Interviu - Scopul GDPR este sa fie pedepsiti cei care sar calul, nu cei care trag la caruta
Marius Dumitrescu: Scopul GDPR nu este de a da amenzi, ci de a proteja persoanele. Cu toate acestea, dupa 3 ani de la intrarea in vigoare a Regulamentului, doar 67% din europeni au auzit de GDPR, in timp ce doar 36% au declarat ca stiu ce este acest regulament (date prezentate de Comisia Europeana in sondajul Eurobarometru). Credeti ca aceste cifre sunt rezultatul dezinteresului persoanelor in ceea ce priveste protejarea datelor lor?
Andrei Savescu: O reglementare europeana de care au auzit peste doua treimi din oameni, iar peste o treime stiu ce este ea mi se pare foarte mult. Nu cred ca exista o alta reglementare atat de cunoscuta. Probabil ca nici macar Legea nr. 31/1990 nu este cunoscuta in Romania la un asemenea nivel, prin raportare la intreaga populatie. In termeni relativi, constientizarea GDPR este foarte buna, dar in termeni absoluti, intr-adevar nu. In ceea ce priveste constientizarea la nivelul institutiilor si al mediului de afaceri, sunt convins ca nivelul de constientizare este foarte ridicat, aproape de 100%.
Marius Dumitrescu: Care credeti ca vor fi consecintele acestei lipse de constientizare a importantei datelor in randul persoanelor, pe termen lung?
Andrei Savescu: Constientizarea importantei datelor cu caracter personal este relativ scazuta la nivelul publicului larg, deoarece datele cu caracter personal au o importanta mica, pentru fiecare persoana in parte. Oamenii trebuie sa fie cunoscuti, ei chiar vor sa fie cunoscuti, este foarte normal sa fie cunoscuti. De fapt, nici nu este normal sa actionam in societate cu un fel de cagula. Datele cu caracter personal sunt importante cand sunt foarte multe, datele unui numar mare de persoane. Ele sunt importante pentru organizatii. Cu alte cuvinte, exista o foarte mare diferenta intre importanta datelor cu caracter personal ale unei anumite persoane si importanta unui volum mare de date, ale unui numar mare de persoane. Aceasta diferenta la nivelul importantei datelor cu caracter personal este cauza diferentei de constientizare: persoanele fizice au o constientizare mai scazuta pe buna dreptate, pentru fiecare in parte, datele cu caracter personal au o importanta mica.
Marius Dumitrescu: Este esential ca persoanele sa identifice prelucrarile ilegale de date pentru a-si putea exercita drepturile. Cat este de important sa-ti cunosti drepturile atata timp cat nu poti identifica o prelucrare ilegala? Pe ce ar trebui sa se axeze campaniile de informare a persoanelor?
Andrei Savescu: Constientizarea drepturilor protejate de GDPR este mai mare decat constientizarea GDPR. Aceasta imprejurare a fost evidentiata si de sondajul Eurobarometru la care v-ati referit. Protejarea drepturilor persoanelor se realiza si inainte de GDPR, prin mijloace de drept civil. Intr-adevar, inainte de GDPR, protejarea drepturilor se realiza atunci cand persoanele erau deranjate de incalcarea drepturilor lor. GDPR a adus un element de noutate foarte spectaculos: informarea detaliata, clara si quasi-permanenta a persoanelor vizate cu privire la drepturile lor si cu privire la scopurile si modalitatile in care se realizeaza prelucrarea datelor lor cu caracter personal. Aceasta incurajare a persoanelor vizate este necesara tocmai din pricina dezinteresului imanent in ce priveste fiecare persoana in parte. Uniunea Europeana desfasoara si incurajeaza o campanie de sensibilizare cu privire la protectia datelor cu caracter personal.
Marius Dumitrescu: Care credeti ca ar fi cea mai scurta cale spre cresterea gradului de constientizare si complianta GDPR: educarea persoanelor sau educarea operatorilor?
