Paradoxurile GDPR, o posibilă frână pentru rata de adopție


Ca să putem înțelege ”cu ce se mănâncă” acest GDPR, trebuie să ajungem la esența problemei:   datele personale. Am dedicat acestui subiect un întreg capitol în cartea ”GDPR: Cultura respectului pentru datele personale”, unde  în capitolul  4 , intitulat ”Să înțelegem despre ce e vorba: Totul se învârte în jurul datelor personale”, am abordat  o serie de subiecte încă fierbinți legate de înțelegerea esenței și spiritului GDPR: paradoxurile, domeniul de aplicare material , efectul globalizării, transferul internațional de date, natura datelor personale, arta de a le identifica și altele…

Primul paradox al Regulamentului european este lipsa de înțelegere a obiectului și obiectivului recomandărilor sale. La peste 5 ani de la aprobarea oficială de către forurile europene, mulți cred că GDPR se referă la protecția datelor personale. Adică la asigurarea securității și confidențialității datelor. Nimic mai greșit. Deși denumirea prescurtată este General Data Protection Regulation, obiectivul principal al GDPR este asigurarea conformității pentru prelucrarea datelor personale și tot ce ține de activitățile de prelucrare a acestora: procese de business, fluxuri de date, politici, proceduri, principii, seturi de reguli, protocoale…

Cu siguranță că rezistența întâmpinată la punerea în aplicare a normelor recomandate de GDPR are ca principal motiv înțelegerea eronată a domeniului de aplicare. Mulți au crezut că prin natura activității lor sau prin mărimea companiei nu au nicio treabă cu GDPR. Mai mult de atât, activitățile de prelucrare efectuate de persoane fizice, în diferite scopuri, pot să fie supuse sau nu regulilor GDPR în funcție de natura scopului și a mijloacelor sau a faptului că activitatea desfășurată de persoana respectivă poate fi înscrisă sau nu într-un flux coerent de prelucrări de date personale ale unui operator sau procesator.  Dar să vedem ce zice GDPR încă din Articolul 1, alineat (1) – Obiectul și obiectivele: ”Prezentul regulament stabilește norme privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și norme privind libera circulație a datelor cu caracter personal”.

Ce altceva s-a înțeles destul de greu și prin asta s-a dovedit un paradox al asimilării GDPR? Pe lângă faptul că nu se ocupă de siguranța datelor, GDPR nu a fost gândit ca să ne facă viața mai grea, să ne baricadăm cu hârtii și să plătim amenzi. GDPR face ordine în ceea ce se întâmplă cu datele noastre în mod abuziv. ”Prezentul regulament protejează drepturile și libertățile fundamentale ale persoanelor fizice, în special dreptul acestora la protecția datelor cu caracter personal”, se arată în Articolul 1, alineatul (2). Protecția persoanelor fizice în legătură cu prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8, alineatul 1 din Carta drepturilor fundamentale a Uniunii Europene („Carta”) și articolul 16, alineatul 1 din Tratatul privind Funcționarea Uniunii Europene (TFUE) prevăd că orice cetățean european are dreptul la protecția datelor personale. Principiile și regulile privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor lor personale ar trebui, indiferent de cetățenia sau reședința lor, să respecte drepturile și libertățile lor fundamentale, în special dreptul lor la protecția datelor cu caracter personal.

Cu alte cuvinte, nimeni ”nu ne pune pistolul în piept”… Prelucrarea datelor cu caracter personal e concepută pentru a servi omenirea. GDPR respectă toate drepturile fundamentale și respectă libertățile și principiile recunoscute în Cartă așa cum sunt consacrate în tratate, în special respectarea vieții private și de familie, a locuinței și a comunicațiilor, protecția datelor personale, libertatea de gândire, conștiința și religia, libertatea de exprimare și informare, libertatea de a conduce o afacere, dreptul la un remediu eficient și la un proces echitabil și la diversitatea culturală, religioasă și lingvistică.

Un alt paradox al GDPR care apare și în denumirea completă a regulamentului, în Articolul 1, alineatul (3), se referă la faptul că tot ce facem pentru reglementarea prelucrării datelor și respectarea drepturilor europene fundamentale nu are ca scop protejarea datelor prin izolare și securizare. Cu alte cuvinte, nu ascundem datele în seifuri sau în galerii de mină la care nu ajunge nimeni. Toate eforturile pe care le facem pentru asigurarea conformității operațiunilor de prelucrare au ca scop lăsarea datelor să circule liber, într-o nouă piață europeană construită pe o economie unică digitală. Libera circulație a datelor cu caracter personal în Uniune nu este restricționată și nici interzisă din motive legate de protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal”, se spune clar în Articolul 1, alineatul (3).

Integrarea economică și socială la nivelul Uniunii Europene și năzuința către o piață unică digitală nu se poate baza decât pe libera circulație a datelor. Dar ca să putem lăsa datele șă zburde libere, e nevoie să le protejăm și să privim cu răspundere toate activitățile de prelucrare. Schimbul de date cu caracter personal între actorii publici și privați, inclusiv persoanele fizice, asociațiile și întreprinderile din Uniune a crescut și va crește în continuare. Autoritățile naționale din statele membre dar și toți cei care prelucrează date personale ale cetățenilor UE, indiferent unde sunt localizați ca operatori,  trebuie să coopereze și să întărească valoarea datelor cu caracter personal, care sunt bunul nostru cel mai de preț.

Citiți mai multe în cartea  ”GDPR: Cultura respectului pentru datele personale” publicată anul acesta, pe la sfârșitul lunii iunie. Cartea poate fi achiziționată printr-un sistem de precomandă. Detalii pot fi găsite  AICI.