Dacă am încerca să coagulăm chintesența spiritului GDPR într-un singur cuvânt, acesta nu ar putea să fie decât ”RESPONSABILITATE”. Versiunea engleză ”Accountability” sintetizează uriașa diferență față de vechea Directivă prin menționarea explicită a obligației de a demonstra faptul că putem să fim responsabili pentru prelucrarea datelor, cu alte cuvinte că ”suntem responsabili pentru responsabilitatea noastră”…

Acolo unde sunt principii, nu-i tocmeală…

Prin definirea sa pragmatică de la Art. 5, alineatul (2), mulți consideră Responsabilitatea ca pe al 7-a principiu al GDPR: ” The controller shall be responsible for, and be able to demonstrate compliance qwith, paragraph 1 (‘accountability’).” Adică, un operator de date personale, nu numai că trebuie să fie responsabil pentru respectarea celor șase principii GDPR, dar trebuie să își și demonstreze conformitatea cu acestea.

Această obligație este reluată și explicată foarte clar, într-un limbaj accesibil și pe înțelesul tuturor în Art. 24, unde vedem că, indiferent de tipul și scopurile prelucrării și de riscurile asociate, operatorul trebuie să pună în aplicare ”măsuri tehnice și organizatorice adecvate, pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament”.

Dar responsabilitatea nu este doar o ghilotină care ne stă în permanență deasupra capului, ci poate să reprezinte și salvarea noastră, în anumite circumstanțe… Deslușirea o găsim în Considerentul 85 care se ocupă pe îndelete de descrierea breșelor de securitate și care ne asigură că suntem scutiți de notificarea unei breșe către Autoritatea de supraveghere dacă suntem în stare să demonstrăm, ”în conformitate cu principiul responsabilității, că încălcarea securității datelor cu caracter personal nu este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice”.

O dispută între dicționare

Conceptul de responsabilitate pentru protecția datelor a început să fie utilizat în discursurile despre confidențialitate ale Organizației pentru Cooperare și Dezvoltare Economică încă din anii 80. Dar de la bun început, noțiunea de responsabilitate în sine avea conotații și grade de tărie diferite, în funcție de limba în care era folosită.

Chiar vorbitorii nativi de engleză au găsit multe motive de discuție asupra traducerilor alternative. Lansând Opinia privind responsabilitatea din 2010, WP29 a încercat să facă pace între diferitele versiuni de interpretare ale noțiunii de ”accountability”, care în legislația țărilor nevorbitoare de engleză are un înțeles mult mai diluat. Includerea responsabilității și cerinței exprese de demonstrare a conformității acesteia în Art. 5 din GDPR, care constituie fundamentul noului regulament, a estompat această discrepanță explicând clar obligația operatorilor de a-și putea demonstra conformitatea prin responsabilitatea pentru respectarea principiilor. Mai mult decât atât, efortul de menținere a conformității trebuie să fie permanent, căci măsurile tehnice și organizatorice adecvate trebuie revizuite și actualizate de oricând sau de oricâte ori este nevoie (Art.24, alineat 2).

Diferența față de vechea Directivă își are chintesența în înțelegerea și respectarea deplină a noțiunii de ”accountability”, care din punct de vedere GDPR  înseamnă puțin mai mult decât aparent sinonimul ”responsibility”. Descrierea Cambridge English Dictionary e concludentă pentru asta: ”Someone who is accountable is completely responsible for what they do and must be able to give a satisfactory reason for it”

În timp ce principiile responsabilității și transparenței au fost anterior cerințele implicite ale legii privind protecția datelor, noua viziune a GDPR le extinde mult semnificația. În noul model de responsabilitate, operatorii de date personale nu numai că trebuie să respecte responsabiltatea pe care și-o asumă, dar trebuie să și demonstreze faptul că sunt abilitați să își asume această responsabilitate.