Andrei Savescu: Operatorii se educa singuri. Institutiile si companiile pot fi suspectate de multe lucruri rele, insa in realitate gresesc destul de putin, pentru ca ele reprezinta partea activa, dinamica si totodata stabila, solida a oricarei societati. Constientizarea GDPR si cresterea nivelului de complianta, ca sa ne exprimam barbar, trebuie sa vina de la persoanele vizate. Cred ca aceasta este calea cea mai buna. Oamenii ar trebui sa citeasca politicile de confidentialitate si sa impartaseasca doar datele necesare sau pe care doresc sa le impartaseasca. Educarea persoanelor vizate cred ca este calea cea mai buna si totodata cea mai scurta. Pe de alta parte, cred ca acesta este spiritul GDPR: protejarea persoanelor fizice, nu chinuirea operatorilor.
Marius Dumitrescu: In Romania, pana in acest moment, nu prea s-au dat amenzi pentru nerespectarea GDPR, desi autoritatea a condus aproape 1.000 de investigatii, adoptand o atitudine orientata spre preventie si dispunerea de masuri corective. Considerati ca amenzile au un rol important in aplicarea GDPR-ului? Din experienta dumneavoastra practica, cei mai multi operatori se conformeaza cu GDPR din responsabilitate sau de frica amenzilor?
Andrei Savescu: Prin GDPR, Uniunea Europeana incearca sa puna presiune pe operatori, dar prin intermediul cetatenilor, nu prin intermediul Autoritatilor. Datele personale confera o anumita putere (comerciala) celui care le detine. Transparenta este dusmanul puterii in aceasta privinta, caci puterea nu are nevoie de transparenta, dimpotriva, prefera sa fie oculta. Autoritatea nationala din Romania a sesizat foarte bine orientarea reglementarii europene. Scopul GDPR este sa fie pedepsiti cei care sar calul, nu cei care trag la caruta. Potrivit experientei mele, operatorii sunt preocupati de conformarea GDPR. In calitate de consultanti, noi, avocatii, raspundem in fiecare zi intrebarilor clientilor, atat managementului, cat si responsabililor cu protectia datelor. Este adevarat ca exista o teama de amenzi, insa nu am sentimentul ca acesta este motivul determinant, ci unul mult mai subtil si mult mai frumos, determinat de faptul ca GDPR incurajeaza, la nivelul operatorilor, o dorinta esentiala si foarte pozitiva pentru afaceri: dorinta de a fi ordine.
Marius Dumitrescu: Credeti ca institutiile publice ar trebui sa fie un exemplu pentru restul operatorilor? Punem aceasta intrebare pentru ca in Romania avem un tratament preferential pentru institutiile publice, amenda maxima pentru nerespectarea GDPR fiind de 200.000 lei (aproximativ 42.000 euro), cu mult inferior fata de ceea ce risca operatorii privati.
Andrei Savescu: Da, cred ca institutiile publice ar trebui sa fie un exemplu de conformare GDPR. De altfel, am sesizat o preocupare constanta la nivel legislativ de a impune institutiilor conformarea, prin trimiterea la GDPR in numeroase acte normative noi provenind de la Guvern. Fara indoiala ca, la nivelul institutiilor, conformarea GDPR este mai dificila, dar asta in principal din pricina constrangerilor bugetare, nu din rea-vointa. Pe de alta parte, la nivelul institutiilor, o eventuala amenda ar putea fi catastrofala pentru persoanele vinovate, atunci cand va sosi Curtea de Conturi
Marius Dumitrescu: Cu toate ca Romania inregistreaza cel mai scazut nivel de utilizare a serviciilor de internet dintre statele membre ale Uniuni Europene, 86% din utilizatorii romani de internet au conturi pe retelele sociale, ceea ce ne face campionii Europei la acest capitol. Avand in vedere scandalurile imense in care au fost implicate retelele de socializare, fie prin bresele de securitate, fie prin utilizarea ilicita a datelor, putem considera ca suntem si cei mai vulnerabili. Cum considerati ca ar trebui sa se comporte un utilizator de internet, daca ar fi vorba de riscurile pe care internetul le ascunde?
Andrei Savescu: Chiar daca ar cunoaste toate riscurile, cred ca utilizatorii de Internet s-ar comporta cam la fel. Pericolele pot fi evitate doar prin inactiune, ceea ce este in realitate imposibil. De Internet doar moartea ne va desparti. GDPR exista tocmai pentru ca persoanele sa poata sa reclame incalcarea drepturilor lor, apoi intervin autoritatile.
Marius Dumitrescu: Accesul copiilor la internet este deja o normalitate. Ar trebui acest lucru sa ne ingrijoreze? Considerati ca o educatie privind accesul la internet al copiilor ar trebui sa fie o sarcina a parintilor sau sistemul de invatamant ar trebui sa-si asume acest rol?
Andrei Savescu: Inca nu intelegem foarte bine impactul Internetului asupra copiilor. Internetul are un impact devastator asupra copiilor, din perspectiva noastra. Insa din perspectiva lor, a celor care vor trai in viitor, probabil ca lucrurile nu sunt deloc dramatice. Internetul este o realitate virtuala, insa este la fel de real ca orice altceva. Cred ca societatea viitorului va fi diferita destul de mult de realitatea de ieri, probabil ca nu va mai fi atat de sociala si va fi mult mai cibernetica. In ceea ce priveste educatia privind accesul la Internet al copiilor, cred ca sistemul de invatamant o sa aiba un rol mai important decat parintii, intrucat educatia facuta de profesionisti este mai buna decat educatia facuta de amatori, parintii sunt educatori amatori. Pe de alta parte, este mai presus de orice indoiala ca parintii sunt mai importanti decat sistemul de invatamant, pentru ca iubirea este mai importanta decat educatia. Tehnologiile software permit un control parental avansat, in asa fel incat parintii sa-si poata proteja copiii, cu iubire si multa atentie. Insa utilizarea controlului parental este ea insasi dificila, intrucat necesita deprinderi tehnice si un discernamant bine antrenat cu privire la pericolele Internetului. Cred insa ca lucrurile vor merge din ce in ce mai bine, parintii tineri sunt mult mai priceputi, astfel incat iubirea si priceperea lor vor putea, in masura din ce in ce mai mare, sa protejeze si sa orienteze copiii.
Marius Dumitrescu: Facebook a lansat Study, un program de cercetare de piata bazat pe recompense. Cum vi se pare un asemenea concept: sa fim platiti pentru datele pe care le facem publice? Este aceasta directie una corecta?
Andrei Savescu: Oamenii oricum isi fac publice date cu caracter personal, iar daca sunt si platiti pentru asta, e foarte bine. Cred ca directia este una corecta, in masura in care oamenii sunt constienti de faptele lor si de efectele faptelor lor. Imprejurarea ca oamenii nu sunt mereu foarte constienti nu inseamna ca ar trebui oprit orice lucru care se face cu un nivel scazut de constientizare, caci altminteri ar trebui sa ne gandim si la restrictii cu privire la mersul pe jos, care nici el nu se bucura de un nivel inalt de constientizare.
Marius Dumitrescu: Conform unui raport DLA Piper (GDPR data breach survey: February 2019), de la data aplicarii GDPR si pana in februarie 2019, Autoritatea de supraveghere din Olanda inregistrase 15.400 de notificari de brese, in timp ce Romania numara la acea vreme doar 270. Care credeti ca este motivul acestei discrepante? Suntem noi romanii un popor norocos si bresele de securitate ne evita, ori nu recunoastem o bresa de securitate nici daca ne impiedicam de ea?
Andrei Savescu: Orice sistem informatic este penetrabil. Cata vreme vom utiliza protocoalele TCP, computerele vor fi penetrate. Diferenta de expunere se situeaza la nivelul costurilor pentru realizarea penetrarii. Prin urmare, penetrarea se va face atunci cand este suficient de rentabila. Cred ca masurile de securitate informatica sunt foarte importante, dar nu pentru ca ar face imposibil furtul datelor cu caracter personal, ci pentru ca maresc costurile care ar trebui facute de cel care vizeaza aceste date. Acest mecanism cibernetic nu este insa specific atacurilor vizand datele cu caracter personal, ci este general, pentru orice informatii ne-publice ale unei organizatii. De aceea, unele organizatii neglijeaza securitatea cibernetica, iar altele ii acorda o atentie speciala. Importanta acordata de o organizatie securitatii cibernetice nu este determinata de importanta datelor cu caracter personal, ci de importanta informatiilor ne-publice ale organizatiei. Organizatiile ar trebui sa acorde o importanta speciala protectiei informatiilor in general, intrucat ele trebuie sa protejeze informatii cu mult mai importante decat cele care privesc datele cu caracter personal. Asa se si intampla in realitate: protectia informatica a datelor cu caracter personal este exact la nivelul la care se afla protectia informatica a organizatiei. Din aceasta perspectiva, GDPR are un rol social foarte pozitiv, intrucat cu ocazia demersurilor pentru protectia datelor cu caracter personal, organizatiile vor asigura si protectia generala a informatiilor pe care le gestioneaza.
Marius Dumitrescu: Identificarea riscurilor este unul din cei mai importanti pasi spre complianta GDPR. Dar daca noi nu reusim sa identificam nici bresele, cum am putea identifica riscurile?
Andrei Savescu: Riscurile cu privire la protectia datelor cu caracter personal au o sfera mai larga decat riscurile informatice. Cel mai frecvent, bresele sunt mai mari decat riscurile, pentru ca nu exista interes pentru exploatarea breselor.
Marius Dumitrescu: A trecut un an de la intrarea in vigoare a GDPR. Ce s-a schimbat in decursul acestui an?
Andrei Savescu: Cea mai importanta schimbare este cresterea numarului de specialisti. Aceasta schimbare este foarte pozitiva. GDPR este mult mai cunoscut, el constituie o preocupare constanta pentru operatori, ceea ce a determinat cresterea numarului de specialisti. Acest trend cred ca se va mentine, si este foarte bine ca va fi asa. O alta schimbare este scaderea fricii. Acum un an, frica era cauza unor reactii exagerate din partea operatorilor, reactii de natura sa impiedice functionarea normala a organizatiei. Acum un an, operatorii aveau tendinta sa sufle in iaurt. In acest moment, lucrurile sunt mai asezate, iar GDPR produce efectul vizat, acela de generator de ordine in activitate. Si aceasta schimbare mi se pare foarte buna.
Marius Dumitrescu: Cum vedeti implementarea Directivei NIS in Romania? Care sunt cele mai mari provocari? Ce masuri au fost luate pana in prezent?
Andrei Savescu: Securitatea retelelor si a sistemelor informatice este o provocare pentru ca necesita costuri mari, pricinuite de necesitatea utilizarii unor echipamente scumpe si de necesitatea implicarii unor oameni foarte calificati si foarte inteligenti, deci putini, deci scumpi. Securitatea informatica este pozitionata in zone stratosferice ale intelectului uman. Cauza dificultatilor nu poate fi eliminata, pentru ca adevarata cauza este modul in care a fost conceput Internetul. O schimbare a mecanicii intime a Internetului ar rezolva problemele legate de securitatea sistemelor informatice, insa probabil ca asta nu se va intampla in curand, din pricina ca problemele de securitate sunt, pentru organizatii relevante, fructuoase. Prin urmare, cred ca preocuparea pentru securitatea sistemelor informatice trebuie sa fie in continuare sustinuta.
Marius Dumitrescu: Cine credeti ca ar trebui sa se implice mai mult in diseminarea importantei datelor personale? Institutiile publice, Autoritatile nationale de supraveghere sau ONG-urile din domeniul protectiei datelor?
Andrei Savescu: Am observat ca Autoritatea Nationala are o foarte buna implicare in diseminarea informatiilor privind protectia datelor cu caracter personal, atat in nume propriu, cat si prin sprijinirea initiativelor in acest sens ale institutiilor, ONG-urilor si chiar ale agentilor economici. Cred ca ONG-urile, asa cum este cel pe care il conduceti, Asociatia Specialistilor in Confidentialitate si Protectia Datelor, pot face lucruri frumoase, si chiar fac. Protectia datelor cu caracter personal merita toata atentia care ii este deja acordata, si chiar mai mult.
Marius Dumitrescu: Va multumesc.
Andrei Savescu: Va multumesc si eu pentru atentia pe care mi-ati acordat-o adresandu-mi aceste intrebari si va doresc mult succes in activitatea dumneavoastra, pe care o apreciez in mod special!
Andrei Savescu: O reglementare europeana de care au auzit peste doua treimi din oameni, iar peste o treime stiu ce este ea mi se pare foarte mult. Nu cred ca exista o alta reglementare atat de cunoscuta. Probabil ca nici macar Legea nr. 31/1990 nu este cunoscuta in Romania la un asemenea nivel, prin raportare la intreaga populatie. In termeni relativi, constientizarea GDPR este foarte buna, dar in termeni absoluti, intr-adevar nu. In ceea ce priveste constientizarea la nivelul institutiilor si al mediului de afaceri, sunt convins ca nivelul de constientizare este foarte ridicat, aproape de 100%.
Marius Dumitrescu: Care credeti ca vor fi consecintele acestei lipse de constientizare a importantei datelor in randul persoanelor, pe termen lung?
Andrei Savescu: Constientizarea importantei datelor cu caracter personal este relativ scazuta la nivelul publicului larg, deoarece datele cu caracter personal au o importanta mica, pentru fiecare persoana in parte. Oamenii trebuie sa fie cunoscuti, ei chiar vor sa fie cunoscuti, este foarte normal sa fie cunoscuti. De fapt, nici nu este normal sa actionam in societate cu un fel de cagula. Datele cu caracter personal sunt importante cand sunt foarte multe, datele unui numar mare de persoane. Ele sunt importante pentru organizatii. Cu alte cuvinte, exista o foarte mare diferenta intre importanta datelor cu caracter personal ale unei anumite persoane si importanta unui volum mare de date, ale unui numar mare de persoane. Aceasta diferenta la nivelul importantei datelor cu caracter personal este cauza diferentei de constientizare: persoanele fizice au o constientizare mai scazuta pe buna dreptate, pentru fiecare in parte, datele cu caracter personal au o importanta mica.
Marius Dumitrescu: Este esential ca persoanele sa identifice prelucrarile ilegale de date pentru a-si putea exercita drepturile. Cat este de important sa-ti cunosti drepturile atata timp cat nu poti identifica o prelucrare ilegala? Pe ce ar trebui sa se axeze campaniile de informare a persoanelor?
Andrei Savescu: Constientizarea drepturilor protejate de GDPR este mai mare decat constientizarea GDPR. Aceasta imprejurare a fost evidentiata si de sondajul Eurobarometru la care v-ati referit. Protejarea drepturilor persoanelor se realiza si inainte de GDPR, prin mijloace de drept civil. Intr-adevar, inainte de GDPR, protejarea drepturilor se realiza atunci cand persoanele erau deranjate de incalcarea drepturilor lor. GDPR a adus un element de noutate foarte spectaculos: informarea detaliata, clara si quasi-permanenta a persoanelor vizate cu privire la drepturile lor si cu privire la scopurile si modalitatile in care se realizeaza prelucrarea datelor lor cu caracter personal. Aceasta incurajare a persoanelor vizate este necesara tocmai din pricina dezinteresului imanent in ce priveste fiecare persoana in parte. Uniunea Europeana desfasoara si incurajeaza o campanie de sensibilizare cu privire la protectia datelor cu caracter personal.
Marius Dumitrescu: Care credeti ca ar fi cea mai scurta cale spre cresterea gradului de constientizare si complianta GDPR: educarea persoanelor sau educarea operatorilor?
Andrei Savescu: Operatorii se educa singuri. Institutiile si companiile pot fi suspectate de multe lucruri rele, insa in realitate gresesc destul de putin, pentru ca ele reprezinta partea activa, dinamica si totodata stabila, solida a oricarei societati. Constientizarea GDPR si cresterea nivelului de complianta, ca sa ne exprimam barbar, trebuie sa vina de la persoanele vizate. Cred ca aceasta este calea cea mai buna. Oamenii ar trebui sa citeasca politicile de confidentialitate si sa impartaseasca doar datele necesare sau pe care doresc sa le impartaseasca. Educarea persoanelor vizate cred ca este calea cea mai buna si totodata cea mai scurta. Pe de alta parte, cred ca acesta este spiritul GDPR: protejarea persoanelor fizice, nu chinuirea operatorilor.
