incidența regulamentului.

Rep: Ce trebuie să facă aceste firme care lucrează cu date personale?

A.D: Dacă ele solicită aceste informații persoanelor respective, trebuie să le notifice și trebuie să le spună cine va prelucra informațiile, care sunt scopurile pentru care vor fi prelucrate, cât timp vor fi prelucrate, dacă vor fi șterse la final sau dacă vor fi arhivate, dacă aceste informații vor fi transmise și în afara granițelor UE, dacă vor fi transmise și către alți operatori sau rămân doar la societatea respectivă. Aceste lucruri trebuie aduse la cunoștința respectivei persoane ca să știe dacă este sau nu de acord, ca în aceste condiții, să furnizeze informațiile mai departe. Ideea este să protejeze cât mai mult persoana fizică în astfel de situații. Știți cum era până acum. Astfel de informații erau folosite de fiecare cum dorea. Erau inclusiv baze de date vândute comercianților, care trimiteau oferte. Sau, așa cum a fost scandalul recent (cu Cambridge Analytica), analizau comportamentul (persoanelor) și în funcție de acesta cine știe ce urmăreau ulterior.

Rep: Toate aceste modificări sunt mai mult de ordin birocratic sau implică și costuri pentru firme?

A.D: O parte sunt de ordin birocratic. Se pot rezolva prin proceduri simple prin care stabilești exact ce angajat al tău are acces la astfel de informații, ce trebuie să facă cu ele. Dacă este vorba de dosare scrise, trebuie puse sub cheie. Dar dacă vorbim despre alte servicii, cum ar fi din domeniul asigurărilor și servicii medicale, unde sunt informații puțin mai sensibile, vor implica mai multă parte tehnică, vor implica costuri. Dacă vor face testarea informațiilor vor apela la servicii de IT. Dacă vor trebui să cumpere alte echipamente tehnice, acest lucru va implica costuri. Inițial cred că vor fi costuri pe partea de audit. Am văzut că mulți oferă servicii de audit pentru a observa clar care este stadiul de conformare al clientului, iar mulți au oferte destul de scumpe pe această parte de audit.

Sunt societăți care au necesitatea de a avea un data protection officer. Fie au un angajat suplimentar pe partea asta, care va monitoriza tot timpul care este situația. Sunt companiile care monitorizează pe scară largă datele cu caracter personal. Aici intră în primul rând băncile, societățile de asigurare, spitalele private, cele care fac asta în mod curent.

Rep: Directiva europenă spune „persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal.”. Ce înseamnă acest lucru, concret? Ca să înțelegem, ne puteți da un exemplu?

A.D: Să mergem pe partea de servicii medicale. Dacă un pacient merge la orice spital sau clinică privată, de la prima vizită i se face o fișă care, în mod normal, se stochează electronic. Dacă dorește, acea persoană solicită informațiile clinicii ca să vadă ce informații a stocat despre ea.

Roagă să i le comunice, iar mai departe are dreptul să le dea cui vrea. Nu sunt doar proprietatea (operatorului / colectorului de date), chiar dacă acesta le-a structurat și le-a pus într-o bază de date a lui. Până la urmă, sunt datele lui cu caracter personal și dacă vrea le poate transmite și altor operatori.

Rep: Pe de altă parte, ce sperie și ce dă frisoane tuturor este faptul că în momentul în care ești prins cu o neregulă sancțiunile sunt foarte drastice.

A.D: Da, sunt foarte mari. Acele sancțiuni sunt sancțiunile maxime. Statul român, în funcție de ce lege va trece prin Parlament, poate stabili amenzi mult mai mici. De exemplu, poate să fie o amendă maximă de 20.000 de lei sau de 500.000 de lei. Rămâne de văzut. Regulamentul spune că sunt doar pedepse maxime care se aplică doar în cazul în care fiecare stat în parte nu își stabilește sancțiunile pe care le va aplica.

Rep: Cine va da aceste sancțiuni?

A.D: Cred că va rămâne în continuare în sarcina autorității de supraveghere în domeniu, dacă nu vor fi desemnate alte organe prin legea pe care o va da Parlamentul.

Rep: Ce se va întâmpla pe piața românească? Vom asista la închideri?

A.D: În continuare sper că cei de la autoritatea de supraveghere sunt de bună-credință, deși, până acum, nu au publicat niciun îndrumar în acest sens, ca toată lumea să știe la ce să se aștepte, care sunt condițiile minime de conformare. În regulament se face referire la asigurarea unor măsuri tehnice de siguranță, dar fără să detalieze în niciun fel. Toată lumea s-ar fi așteptat ca autoritatea noastră de supraveghere să dea câteva indicii, să știe fiecare cât ar trebui să investească în infrastructura IT ca să fie în regulă. Dar nu am primit niciun feedback din acest punct de vedere. Sper că vor fi de bună-credință și dacă vor găsi persoane care nu se încadrează, doar îi vor avertiza și le va da un termen de conformare. Dar nu pot să vă garantez ce vor face în fapt.

De precizat că, marți, Camera Deputaților a adoptat un proiect de lege prin care se  firmelor cu nereguli li se acordă  o perioadă de până la 6 luni pentru remedierea situației. Actul normativ mai are nevoie însă și de votul senatorilor.