De la definiții la practică

Ce am învățat din primele măsuri de penalizare anunțate de autoritățile de supraveghere? Aproape toate deciziile de impunere a unor sancțiuni se bazează pe incapacitatea operatorului de a demonstra faptul că a aplicat toate măsurile tehnice și organizaționale adecvate. Mulți le-au aplicat, dar măsurile nu au fost tocmai cele adecvate… Aproape toți cei sancționați aveau un dosar de conformitate bine pus la punct, dar nu au adoptat toate măsurile necesare pentru a verifica buna punere în practică a acestei conformități.

Dacă ne întreabă cineva: ”cine poartă responsabilitatea la nivelul unei organizații?”, răspunsul trebuie să fie unul singur, și în niciun caz acesta nu trebuie să fie ”DPO”… Responsabilitatea pentru răspunderea întregii organizații de atingere și păstrare a unui nivel optim de conformitate trebuie să o poarte toată lumea. Să fie repartizată pe toate fluxurile de prelucrare a datelor, în funcție de roluri și implicare. Iar responsabil pentru asumarea responsabilității colective nu trebuie să fie DPO, ci întreaga structură de management, singura care deține toate pârghiile necesare pentru gestionarea responsabilității oamenilor. Nu DPO este responsabil pentru inerția la schimbare și indiferența față de reguli, ci managementul. Nu DPO are obligația de diseminare a politicilor interne de Securitate, ci fiecare verigă din structura de conducere.

Cel mai mare pericol în GDPR nu sunt amenzile și nici breșele de securitate, ci autosuficiența. Acestea sunt o consecință ”meritată” a unei abordări superficiale, de tipul ”sunt prea mic pentru ca să pățesc ceva… Nu e suficient să trimit un om de la marketing la un curs GDPR. Și nici să pun omul de la IT să ne scrie o politică. Și nici să fac rost de un kit cu formulare predefinite.

Iată câteva recomandări (nu le luați ca pe o listă exclusivă de activități ce trebuie bifate) care vă pot ajuta în eforturile de demonstrare a conformității prin asumarea responsabilității:

• Mențineți o documentație relevantă privind activitățile de procesare a datelor cu caracter personal;
• Analizați răspunderea prelucrării pentru fiecare flux de circulație a datelor personale cartografiat;
• Nu uitați că această responsabilitate este pentru întregul ciclu de viață al unui proces de business;
• Demonstrați prin tot ce faceți că ceea ce faceți se integrează principiilor de legalitate, transparență, colectare proporțională;
• Informați angajații în privința drepturilor dar și al măsurilor de monitorizare de la locul de muncă;
• Renunțați la procesele sau datele inutile oricând nu aveți alte constrângeri de retenție;
• Faceți curățenie periodică în bazele de date;
• Digitizați și arhivați toate documentele pe suport de hîrtie;
• Demonstrați respectul pentru drepturile de acces ale peroanelor vizate
• Țineți o evidență clară a procedurilor care necesită consimțământ și respectați modul de obținere al acestuia.
• Asigurați-vă că dețineți mecanismele de operare efectivă a cererilor de retragere a consimțământului
• Verificați conformitatea partenerilor de business și actualizați contractele prin adoptarea obligațiilor impuse pentru procesatorii de date și operatorii asociați;
• Nu uitați să aplicați și să îmbunătățiți funcțiile de securitate în mod continuu;
• Gândiți-vă la evaluările de impact privind protecția datelor atunci când e nevoie;
• Aderați la norme profesionale pe verticale de activitate sau la coduri de conduită pentru demonstrarea conformității.

Păstrarea ”pachebotului Organizație” pe linia de plutire în uraganele din business nu poate fi decât rodul unei implicări colective a întregului echipaj, al unei înțelegeri comune asupra tuturor pericolelor de pe mare și a implicațiilor fiecărei greșeli. Atingerea destinației în navigare depinde de asumarea efectivă a responsabilității, de către toată lumea. Cu alte cuvinte, depinde de dezvoltarea unei adevărate Culturi GDPR, organic grefată pe crearea unei Culturi a responsabilității.