Marius Dumitrescu: „GDPR-ul nu este o revoluţie, este o evoluţie!”

Marius Dumitrescu - despre GDPR

Marius Dumitrescu, președintele Asociației Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD), vorbește despre GDPR și cât de protejați sunt românii care navighează pe Internet.

Am primit prin poșta electronică un comunicat de presă, la sfârșitul căruia erau și date de contact (telefon, e-mail, adresă de poștă). Am folosit adresa de e-mail și am trimis un mesaj posesorului acestei adrese. Nu știu sigur dacă am procedat correct, conform Regulamentului general privind protecția datelor (GDPR). De aceea, l-am rugat pe Marius Dumitrescu, chiar posesorul adresei în cauză, președintele Asociației Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD), să ne spună dacă am greșit sau nu. 

A trecut un an de GDPR. Datele noastre personale sunt acum mai în siguranță?

„GDPR-ul nu este o revoluţie, este o evoluţie!”, aşa îmi încep majoritatea cursurilor, încercând să explic că acest pachet de reglementări legislative există încă din 1995 şi a evoluat într-un regulament european unic, influenţat mai ales de dezvoltarea tehnologică fără precedent. Putem spune că, în acest moment, legislaţia aleargă după tehnologie, dacă ne gândim doar la inteligenţa artificială şi la dispozitivele 5G.

Regulamentul UE 679/2016, cunoscut drept GDPR, a intrat în vigoare în 2016, acum trei ani de zile, dar se aplică doar din 25 mai 2018, după o perioadă de grație de doi ani, pe care majoritatea statelor europene nu a folosit-o pentru a lansa campanii de educare a persoanelor vizate și a operatorilor. Astfel, startul a fost dat în luna mai anul trecut, la momentul respectiv existând o estimare că doar 20% dintre operatorii europeni au început demersurile pentru a obține conformitatea.

În România, GDPR-ul a intrat brusc în viețile noastre printr-un bombardament al consimțămintelor, lansat de operatori din dorința de a intra rapid în legalitate. Acest demers a introdus și panica, ce s-a propagat pe tot parcursul anului. Această panică a fost alimentată și de marketingul înșelător al unor indivizi și companii care oferă servicii de consultanță, accentuând în primul rând dimensiunea astronomică a amenzilor, în loc să promoveze nevoia de instruire a personalului, fiind mai mult o responsabilitate a operatorului. Nu este vorba despre creșterea birocrației și despre proceduri sufocante. Este vorba despre respectul pe care trebuie să îl acordăm și să îl obținem unii de la ceilalți, respect de care am uitat din cauza banilor obținuți prin tranzacționarea datelor personale și a informațiilor confidențiale, efect direct al evoluției exponențiale a tehnologiei.

Sunt protejate datele noastre personale? Sau uneori ne facem rău singuri?

Noi, ca operatori de date, trebuie să renunțăm la a mai căuta soluții formale. Complianța GDPR nu se obține apasând butonul ”Print”, și orice operator care alege această cale rămâne la fel de expus riscurilor. Și, nu în ultimul rând, trebuie să nu uităm că toți suntem persoane vizate. Dacă la birou nu simt acest lucru pentru că sunt patron și influențez și decid direct în ce direcție îmi conduc firma, atunci când navighez pe internet sau pur și simplu merg pe stradă, intru într-un supermarket sau într-un hotel, sunt doar o persoană fizică și mă aștept să pot să decid cine, de ce și ce date personale prelucrează despre mine. Cu toții trebuie să punem umărul și să vorbim cu prietenii, rudele, vecinii despre erorile pe care le facem atunci când vânăm gratuități pe internet. Trebuie să încetăm să mai credem că ceva este gratuit și să vedem că, de fapt, plătim scump cu datele noastre personale, care au devenit o valoroasă monedă de schimb.

Eurobarometru special privind protecția datelor

În data de 22 mai 2019 au fost publicate primele rezultate ale sondajului Eurobarometru special privind protecția datelor, în cadrul căruia au fost colectate opiniile a peste 27.000 de persoane din întreaga UE. Dacă analizăm cele două rezultate publicate, România ocupă penultimul loc în topul țărilor ai căror cetățeni au auzit de autoritatea publică din țara lor, care se ocupă de protejarea drepturilor cu privire la datele personale (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal), doar 14% dintre cei intervievați cunoscând numele autorității și 46% afirmând că au auzit de existența acesteia.

