Una dintre greșelile pe care unele firme mici din România le fac atunci când vine vorba de Regulamentul GDPR este că sunt interesate doar să bifeze anumite criterii, spune Tudor Galoș, consultant în domeniul tehnologiei. El a explicat pentru cititorii din comunitatea antreprenorială StartupCafe.ro care sunt cele mai comune erori în gestionarea și prelucrarea datelor personale, dar și ce măsuri ar putea lua patronii în acest sens.
„Problema este una de atitudine. Lucrând cu peste 200 de companii, atitudinea variază între: spuneți-ne cum să facem prelucrarea X fără să luăm amendă și cum putem scoate maximum de valoare din aceste date?. Bineînțeles, atitudinea câștigătoare, care realizează profit pentru organizație și satisfacție pentru clienți, parteneri și angajați este a doua”, susține Tudor Galoș într-un interviu pentru StartupCafe.ro.
Consultantul este de părere că multe firme „țintesc doar să devină conforme: copiază niște politici și proceduri, le dau prin firmă și aia a fost”. Această abordare produce și efecte pentru firme: de la scurgeri de date majore, la date furate și trimise pe email către destinatari greșiți.
Astfel, scopul antreprenorilor români ar trebui să fie utilizarea datelor pentru a genera creștere pentru organizație și satisfacție pentru clienți. „Utilizarea transparentă a acestor date, când nu ai lucruri de ascuns, asigură încrederea clienților”, susține Galoș.
Multe greșeli în privința GDPR apar tocmai din cauza faptului că unele firme „vor să ascundă lucruri de utilizatori”, consideră consultantul.
„Copiază notificări de confidențialitate greșite sau care nu se aplică, pun în practică proceduri și procese pe care nu le înțelege nimeni și nu monitorizează conformitatea. La un moment dat, un angajat va face un „șunt”, va băga pe site un plug-in greșit, va trimite un email către foștii clienți de la fostul job (asta se mai numește și furt de date electronice și se pedepsește cu închisoare), va face o greșeală”, explică Tudor Galoș.
Astfel, firmele ar trebui să le facă angajaților lor training-uri regulate pentru ca aceștia să înțeleagă ce pot și mai ales „ce nu pot să facă și unde trebuie să ceară ajutor când nu se descurcă”, continuă consultantul.
„Altfel, bineînțeles, vor improviza. Cunosc cazuri de angajați ce și-au urcat tot inbox-ul în Chat GPT ca să-l învețe cum să scrie mail-uri în stilul firmei. Poate fi angajatul tras la răspundere dacă lui nu i s-a explicat cum funcționează ChatGPT? Și aici trebuie să ne concentrăm: pe cunoaștere și conștientizare”, spune Tudor Galoș.
LISTĂ. Măsurile pe care le pot lua firmele mici și startup-urile din România pentru a respecta GDPR
Tudor Galoș crede că amenda nu este cel mai rău lucru care i se poate întâmpla unui IMM sau unui startup care a încălcat anumite prevederi din Regulamentul GDPR, ci măsurile corective și imaginea creată organizației după o astfel de sancțiune.
„Măsurile corective pot implica costuri mult mai mari decât o simplă amendă, de exemplu ștergerea unor baze de date sau implementarea de urgență a unor sisteme de securitate”, spune Galoș.
Astfel, sunt câteva măsuri „de bun simț” pe care firmele mici și startup-urile le pot lua pentru a respecta GDPR și pentru a construi „un business sigur în care oamenii să aibă încredere”, a explicat consultantul.
Iată ce pot face firmele:
Cartografierea proceselor de prelucrare a datelor personale: deși pare ceva greoi, este obligatoriu nu doar pentru respectarea GDPR ci pentru bunul mers al organizației. Deseori, ca auditori, descoperim procese de business (maparea este aproape 1:1 cu harta proceselor de business) care se făceau pe principiul „așa s-a făcut până acum", fără să se știe de ce. Nu se știa clar scopul, nu erau măsurate, impactul în business era minimal sau necunoscut. Și atunci simplificăm procesele și reducem riscurile. Cartografierea trebuie să mapeze grafic toate procesele de prelucrare, de la modul în care sunt culese datele, de ce sunt culese, în ce scop, ce alte date personale mai sunt generate (estimări, scoring, metadate etc) și de ce, cui mai sunt date (furnizori, outsourcing, hosting, servicii cloud etc) și de ce, cât timp sunt ținute și de ce.
Analiza fiecărui proces de prelucrare a datelor pentru a identifica clar scopurile, temeiurile legale – consimțământ, obligație contractuală, obligație legală, interes vital (când salvăm viața unei persoane), interes public (doar pentru autorități) sau interes legitim. Scopul trebuie să fie clar, explicit, nu vag (cum ar fi scop de marketing).
Analiza necesității și proporționalității fiecărei prelucrări – ne întrebăm dacă se pot atinge aceleași rezultate fără prelucrările de date personale? Dacă nu, de ce avem nevoie de fiecare categorie de date personale, care este justificarea? Aici facem exercițiul de minimizare a datelor.
