Ne apropiem de momentul aniversar prilejuit de împlinirea a doi ani de la intrarea efectivă în vigoare a Regulamentului General…, pe scurt GDPR, așa cum îl cunoaște mai toată lumea. Vă mai aduceți aminte cum era acum doi ani pe vremea asta? Cât interes. Câtă febrilitate de a dovedi un ”ceva” pe care foaste puțini puteau să îl descrie… 

Aproprierea ”momentului fatidic” 25 mai 2018 marca pentru multe organizații sprintul final către ”marea aliniere” (credeau ei), când de fapt era doar începutul unei maraton, unde învingător nu este cel care se laudă cu un dosar de conformitate ”beton”,  ci cel care reușește să se mențină în picioare într-o cursă de anduranță cu suișuri și coborâșuri. În care, de multe ori ești nevoit să îți menții echilibrul alergând pe sârmă deasupra unei prăpăstii. Popularele jocuri de echipă în decoruri exotice sau ”camera misterelor” sunt nimic pe lângă asta.

Câți dintre cei care ”au fost gata” pe 25 mai 2018 au fost cu adevărat pregătiți să și demonstreze că sunt gata? E suficient să ne uităm la amenzi, care le-au lăsat răgaz până prin iulie 2019 să își pună la punct măsurile tehnice și organizaționale adecvate. Amenzile au început la mai bine de un an după intrarea în vigoare a GDPR. Dar și când au început…

E suficient să ne uităm pe site-uri, la politicile de confidențialitate, să vedem câte au rămas la versiunea din 25 mai 2018… Chiar nu s-a mai schimbat nimic de atunci? Nu au apărut noi procese de prelucrare a datelor? Noi vulnerabilități? Noi breșe? Dar pandemiile? Câți au o politică actualizată în martie 2020? Când toată lumea lucra de acasă, în noi condiții de risc. Cu noi instrumente, la care nimeni nu a făcut o elementară analiză de impact.

Câți dintre cei care ne-au bombardat cu mesaje de reînnoire a subscripțiilor de newsletter în mai 2018 au respectat cu adevărat opțiunile persoanelor vizate? Câți și-au dat seama că nu primești mai multe răspunsuri dacă trimiți mesaje pe toate listele din bazele de date? Câți au înțeles că în noua viziune de consimțământ, lipsa de răspuns nu este o acceptare implicită. Nu e soft opt-in… Se vede în amenzi, dar mai ales în avertismente. Sunt mari operatori care nu reușesc nici astăzi să pună efectiv în aplicare respectarea opțiunii de ”unsubscribe”, care e la fel de sfântă ca orice alt drept de acces…

Am spus-o de multe ori și o tot repet: mulți fac tam-tam pe respectarea ”dreptului de a fi uitat”, care este un drept utopic, în cea mai mare parte. Sunt foarte rare cazurile concrete când dreptul la ștergere chiar poate fi pus în aplicare. Întrebați colegii de la IT. De cele mai multe ori e un non-sens. Tu vii la mine si mă rogi să ”te uit”. Eu îți zâmbesc frumos și te asigur că se rezolvă. Că avem proceduri… Că depunem eforturi… Și în termenul celor 30 de zile îți dau mesaj că ”te-am uitat”. Dar nu pot să te uit chiar de tot, din moment ce GDPR mă obligă să țin un catastif cu cei ca tine, care vin să îmi ceară ceva…

Un drept mult mai valabil, mai real și mai periculos pentru operatorii de date este cel de retragere a consimțământului. Ăsta da drept! Un drept real, bazat pe o cerință reală. Dar câți sunt oare capabili să îl respecte. Câți și-au făcut proceduri. Câți și-au instruit oamenii ca să știe ce au de făcut? Se vede în amenzi, dar mai ales în mai puțin popularizatele avertismente. E suficient să ne uităm pe site-uri la politicile publice, ca să vedem că mult trâmbițata respectare de principii care se manifestă prin copierea textului GDPR, ne trimite de multe ori la legea 677 din 2001.

E suficient să ne uităm cam ce înțelege majoritatea site-urilor prin respectarea consimțământului.  Bare de cookies care nu au decât butonul de acceptare, care acoperă tot ecranul cu mesajele emoționale de genul ”știți, noi trăim din sponsorizări…” sau chiar site-uri care te rejectează și îți blochează accesul la informația publică. Hai să facem un test: uitați-vă pe 5 site-uri la bara de cookies, ca să vedeți câte dintre ele mai păstrează și acum, după 2 ani, bine-cunoscuta frază: ”navigând în continuare pe site-ul nostru înseamnă că acceptați politica noastră de cookies”… Iar din astea 5 site-uri, uitați-vă câte folosesc meniuri cu casete pre-bifate…

Iată-ne deci, după 2 ani de obligativitate a normelor GDPR și la 4 după votarea Regulamentului de către forurile europene. Am tot scris, din timp în timp, despre greșelile care se tot repetă. Încă nu s-a înțeles care sunt date personale și care nu. Cine e operator de date și cine procesator. Că nu tot ce faci se bazează pe consimțământ. Că legitimul tău interes, perfect onorabil pentru profitul în business, este de fapt o încălcare a drepturilor mele, un bine impus cu forța. Că atunci când îți asumi răspunderea pentru protejarea datelor, chiar trebui să le protejezi. Că ai proceduri și oameni instruiți.

În fine, multe dintre lucrurile care trebuie dovedite, rămân de nedovedit în conjunctura Coronavirus. Au apărut probleme mai urgente. Nu avem măști, ce ne tot bateți la cap cu regulile voastre? Nu avem dezinfectanți, cine stă să se mai gândească la niște reguli, care oricum nu au fost făcute pentru noi? Ce ne tot bateți capul cu criptarea, minimizarea și toate stupizeniile astea, când acum oamenii trebuie învățați să se spele pe mâini și să pună mâna la gură când tușesc sau strănută. Oamenii mor prin spitale, cui îi mai pasă dacă avem sau nu DPO? Acum e stare de urgență, mai ușor cu drepturile și libertățile voastre. Ale cui? Ale noastre, ale voastre, ale lor…

Și totuși, acum, după doi ani de GDPR și trei luni de Pandemie există maratoniști care rămân în cursa cu obstacole. Care respectă distanțarea socială, dar pun preț și pe confidențialitate. Care își văd de treabă, fără să îi împingă pe alții la o parte. Care atunci când cineva cade, se opresc și îl ajută, fără să își facă selfie și să îl pună pe Instagram.  Care dacă nu au din ce să doneze, pun umărul la treabă, fără să strige ”Hei-rup”. Care au profitat de răgazul oferit de izolare și de lucrul de acasă pentru a-și mai face ordine prin ogradă, dar și prin politici și bazele de date. Care atunci când și-au făcut planul de continuitate și, ulterior, cel de ieșire din criză, au pus conformitatea prelucrării datelor personale la locul ei, ca piatră de temelie a afacerii și a transformării prin tehnologie. Dar nu oricum, de-a valma, ci în spiritul unor reguli de protecție, care de cele mai multe ori nu au fost inventate de GDPR. Ci de bunul simț.

Căci, la fel ca în GDPR, care are rolul de a proteja prelucrarea datelor pentru a le lăsa șă circule liber pe o piața digitală protejată, și inovațiile tehnice trebuie adoptate astfel încât să ne fie de un real folos, nu o barieră în dezvoltare. Nu o continuă amenințare a atacurilor cybercriminale. Și nici o încălcare a drepturilor fundamentale, printr-o așa zisă monitorizare de masă, care nu rezolvă nimic proactiv, ci e doar o nouă sursă