În ceea ce privește Regulamentul general privind protecția datelor (GDPR), 59% dintre români au auzit de Regulament, dar 29% nu știu exact ce presupune acesta, rămând doar 30% cei care au auzit și sunt conștienți de conținutul și principiile impuse de noul Regulament.

La nivel european, 67% dintre cetățeni au auzit de Regulamentul general privind protecția datelor (GDPR) și 57% cunosc autoritatea din țara lor care se ocupă cu protejarea drepturilor cu privire la datele personal, reprezentând o creștere cu 20% puncte procentuale față de Eurobarametrul anterior realizat, în februarie 2015.

Când a devenit obligatorie implementarea normelor privind GDPR, am întâlnit două situații: 1. Am primit pe e-mail de la o instituție financiar bancară, al cărui client eram, un mesaj prin care eram informat de aplicarea acestei directive și tot ce presupune ea; 2. Am primit, tot în format electronic, alt mesaj de la o altă instituție din același domeniu prin care eram informat, în mare, de aceleași lucruri, dar mi se cerea și un consimțământ scris. Cum este corect?

În cazul menționat de dumneavoastră, aveți o relație contractuală cu instituția bancară și, drept urmare, este necesară o informare și nicidecum obținerea consimțământului, mai ales că există deja temei legal pentru justificarea prelucării datelor cu caracter personal. Doar atunci când legalitatea prelucrării datelor nu poate fi justificată prin temei legal, interes vital, interes legitim, relație contractuală sau interes public este nevoie de consimțământul persoanei vizate.

Când este necesar consimțământul pentru prelucrarea datelor cu caracter personal, trebuie întrunite mai multe condiții pentru ca acest consimțământ să fie valabil:

–        acesta trebuie să fie liber exprimat;

–        trebuie să fie acordat în cunoștință de cauză;

–        trebuie acordat pentru un scop specific;

–        toate motivele prelucrării trebuie precizate clar;

–        trebuie să fie explicit și acordat printr-un act pozitiv (de exemplu, o căsuță pe care persoana fizică trebuie să o bifeze explicit online sau o semnătură pe un formular);

–        trebuie să folosească un limbaj clar și simplu și să fie clar vizibil;

–        consimțământul poate fi retras, iar acest lucru trebuie să fie explicat (de exemplu, un link pentru dezabonare la sfârșitul unui e-mail care conține un buletin informativ electronic).

Pentru a fi acordat în mod liber consimțământul, persoana fizică trebuie să aibă libertatea de a alege și trebuie să poată să refuze sau să își retragă consimțământul, fără a fi pusă în dezavantaj. Consimțământul nu este acordat în mod liber, de exemplu, dacă există un dezechilibru clar între persoana fizică și societate/organizație (de exemplu, relația angajator-angajat) sau atunci când o societate/organizație le solicită persoanelor fizice să aprobe prelucrarea unor date cu caracter personal care nu sunt necesare ca o condiție pentru executarea unui contract sau a unui serviciu.

Pentru ca o persoană să își dea consimțământul în cunoștință de cauză, acesteia trebuie să i se ofere cel puțin următoarele informații:

–        informații privind identitatea organizației care prelucrează datele;

–        informații privind scopurile în care sunt prelucrate datele;

–        informații privind tipul de date care se va prelucra;

–        posibilitatea de retragere a consimțământului dat (exemplu: un link pentru dezabonare la sfârșitul unui e-mail);

–        dacă este cazul, informații privind faptul că datele vor fi utilizate pentru luarea de decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri;

–        în cazul în care consimțământul se referă la un transfer internațional, sunt necesare informații privind riscurile posibile ale transferurilor de date în țări terțe care nu fac obiectul unei decizii a Comisiei privind caracterul adecvat și nu există garanții adecvate.

În cazul în care cineva își dă consimțământul privind prelucrarea datelor sale cu caracter personal, puteți prelucra datele numai în scopurile pentru care a fost dat consimțământul.