Analizăm riscurile ce se pot întâmpla persoanelor ale căror date sunt prelucrate – cum știm că datele sunt corecte și ce mecanisme utile putem implementa pentru a ne asigura că lucrăm doar cu date corecte? Cui mai sunt date datele, ce roluri au – operator, operator asociat sau persoană împuternicită – și ce mecanisme de protecție avem implementate pentru transferuri (clauze contractuale, anexe de prelucrări a datelor)? Exportăm date în afara Uniunii și dacă da, ce măsuri luăm pentru a oferi acestor date același nivel de protecție pe care GDPR îl oferă (analize de impact a transferului de date personale)? Ce se întâmplă dacă datele sunt scurse, alterate sau distruse? Cum pot afecta aceste lucruri viața persoanelor?
Adresăm fiecare risc cu măsuri tehnice și organizaționale – pseudonimizarea datelor, segregarea datelor, back-up, criptarea datelor at-rest sau în tranzit, semnarea de contracte cu diverșii furnizori sau clienți, audit regular, monitorizarea prelucrărilor, politici și proceduri.
Implementarea măsurilor tehnice și organizaționale și monitorizarea continuă a prelucrărilor pentru a identifica din timp dacă există sau nu riscuri noi ce trebuie imediat adresate. De exemplu, aproape fiecare angajat folosește ChatGPT – versiune plătită sau gratuită – în care, fără să știe, urcă date confidențiale ale firmei, creând breșe de securitate într-un mod repetat.
Regulamentul GDPR: Ce obligații au firmele
Regulamentul General privind Protecția Datelor are 99 de articole și 173 de considerente, la care se adaugă alte ghiduri de la European Data Protection Board, instituție europeană ce are rol de orchestrare a activității autorităților de supraveghere, cât și de la diversele autorități de supraveghere, inclusiv Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) din România, explică Galoș.
„Lucrând cu o bază de peste 200 de clienți din lumea întreagă, Uniunea Europeană, Marea Britanie, Statele Unite, Orient, ne-am dat seama că „ce ție nu-ți place altuia nu-i face” stă la baza respectării Regulamentului”, spune el.
Printre obligațiile pe care firmele le au se numără, conform lui Galoș:
- obligația de a informa persoanele despre prelucrările care li se fac într-un limbaj non-legal (evitarea termenilor tehnici, a referințelor către articole și legi etc), simplu și clar;
- obligația de a avea scopuri de prelucrare bine definite cu temeiuri legale asociate;
- obligația de a prelucra minimum de date necesare unui scop, nu maximum;
- obligația de a prelucra date corecte;
- obligația de a păstra datele strict cât este necesar (și după aceea să fie distruse);
- obligația de a prelucra datele într-un mod sigur, asigurând confidențialitatea, integritatea și disponibilitatea datelor.
Firmele trebuie să se asigure că nu produc surprize persoanelor cărora li se prelucrează datele, acestea înțeleg detaliat de ce și cum li se prelucrează datele și în ce scop, unde ajung și de ce, cât timp sunt ținute, de ce, ce drepturi au și cum și le pot exercita, a explicat consultantul.
„Acum că am ajuns la drepturi, firmele trebuie să se asigure că pot să respecte drepturile persoanelor a căror date sunt prelucrate (așa numitele „persoane vizate”), drepturi ce decurg direct din drepturile fundamentale ale omului, drepturile de acces, rectificare, restricționare a prelucrării, ștergere, opoziție, export, precum și alte drepturi cum ar fi cele prin care datele nu pot fi prelucrate de algoritmi ce iau decizii fără asistență umană (cu anumite excepții) sau cum ar fi dreptul de a depune plângeri la autoritățile de supraveghere”, a spus Tudor Galoș.
„Statul va fi interesat să colecteze mai eficient la buget iar amenzile sunt o cale simplă și eficientă de colectare fonduri”, crede Tudor Galoș, întrebat de StartupCafe.ro dacă crede că firmele vor avea o mai mare presiune în privința amenzilor GDPR și vor fi supravegheate mai atent, în contextul în care în 2025 și 2026 este de așteptat ca statul să intensifice eforturile de a colecta bani la buget, din cauza deficitului.
„Aș prefera să văd ANSPDCP implicată mai mult în partea de conștientizare, să lucreze mai bine cu instituții precum DNSC sau ANCOM ce au obligațiile lor în zona digitală pentru a ajuta firmele mici din România să devină conforme cu GDPR, cu directiva NIS2, proaspăt publicată și în România, legile de cybersecurity etc. Amenda este un mecanism eficient de descurajare a încălcărilor regulamentului, dar când doar zona privată face conștientizare, efectul este din păcate unul limitat. În 2025 se fac șapte ani din momentul în care prevederile GDPR au devenit active, vorbim deja de un regulament matur care – atenție – nu a fost schimbat și nu a fost suspendat nici măcar în timpul pandemiei. Deci trebuie luat în serios. Însă exercițiul de conformare la prevederile GDPR este un exercițiu ce aduce beneficii uriașe organizației pe termen lung, eficientizând procesele de business, reducând costurile și riscurile”, a concluzionat Galoș.