CONSTRUIREA CULTURII GDPR ȘI REGÂNDIREA STRATEGIEI DE SECURITATE CIBERNETICĂ SUNT PILONII DE BAZĂ AI CONFORMITĂȚII GDPR

Iată un interviu publicat de revista Market Watch în primul număr din acest an. Cu ocazia ”Zilei protecției datelor” aniversată în întreaga Europă pe data de 28 ianuarie, am avut plăcerea să răspund la câteva întrebări legate de realitățile adopției GDPR după 7 luni de la intrarea în vigoare. Cum ne apropiem vertiginos de momentul ”1 an de GDPR”, iar lucrurile nu s-au schimbat prea mult de la sfârșitul lui ianuarie, redau mai jos discuția cu Mona Muscă.

La 7 luni de la data de 25 mai 2018, când legislația europeană în domeniu a devenit mai strictă, care este statusul în privința conformității cu GDPR al companiilor din România?
Privind din perspectivă regională, România nu oferă un statut special, diferit față de alte țări ale UE. Trebuie să ținem cont, bineînțeles, de specificul local legat de statutul economic și peisajul juridic, însă entitățile de afaceri din România se confruntă cu aceleași provocări cheie precum orice altă țară a UE. Ceea ce este important pentru orice verificator în privința datelor cu caracter personal este înțelegerea faptului că problematica GDPR nu ar trebui tratată ca o calamitate. Efectuând eforturi coordonate pentru a se alinia la standardele de conformitate coordonate de principiile GDPR, orice organizație ar trebui să adopte schimbările necesare în procesele de afaceri ca un motor al transformării afacerii. Și din această perspectivă apare drama. Potrivit cercetărilor mele și a unei interacțiuni permanente cu realitățile pieței, principalul obstacol în adoptarea proceselor GDPR nu se datorează lipsei tehnologiilor și abilităților oamenilor în domeniul securității informatice. Principalul factor de frânare este lipsa angajamentului managerial de a efectua schimbări. Atitudinea este dictată de rezistența conducerii față de schimbare. Și această atitudine nu este asociată doar cu „efectul tsunami” al GDPR. Este reacția de rezistență la orice tehnologie perturbatoare/disruptivă.

Confidențialitatea, integritatea și disponibilitatea datelor sunt principalele motoare ale politicilor de securitate a datelor. Credeți că se aplică după experiența din 2018?
Privind la unul dintre cele mai importante obiective ale noului Regulament al UE, conformitatea cu GDPR ar trebui să merite în primul rând din punct de vedere al drepturilor fundamentale de libertate ale oricărui cetățean al UE și sub aspectul consolidării încrederii în viața privată a datelor. Trebuie să învățăm cum să avem respect față de datele noastre, cum să le protejăm, pentru ca aceste date să ne confere libertate de mișcare în cea mai mare siguranță. Aceasta este una dintre paradigmele GDPR. Cealaltă este construirea unei culturi a datelor cu caracter personal. Un proiect de adoptare GDPR nu este o implementare IT simplă sau o actualizare a conținutului contractual pentru a se potrivi noului cadru legal. Un proiect de adoptare a GDPR ar trebui în primul rând să creeze baza pentru implementarea culturii GDPR. La fel ca în industria securității cibernetice (cybersecurity), nu am avut o soluție 100% sigură. Orice zid tehnologic nou a fost făcut să fie spart … În aceeași filozofie este practic imposibil să te consideri 100% conform GDPR. Dar pentru a te apropia mai mult de acest ideal, trebuie să construiești o cultură GDPR. Și pentru asta avem nevoie de timp. Trebuie să creăm o cultură de încredere, de confidențialitate în organizația noastră. Trebuie să educăm angajații cu privire la importanța și impactul protejării clienților, a angajaților și a informațiilor partenerilor, precum și în privința înțelegerii rolului cheie pe care îl joacă oricine, prin menținerea siguranței.

Înțeleg că înainte de orice trebuie să construim încredere …
Cam despre asta e vorba. Iar printre principalii driveri în construirea încredererii într-o cultură GDPR fiabilă sunt:
• Dacă colectați, protejați.
• Respectați măsurile de securitate rezonabile pentru a păstra informațiile personale ale persoanelor fizice în siguranță de la accesul necorespunzător și neautorizat.
• Fiți transparenți și etici în privința modului în care colectați, utilizați și distribuiți informații personale.
• Gândiți-vă la modul în care persoana individuală se poate aștepta ca datele sale să-i fie utilizate și la setările necesare pentru a-i proteja informațiile din start.
• Construiți încrederea făcând ceea ce spuneți că veți face.
• Comunicați clar și concis publicului politica dvs. de confidențialitate, publicați-o pe pagina dvs. web și actualizați Termenii și condițiile și Politicile cookie-urilor în acord cu spiritul GDPR.

Care este locul protecției datelor în cadrul strategiei de securitate cibernetică? Sunt conștienți managerii și angajații companiilor? Este omul factorul critic în această ecuație?
Transformarea esențială pe care o aduce GDPR-ul este legată de faptul că trebuie să reconsiderăm strategia de securitate cibernetică. Centrul datelor nu mai este protecția datelor. Avem nevoie de asigurarea ciclului de viață pentru întregul flux de date cu caracter personal. Trebuie să extindem eforturile noastre de protecție de la datele de business la întregul flux de date personale dintr-o companie, de la colectarea de date, procesarea simplă, stocarea locală, criptarea datelor, schimbul de date și instrumentele de comunicare, transferul datelor internaționale, până la arhivarea datelor și stocarea finală.
Rezumând, avem nevoie de soluții end-to-end. Iată diferența dintre conceptele foarte specifice ale evaluării impactului asupra vieții private (PIA – Privacy Impact Assessment) și conceptul mai amplu al evaluării impactului asupra protecției datelor (DPIA – Data Protection Impact Assessment).

Totul se referă la conformitate/compliance. Dar este acum o lume mai sigură?
„Conformitatea/compliance” este un termen folosit de 85 de ori în conținutul Regulamentului UE. Ce este cu adevărat conformitatea? În diferitele etape, controller-ul de date sau procesorul de date trebuie să demonstreze că desfășoară orice activitate legată de protecția datelor cu caracter personal, respectarea principiilor (articolul 5c.2), numirea unui RPD (articolul 37), alinierea la o analiză a riscurilor sau o DPIA (articolul 35), adoptarea protecției datelor prin proiectare (articolul 25), registrele activității de prelucrare (articolul 30) sau sistemul de gestionare a breșelor datelor (articolul 33, 34). Deci, practic, trebuie să dovedim această conformitate prin orice proces, politică sau procedură adoptată.

Ce schimbări a dus legislația privind protecția datelor la tendința spre cloud?

Aici este ceva chiar amuzant. Cloud computing-ul a fost perceput de la început ca o tehnologie perturbatoare. Acum trebuie să analizăm cât de disruptiv este GDPR pentru serviciile cloud. Vestea bună este că din punct de vedere al protecției datelor Cloud-ul nu este o problemă. Atâta timp cât termenii contractuali respectă principiile, avem o bază juridică pentru servicii, răspunderea este asumată în mod transparent, iar persoanele vizate sunt îndeajuns de informate cu privire la condițiile de procesare și stocare a datelor lor, totul fiind în concordanță.
În funcție de tipurile de servicii oferite, un furnizor de cloud poate fi considerat un procesor de date simplu (găzduire și hosting fără gestiune) sau un furnizor privat, public sau hibrid. Din punct de vedere al protecției datelor și al caracteristicilor de securitate, este binecunoscut faptul că un serviciu de cloud ar putea fi considerat o soluție de siguranță prin transferarea responsabilităților de protecție a datelor către furnizorul de servicii cloud.
Să ne reamintim că Alianța pentru Securitate în Cloud a stabilit acum doi ani un Cod de Conduită referitor la problemele de securitate a serviciilor cloud oferind furnizorilor din cloud o resursă foarte valoroasă pentru a demonstra conformitatea prin adoptarea acestui Cod de Conduită.

In piața românească care sunt cei mai importanți factori de risc legați de adoptarea GDPR?
Aici intrăm într-o zonă „50 grey shadows”. Debutul oricărui proiect de aliniere este organic legat de o decizie managerială. Nimic nu se poate face dacă managementul nu este convins de importanța subiectului. Dar înțelegerea importanței nu este totul. Conducerea trebuie să conducă activitățile, să înființeze o echipă, să delege o persoană responsabilă și, îndeosebi, să planifice resurse. Asta înseamnă să te implici. Orice analiză sau audit de afaceri, care reprezintă primul pas în realizarea unui proiect de asigurare a conformității, se referă la nivelul de implicare managerială. Sunt managerii direct implicați, participă la discuții sau deleagă o persoană de încredere care să se ocupe de tot?
Ce situații s-ar putea întâmpla de fapt? Toți pașii implementării până în prezent au fost, în majoritatea cazurilor, sub impulsul presiunii externe și rareori rezultatul convingerii reale a conducerii. Din păcate, există încă mulți manageri care consideră GDPR: o prostie, un exercițiu simplu birocratic, o amenințare cu sancțiuni uriașe care nu vor pune niciodată în pericol organizația noastră, o mulțime de bani aruncați, un mare bluf: niciunul dintre amici sau parteneri nu a făcut nimic pentru asta, și nu i s-a întâmplat nimic. Și lista ar putea continua mult și bine…

Aici poate fi citit articolul original ”Evoluția adopției GDPR la șapte luni de la lansare” publicat de Market Watch pe 14 februarie

 

Advertisements