În mare, când vorbim de GDPR sunt două aspecte: 1. când ți se solicită date personale, de către un site de exemplu, ar trebui să-ți se spună pentru ce ți se cer și 2. transferul acestor date către terți.  Ce garanții are o persoană că datele sale nu ajung…acolo unde nu ar trebui să ajungă?

Persoanele fizice au dreptul de a fi informate cu privire la colectarea și utilizarea datelor lor personale, potrivit Art. 13 și 14 din Regulamentul General privind Protecția Datelor (GDPR). Fiecare operator de date are obligația să ofere persoanelor vizate, printr-o politică de confidențialitate, informații cu privire la scopurile prelucrării datelor personale, perioadele de păstrare ale datelor personale și cu cine vor fi împărtășite (cu ce terți).

Altfel spus, trebuie să furnizăm informații privind confidențialitatea persoanelor fizice în momentul în care colectăm datele personale de la acestea. Există câteva circumstanțe în care nu este nevoie să oferi persoanelor informații cu privire la confidențialitate, cum ar fi dacă o persoană are deja informațiile sau dacă ar implica un efort disproporționat de a le furniza.

Nerespectarea acestor prevederi pot face obiectul unei sesizări, din partea persoanei vizate, către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal din România. Nerespectarea prevederilor GDPR poate duce la amenzi destul de mari. Se spune ca Regulamentul 2016/679 este legea cu cele mai mari amenzi din lume. Acestea pot varia de la 20 milioane euro sau până la 4% din veniturile anuale ale organizației – oricare dintre acestea este mai mare.

Pentru infracțiunile mai mici, amenda va fi înjumătățită la 10 milioane euro sau până la 2% din venitul anual al organizației infracționale – din nou, oricare dintre acestea este mai mare.

Amenzile de nivel superior vor fi rezervate cazurilor în care apare o încălcare a datelor, nu există proceduri de manipulare a datelor, se produce un transfer neautorizat de date sau se ignoră cererile pentru accesul la datele clienților. Amenzile de nivel inferior se aplică în continuare utilizării abuzive a datelor, dar la o scară mai mică. De exemplu, dacă nu ați semnalat o încălcare a datelor, nu ați notificat clienții despre încălcarea recentă sau nu ați reușit să administrați protocoalele corecte de protecție a datelor.

Amploarea amenzilor pe care o companie le poate primi depinde de cât de gravă este încălcarea și de măsurile de conformitate pe care le-ați luat ca urmare a încălcării. În România, aplicarea amenzilor de către ANSPDCP se face respectând Legea 190/2018.

Breaking news: apar din ce în ce mai multe fake news! Cum știm care sunt? Cum le evităm?

Trebuie să învățăm o lecție : „Când eşti cunoscut, oamenilor le place să vorbească despre tine. Totuşi, nu tot ce se vorbeşte este şi adevărat!” Trebuie să învățăm ce înseamnă fake news, să recunoaștem acest fenomen, să ne protejăm, să nu mai alimentăm cererea și să sancționăm atunci când această practică ne influențează deciziile.

„Fakenews-ul” nu este doar un concept politic. Este și o componentă a Hype-ului de marketing în ceea ce privește Regulamentul European privind Protecția Datelor. Știrile false, dar mai ales profilarea și microtargetarea, sunt unele din cele mai de temut arme ale acestui secol, adevărate bombe invizibile împotriva cărora suntem nevoiți să reacționăm.

Sunt câteva indicii care ne pot ajuta să identificăm un ”Fakenews”:

•        nu este menționată sursa informației

•        este publicat de un site, eventual un site de știri, total necunoscut nouă

•        este vădit orientată spre a defăima o persoană sau a elogia o alta

•     este distribuit de conturi false, așa-zișii troli – conturi fantomă fără un profil propriu foarte elaborat (în general o poză, puțin conținut în descriere și puțini prieteni).

