Coloana vertebrală a GDPR este Conformitatea. Tot ce trebuie să facem pentru alinierea la GDPR pare destul de simplu: să devenim Conformi și după aceea să ne menținem și să ne demonstrăm Conformitatea. Și aici apar durerile de cap… Cum putem face asta? Cum ne putem menține stabilitatea mergând pe o sârmă, când la fiecare pas ne poate apuca amețeala sau să ne dezechilibrăm?

Ce înseamnă practic atingerea unui nivel optim de Conformitate? Ce repere avem, în condițiile în care standardele existente ne ajută, dar până într-un anumit punct? Teoretic, cine știe toate răspunsurile a rezolvat-o cu Conformitatea. Dar e suficient numai să știm lucrurile astea sau și să fim în stare să le punem în practică?

Cum știm că tot ce am făcut, prin toate eforturile depuse, ne arată că am atins Conformitatea ideală? Nu avem cum, decât prin evaluări periodice și procedee de audit care ne pot arăta că ne menținem pe o linie de echilibru. Dar un echilibru fragil, pentru că oricând poate apărea ceva care să ne arunce de pe sârmă.

În ciuda lipsei unei definiții riguroase a Conformității GDPR, avem toate motivele să ne gândim că prin Conformitate trebuie să înțelegem cam tot ce facem într-un proiect de aliniere: adică să ne facem o evaluare a proceselor, sa mapăm fluxurile de date, să responsabilizăm oamenii, să stabilim politici interne și proceduri de punere în aplicare a acestora, să ținem cele câteva evidențe obligatorii, să revizuim contractele cu partenerii, să facem evaluările de risc și analizele de impact, să ne facem un plan de intervenție pentru incidente si raportarea de breșe și să facem o strategie de funcționare a tuturor acestora pe termen lung. OK, pare simplu. Dar cum putem face asta practic, în condițiile în care 99% dintre sancțiunile din UE de până acum s-au dat pentru lipsa de conformitate prin ”neadoptarea de măsuri tehnice şi organizatorice corespunzătoare”?

Ca și în multe alte situații, textul Regulamentului este destul de vag și nu prea ne ajută. Formularea care evită verdictele și impunerile forțate lăsând loc la interpretări și aprecieri necuantificabile mai mult încurcă, ridicând noi și noi semen de întrebare.

Considerentul 74 ne arată că nivelul de conformitate poate fi demonstrat prin măsurile adecvate și eficace pe care le-am luat, arătându-ne cu degetul care sunt riscurile: ”operatorul ar trebui să fie obligat să implementeze măsuri adecvate şi eficace şi să fie în măsură să demonstreze conformitatea activităților de prelucrare (…), inclusiv eficacitatea măsurilor. Aceste măsuri ar trebui să țină seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscul pentru drepturile şi libertățile persoanelor fizice.”

Considerentul 78 ne mai duce de mână câțiva pași pe sârmă până în zona acoperită de conceptele privacy by default și by design:” Pentru a fi în măsură să demonstreze conformitatea cu prezentul regulament, operatorul ar trebui să adopte politici interne şi să pună în aplicare măsuri care să respecte în special principiul protecției datelor începând cu momentul conceperii şi cel al protecției implicite a datelor”.

Cam asta ne arată explicit textul Regulamentului. Desigur că pe lângă acesta mai avem o sumedenie de alte ghiduri, deslușiri și interpretări, dar nimic concret care să ne ajute efectiv la adoptarea de măsuri tehnice și operaționale adecvate.

Viața reală ne arată că practic tot ce ține de un proiect de atingere a conformității trebuie să reprezinte o demonstrare a respectării principiilor și că de cele mai multe ori Conformitatea este girată de asumarea răspunderii pentru felul în care gândim și realizăm prelucrarea datelor. Pentru a menține paralela cu metafora din titlu, la fel ca la mersul pe sârmă, fiecare pas trebuie făcut cu responsabilitate și cu încrederea căpătată de traseul parcurs.

La fiecare pas, un operator de date trebuie să demonstreze că tot ce face este legal (art. 5,1,a și 6,1), că respectă toate principiile (art.5,1), că își asumă responsabilitatea (art. 5,2), că are o evidență a prelucrărilor (art.30), că știe să numească un DPO (art.37-39), că știe când să facă o analiză a riscurilor sau una de impact (articolul 35), că respectă regulile de obținere a consimțământului (art.7), dar și dreptul de renunțare, că informează persoana vizată despre aspectele esențiale ale prelucrării și drepturile de acces la date, că ține un sistem de evaluare a incidentelor și are un plan activ de raportare a breșelor adoptarea protecției datelor prin proiectare (articolul 25), și că această conformitate este reală și poate fi demonstrată prin orice proces, politică sau procedură adoptată.

Ori acest lucru este cel mai dificil și, la fel ca la mersul pe sârmă, oricâtă experiență acrobatică am avea și oricâte prăpăstii am fi traversat la înălțime, e suficient un singur moment de neatenție pentru a anula toate eforturile depuse.

Indiferent de stadiul de adopție GDPR din organizație, Programul GDPR Masterclass vă poate ajută să găsiți răspunsurile la toate întrebările legate de punerea în practică a unui proiect de conformitate și să vă pregătiți echipa de implementare pentru a face față la orice provocare legată de prelucrarea datelor cu caracter personal.