Marius Dumitrescu: In Romania, pana in acest moment, nu prea s-au dat amenzi pentru nerespectarea GDPR, desi autoritatea a condus aproape 1.000 de investigatii, adoptand o atitudine orientata spre preventie si dispunerea de masuri corective. Considerati ca amenzile au un rol important in aplicarea GDPR-ului? Din experienta dumneavoastra practica, cei mai multi operatori se conformeaza cu GDPR din responsabilitate sau de frica amenzilor?
Andrei Savescu: Prin GDPR, Uniunea Europeana incearca sa puna presiune pe operatori, dar prin intermediul cetatenilor, nu prin intermediul Autoritatilor. Datele personale confera o anumita putere (comerciala) celui care le detine. Transparenta este dusmanul puterii in aceasta privinta, caci puterea nu are nevoie de transparenta, dimpotriva, prefera sa fie oculta. Autoritatea nationala din Romania a sesizat foarte bine orientarea reglementarii europene. Scopul GDPR este sa fie pedepsiti cei care sar calul, nu cei care trag la caruta. Potrivit experientei mele, operatorii sunt preocupati de conformarea GDPR. In calitate de consultanti, noi, avocatii, raspundem in fiecare zi intrebarilor clientilor, atat managementului, cat si responsabililor cu protectia datelor. Este adevarat ca exista o teama de amenzi, insa nu am sentimentul ca acesta este motivul determinant, ci unul mult mai subtil si mult mai frumos, determinat de faptul ca GDPR incurajeaza, la nivelul operatorilor, o dorinta esentiala si foarte pozitiva pentru afaceri: dorinta de a fi ordine.
Marius Dumitrescu: Credeti ca institutiile publice ar trebui sa fie un exemplu pentru restul operatorilor? Punem aceasta intrebare pentru ca in Romania avem un tratament preferential pentru institutiile publice, amenda maxima pentru nerespectarea GDPR fiind de 200.000 lei (aproximativ 42.000 euro), cu mult inferior fata de ceea ce risca operatorii privati.
Andrei Savescu: Da, cred ca institutiile publice ar trebui sa fie un exemplu de conformare GDPR. De altfel, am sesizat o preocupare constanta la nivel legislativ de a impune institutiilor conformarea, prin trimiterea la GDPR in numeroase acte normative noi provenind de la Guvern. Fara indoiala ca, la nivelul institutiilor, conformarea GDPR este mai dificila, dar asta in principal din pricina constrangerilor bugetare, nu din rea-vointa. Pe de alta parte, la nivelul institutiilor, o eventuala amenda ar putea fi catastrofala pentru persoanele vinovate, atunci cand va sosi Curtea de Conturi
Marius Dumitrescu: Cu toate ca Romania inregistreaza cel mai scazut nivel de utilizare a serviciilor de internet dintre statele membre ale Uniuni Europene, 86% din utilizatorii romani de internet au conturi pe retelele sociale, ceea ce ne face campionii Europei la acest capitol. Avand in vedere scandalurile imense in care au fost implicate retelele de socializare, fie prin bresele de securitate, fie prin utilizarea ilicita a datelor, putem considera ca suntem si cei mai vulnerabili. Cum considerati ca ar trebui sa se comporte un utilizator de internet, daca ar fi vorba de riscurile pe care internetul le ascunde?
Andrei Savescu: Chiar daca ar cunoaste toate riscurile, cred ca utilizatorii de Internet s-ar comporta cam la fel. Pericolele pot fi evitate doar prin inactiune, ceea ce este in realitate imposibil. De Internet doar moartea ne va desparti. GDPR exista tocmai pentru ca persoanele sa poata sa reclame incalcarea drepturilor lor, apoi intervin autoritatile.
Marius Dumitrescu: Accesul copiilor la internet este deja o normalitate. Ar trebui acest lucru sa ne ingrijoreze? Considerati ca o educatie privind accesul la internet al copiilor ar trebui sa fie o sarcina a parintilor sau sistemul de invatamant ar trebui sa-si asume acest rol?
Andrei Savescu: Inca nu intelegem foarte bine impactul Internetului asupra copiilor. Internetul are un impact devastator asupra copiilor, din perspectiva noastra. Insa din perspectiva lor, a celor care vor trai in viitor, probabil ca lucrurile nu sunt deloc dramatice. Internetul este o realitate virtuala, insa este la fel de real ca orice altceva. Cred ca societatea viitorului va fi diferita destul de mult de realitatea de ieri, probabil ca nu va mai fi atat de sociala si va fi mult mai cibernetica. In ceea ce priveste educatia privind accesul la Internet al copiilor, cred ca sistemul de invatamant o sa aiba un rol mai important decat parintii, intrucat educatia facuta de profesionisti este mai buna decat educatia facuta de amatori, parintii sunt educatori amatori. Pe de alta parte, este mai presus de orice indoiala ca parintii sunt mai importanti decat sistemul de invatamant, pentru ca iubirea este mai importanta decat educatia. Tehnologiile software permit un control parental avansat, in asa fel incat parintii sa-si poata proteja copiii, cu iubire si multa atentie. Insa utilizarea controlului parental este ea insasi dificila, intrucat necesita deprinderi tehnice si un discernamant bine antrenat cu privire la pericolele Internetului. Cred insa ca lucrurile vor merge din ce in ce mai bine, parintii tineri sunt mult mai priceputi, astfel incat iubirea si priceperea lor vor putea, in masura din ce in ce mai mare, sa protejeze si sa orienteze copiii.
Marius Dumitrescu: Facebook a lansat Study, un program de cercetare de piata bazat pe recompense. Cum vi se pare un asemenea concept: sa fim platiti pentru datele pe care le facem publice? Este aceasta directie una corecta?
Andrei Savescu: Oamenii oricum isi fac publice date cu caracter personal, iar daca sunt si platiti pentru asta, e foarte bine. Cred ca directia este una corecta, in masura in care oamenii sunt constienti de faptele lor si de efectele faptelor lor. Imprejurarea ca oamenii nu sunt mereu foarte constienti nu inseamna ca ar trebui oprit orice lucru care se face cu un nivel scazut de constientizare, caci altminteri ar trebui sa ne gandim si la restrictii cu privire la mersul pe jos, care nici el nu se bucura de un nivel inalt de constientizare.
Marius Dumitrescu: Conform unui raport DLA Piper (GDPR data breach survey: February 2019), de la data aplicarii GDPR si pana in februarie 2019, Autoritatea de supraveghere din Olanda inregistrase 15.400 de notificari de brese, in timp ce Romania numara la acea vreme doar 270. Care credeti ca este motivul acestei discrepante? Suntem noi romanii un popor norocos si bresele de securitate ne evita, ori nu recunoastem o bresa de securitate nici daca ne impiedicam de ea?
Andrei Savescu: Orice sistem informatic este penetrabil. Cata vreme vom utiliza protocoalele TCP, computerele vor fi penetrate. Diferenta de expunere se situeaza la nivelul costurilor pentru realizarea penetrarii. Prin urmare, penetrarea se va face atunci cand este suficient de rentabila. Cred ca masurile de securitate informatica sunt foarte importante, dar nu pentru ca ar face imposibil furtul datelor cu caracter personal, ci pentru ca maresc costurile care ar trebui facute de cel care vizeaza aceste date. Acest mecanism cibernetic nu este insa specific atacurilor vizand datele cu caracter personal, ci este general, pentru orice informatii ne-publice ale unei organizatii. De aceea, unele organizatii neglijeaza securitatea cibernetica, iar altele ii acorda o atentie speciala. Importanta acordata de o organizatie securitatii cibernetice nu este determinata de importanta datelor cu caracter personal, ci de importanta informatiilor ne-publice ale organizatiei. Organizatiile ar trebui sa acorde o importanta speciala protectiei informatiilor in general, intrucat ele trebuie sa protejeze informatii cu mult mai importante decat cele care privesc datele cu caracter personal. Asa se si intampla in realitate: protectia informatica a datelor cu caracter personal este exact la nivelul la care se afla protectia informatica a organizatiei. Din aceasta perspectiva, GDPR are un rol social foarte pozitiv, intrucat cu ocazia demersurilor pentru protectia datelor cu caracter personal, organizatiile vor asigura si protectia generala a informatiilor pe care le gestioneaza.