Să nu uităm și de faptul că anul acesta au fost eliminate de catre Facebook 31 de Pagini, Grupuri și conturi Facebook pentru implicarea într-un fals comportament coordonat, ca parte a unei rețele care a funcționat în România, folosind o combinație de conturi false și câteva conturi autentice pentru a-i induce în eroare pe alții despre cine erau și despre ce anume făceau. Administratorii de Pagini și deținătorii de cont au postat de obicei despre știri locale și probleme politice, cum ar fi noutăți părtinitoare publicate sub semnături false. Ei au împărtășit, de asemenea, conţinut care incită la dezbinare și au promovat conținut găzduit de câteva domenii care se prezentau ca site-uri de știri.

În România care este instituția, organismul abilitat prin lege să gestioneze toate aspectele ce țin de GDPR?

În România, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în calitate de autoritate publică centrală autonomă cu competență generală în domeniul protecției datelor personale, reprezintă garantul respectării drepturilor fundamentale la viaţă privată și la protecţia datelor personale, statuate cu precădere de art. 7 și 8 din Carta Drepturilor Fundamentale a Uniunii Europene, de art. 16 din Tratatul privind Funcționarea Uniunii Europene și de art. 8 din Convenția europeană pentru apărarea drepturilor omului și libertăților fundamentale.

Din anul 2016, când a fost adoptat de către Parlamentul European și Consiliul European Regulamentul privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date (GDPR), Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) monitorizează aplicarea unitară a legislației privind protecția datelor cu caracter personal, de către toate entitățile care au calitatea de operatori de date.

Ce sancțiuni au fost date până acum?

Conform datelor statistice puse la dispoziție chiar de Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal din România, sunt 9.335 de responsabili cu protecția datelor (DPO) notificați la Autoritate și, în primul an de aplicare GDPR în România, au fost 391 de încălcări de securitate notificate autorității, 460 de investigații din oficiu (69 din sesizări și 391 în urma încălcărilor notificate autorității), 456 de investigații dispuse în urma plângerilor persoanelor vizate și peste 5000 de plângeri efective înregistrate doar în 2018. 

Până în acest moment, nu s-a aplicat nici o amendă în România, dar la nivel european deja s-au aplicat amenzi care se apropie de 60 milioane de euro, cea mai mare sumă fiind dată companiei Google de către CNIL- Autoritatea de Supraveghere din Franța. CNIL a declarat că a aplicat amenda record pentru „lipsa transparenței, informarea inadecvată și lipsa unui consimțământ valabil privind personalizarea anunțurilor”. Autoritatea de reglementare a declarat că a considerat că oamenii nu au fost „suficient de informați” despre modul în care Google a colectat date pentru a personaliza publicitatea. Plângerile împotriva Google au fost depuse în mai 2018 de două organizatii pentru apararea drepturilor privind confidențialitatea: noyb și La Quadrature du Net (LQDN).  Merită amintită și ultima amendă de 1 milion de euro aplicată, în iunie 2019, de Autoritatea Italiană de Protecția Datelor companiei Facebook, cea mai mare amendă împotriva companiei pentru încălcări legate de scandalul Cambridge Analytica.

Agenția italiană a declarat că cetățenii italieni au descărcat o aplicație online, un test de personalitate, numită ThisIsYourDigitalLife, care a fost folosită pentru a colecta informații din profilele personale și din profilele persoanelor din lista de prieteni de pe Facebook. Aplicația a fost apoi utilizată pentru a furniza date companiei Cambridge Analytica, o firmă de analiză a datelor, care a folosit unele informații digitale pentru a targeta alegătorii în timpul alegerilor prezidențiale din 2016 din SUA.

În total, s-au adunat informațiile de la mai mult de 200.000 de cetățeni italieni, fără consimțământul acestora, prin intermediul aplicației de testare a personalității, din totalul aproximativ de 87 de milioane de utilizatori Facebook din întreaga lume care au fost afectați de acest scandal.

Amenda în valoare de 1 milion de euro vine după o sancțiune anterioară de 500.000 lire sterline din partea autorității britanice de protecția datelor, care a constatat că Facebook nu a protejat suficient datele online ale utilizatorilor. În trecut, Autoritatea italiană a amendat Facebook cu 10 milioane de euro, în decembrie 2018, pentru că nu a informat utilizatorii despre modul în care datele lor vor fi utilizate de platforma digitală.

Bogdan Guță

1 thought on “Marius Dumitrescu: „GDPR-ul nu este o revoluţie, este o evoluţie!”

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *