Responsabilul cu protecția datelor externalizat – o iluzie în România.

Mă ocup cu GDPR de aproape doi ani și am observat că se tot vorbește despre responsabilul cu protecția datelor externalizat. M-a fascinat, m-a încântat, m-a enervat, m-a fascinat din nou și i-am rămas fidelă. Pentru că am creat, aici pe LegalUp, cel mai mare portal de informații despre GDPR, în perioada martie – mai 2018, primeam în jur de 50 de apeluri pe zi și 30 de mail-uri. Am avut peste 50 de întâlniri.

Cunosc piața consultanței GDPR ca în palmă. S-au supărat pe mine pentru că vând șabloane online. Dar de ce ar începe toți cum am început eu cu o foaie goală și un pix? Cred că scopul nostru, al tuturor, e să protejăm datele și să găsim cele mai bune soluții. Am peste 30 de foldere denumite „KIT” în PC. Crede-mă, nu ai vrea să faci toata munca de acolo. Poate ai vrea să protejezi totuși datele. Șabloanele există acum și pot fi adaptate ușor. Responsabililul cu protecția datelor nu scrie documentația, sau cel puțin nu ar trebui să o facă.

Recunosc că m-am gândit la varianta să fiu DPO externalizat. După ce am oferit consultanță GDPR în cadrul a aproape 20 de firme, mi-am sfătuit clienții să numească un responsabil intern. Pentru că eu, oricât de mult aș vrea, nu pot fi întotdeauna acolo să realizez când intervine o breșă de securitate, să răspund la o cerere a unei persoane vizate, să fac training-ul constant al angajaților, să atrag atenția angajatului X atunci când face fotografii cu telefonul personal la documente care conțin date personale. Cum aș mai putea să mă perfecționez constant dacă nu aș face altceva zilnic în afară de a explica de 100 de ori aceleași lucruri către X persoane? Și, la câte firme aș putea să fac treaba asta pe lună? Maxim 3. Nu ar renta nici din punct de vedere financiar… Și așa mă întreb: care e calitatea serviciilor oferite de responsabilii externi care au în grijă câteva zeci de firme?

Am făcut ce am considerat de cuviință. Acum sunt consultant al responsabililor interni. La un moment dat se vor descurca singuri. Mă fascinează cum evoluează și cât de multe învață. Unii sunt mai norocoși, au și consultanța inclusă, dar alții își cumpără din banii lor KIT-ul meu. Mă întristează cumva. Le spun că angajatorul ar trebui să le dea resursele, așa cum spune și Regulamentul. Îmi răspund că ei ar trebui să știe ce trebuie să facă. Dar cum așa? A învățat cineva la școală GDPR? Au existat cursuri serioase pe piață? Nici măcar la Facultatea de Drept nu se predă. Noi, care încă suntem aici, am învățat din pasiune. Și dacă nu ești din pasiune și o faci doar pentru bani, măcar nu îți bate joc. 

Unii asta își doresc. Vor să găsească un consultant, să îi dea o sumă, să le facă dosarul și să doarmă liniștiți. Și să îl numească apoi DPO, în speranța că au pasat răspunderea. Ei bine, nu e chiar așa. Documentația dă bine la un control, dar să nu uităm că ea trebuie înțeleasă de companie, nu doar semnată. Iar consultantul nu va fi întotdeauna lângă tine să îți spună că trebuie să îi dai să semneze nota de informare candidatului la interviu sau că trebuie să închei un acord de prelucrare cu noua agenție de marketing. Iar responsabilul cu protecția datelor externalizat, ce știe el?

La companiile medii și mari, e mai simplu. Au documentația, cumpărată sau venită din afară, juriștii lor o personalizează, avocatul o verifică, IT-ul o implementează, iar responsabilul trebuie să fie în centrul acțiunii: el nu scrie documentația, dar o înțelege, el nu implementează tehnic, dar verifică să fie în regulă, el verifică toate departamentele și toți angajații respectă GDPR și se asigură că drepturile personelor vizate se respectă.

La companiile mici observ că nu se dorește implementarea. Sau se dorește, dar se crede că dacă au numit un responsabil, au pasat responsabilitatea. Ca să înțelegeți unde bat: asemănați GDPR cu contabilitatea – o contabilitate a datelor. Orice companie are un contabil, dar asta înseamnă că nu mai trebuie emise facturi? Așa e și aici, cu diferența că GDPR are impact asupra tuturor proceselor. Așa cum ai învățat odată să emiți o factură, așa acum va trebui să înveți cum și când să informezi persoana fizică, cum și când să închei un acord de prelucrare, cum să identifici și să răspunzi la o cerere de acces etc. Desigur, poți angaja un DPO intern, dar nu îți vei permite unul care știe ce să facă. Poți apela la un serviciu externalizat de DPO, dar nu va funcționa – el e departe, tu ai nevoie de ajutor acum. Așa că singura soluție care rămâne este să îți faci curaj să înțelegi despre ce e vorba. Nu vei înțelege și nu vei implementa totul din prima. Nu există nicio companie 100% GDPR compliant azi. Mergi la un curs. Citește un ghid.  Ia-ți șabloane de documente și implementează.