Marius Dumitrescu: Identificarea riscurilor este unul din cei mai importanti pasi spre complianta GDPR. Dar daca noi nu reusim sa identificam nici bresele, cum am putea identifica riscurile?
Andrei Savescu: Riscurile cu privire la protectia datelor cu caracter personal au o sfera mai larga decat riscurile informatice. Cel mai frecvent, bresele sunt mai mari decat riscurile, pentru ca nu exista interes pentru exploatarea breselor.
Marius Dumitrescu: A trecut un an de la intrarea in vigoare a GDPR. Ce s-a schimbat in decursul acestui an?
Andrei Savescu: Cea mai importanta schimbare este cresterea numarului de specialisti. Aceasta schimbare este foarte pozitiva. GDPR este mult mai cunoscut, el constituie o preocupare constanta pentru operatori, ceea ce a determinat cresterea numarului de specialisti. Acest trend cred ca se va mentine, si este foarte bine ca va fi asa. O alta schimbare este scaderea fricii. Acum un an, frica era cauza unor reactii exagerate din partea operatorilor, reactii de natura sa impiedice functionarea normala a organizatiei. Acum un an, operatorii aveau tendinta sa sufle in iaurt. In acest moment, lucrurile sunt mai asezate, iar GDPR produce efectul vizat, acela de generator de ordine in activitate. Si aceasta schimbare mi se pare foarte buna.
Marius Dumitrescu: Cum vedeti implementarea Directivei NIS in Romania? Care sunt cele mai mari provocari? Ce masuri au fost luate pana in prezent?
Andrei Savescu: Securitatea retelelor si a sistemelor informatice este o provocare pentru ca necesita costuri mari, pricinuite de necesitatea utilizarii unor echipamente scumpe si de necesitatea implicarii unor oameni foarte calificati si foarte inteligenti, deci putini, deci scumpi. Securitatea informatica este pozitionata in zone stratosferice ale intelectului uman. Cauza dificultatilor nu poate fi eliminata, pentru ca adevarata cauza este modul in care a fost conceput Internetul. O schimbare a mecanicii intime a Internetului ar rezolva problemele legate de securitatea sistemelor informatice, insa probabil ca asta nu se va intampla in curand, din pricina ca problemele de securitate sunt, pentru organizatii relevante, fructuoase. Prin urmare, cred ca preocuparea pentru securitatea sistemelor informatice trebuie sa fie in continuare sustinuta.
Marius Dumitrescu: Cine credeti ca ar trebui sa se implice mai mult in diseminarea importantei datelor personale? Institutiile publice, Autoritatile nationale de supraveghere sau ONG-urile din domeniul protectiei datelor?
Andrei Savescu: Am observat ca Autoritatea Nationala are o foarte buna implicare in diseminarea informatiilor privind protectia datelor cu caracter personal, atat in nume propriu, cat si prin sprijinirea initiativelor in acest sens ale institutiilor, ONG-urilor si chiar ale agentilor economici. Cred ca ONG-urile, asa cum este cel pe care il conduceti, Asociatia Specialistilor in Confidentialitate si Protectia Datelor, pot face lucruri frumoase, si chiar fac. Protectia datelor cu caracter personal merita toata atentia care ii este deja acordata, si chiar mai mult.
Marius Dumitrescu: Va multumesc.
Andrei Savescu: Va multumesc si eu pentru atentia pe care mi-ati acordat-o adresandu-mi aceste intrebari si va doresc mult succes in activitatea dumneavoastra, pe care o apreciez in mod special!
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Studii de caz
04Oct2019
Provocarile aplicarii GDPR in raport cu elevii si studentii ce efectueaza stagii de practica in cadrul companiilor
de Colectivul de Specialisti Rentrop&Straton
04 Oct 2019
05Aug2019
Dilemele legate de prelucrarea categoriilor speciale de date (I)
de Colectivul de Specialisti Rentrop&Straton
05 Aug 2019
05Aug2019
Evaluarea impactului operatiunilor de prelucrare asupra protectiei datelor cu caracter personal.
de Alexandra Jivan
05 Aug 2019
Un produs marca