Evident că se poate întâmpla să ai ghinionul să vină ANSPDCP în control. Dar în afară de asta, ar trebui să știi că e și afacerea ta la mijloc. Oamenii își cunosc drepturile (clienții, angajații) și așteaptă ca tu să le respecți. Zilnic, îmi scriu, aici, pe chat, persoane nemulțumite de modul în care organizațiile le prelucrează datele. Iar dacă ești împuternicit (furnizor de servicii), vei vedea cum drumul tău se închide. Îmi amintesc că am negociat cu Carrefour ceva pentru ca un start-up să nu piardă un contract. Au cerut de toate (politică de securitate, acces, ștergere, registru). Atunci mi-am luat inima în dinți și am scris eu, cu ajutor de la niște băieți în IT, și politicile tehnice. Și în cele din urmă a fost bine. Nu s-a pierdut contractul. Le-am inclus ulterior în KIT. Și așa, mediul de afaceri se divide în două: cei care respectă GDPR și cei care nu respectă GDPR. Și cei din prima categorie nu vor să lucreze cu restul. Azi economia funcționează pe schimb de date și schimbul de date nu mai e posibil între cele două categorii. Pe termen mediu, firmele care nu își implementează GDPR vor dispărea de pe piață pentru că nu vor mai avea cu cine să lucreze. Și așa am insistat la un fenomen interesant. Companii române au renunțat să lucreze cu furnizori IT români și au migrat către Cloud. Au apelat la Google, Microsoft etc. Și e foarte simplu să îți dai seama dacă firma X a implementat GDPR. Verifici site-ul. Acolo trebuie să existe documentația legală pusă la punct și nu copy-paste. Știți cât îmi ia să îmi dau seama dacă o firmă a implementat GDPR? 3 click-uri și maxim un minut. Urmează apoi chestionarea și verificarea documentației. Și abia după aceea se poate încheia contractul. Astea fiind spuse, cum ai putea crede că poți pasa responsabilitatea total fără ca tu să nu vrei să știi nimic? Cum poți crede că un serviciu DPO externalizat poate funcționa în România?

Ce am scris mai sus e perspectiva antreprenorială. 

Msi există și o perspectivă a riscurilor. Întotdeauna trebuie să știi care date trebuie protejate mai bine. Unele sunt sensibile (știu că termenul e inactual, dar îl folosesc pentru că îmi place), altele nu. Cine stabilește riscurile? La mine e simplu, fiind empatică, le simt. Și aici întotdeauna e vorba de potențialul prejudiciu adus unei persoane fizice dacă datele ar fi dezvăluite. Utilizez și eu scheme și grafice, dar pentru a mă verifica. Și întotdeauna e același rezultat.

Mai există și o perspectivă a viitorului. Privacy by design. Noile tehnologii care azi se construiesc – IoT, AI. Dacă legea iartă actualele sisteme pentru că nu prea avem ce să le facem, ce urmează trebuie să se conformeze. Mai ales că intruziunea noilor tehnologii în viața privată este din ce în ce mai mare. Și tehnologia nu face diferențe între adulți și copii. Datele noastre, combustibilului lor. Iar aici nu doar adultul, ci și copilul trebuie să știe și să înțeleagă pe ce anume dă click. Iar dacă ție nu îți pasă, fii sigur că părintelui care simte că a pierdut controlul când copilului lui de 9 ani stă tot timpul cu ochii în tabletă îi pasă.

GDPR… Ei bine, vom auzi multă vreme de acum încolo de el. Ai crezut că ai închis dosarul? Încă nu. Te afectează zi de zi, în activitatea ta. Până acum a fost etapa de conștientizare. Piața consultanței se cerne… Dacă ai crezut că poți pasa responsabilitatea, te-ai înșelat.

Despre responsbailii cu protecția datelor externalizați am zis suficient. Vrei să faci business în 2018? Ar trebui să îți pese de domeniu. Și nu prin numirea unui DPO externalizat, care mai are încă zeci de firme ca a ta, ca să renteze la final de lună. Câtă informație să încapă într-un singur om? Aș fi putut și eu să o fac, dar am ales să fiu corectă. Am depus două jurăminte: unul la Barou în 2014 și altul la IAPP în 2018. De asta prefer să fiu aici pentru a oferi șabloane, a da consultanță și a mentora noua generație de DPO interni și nu pentru a deveni complice la o minciună împachetată frumos: responsabilul cu protecția datelor externalizat.

 

Poate cândva va fi posibil și acest serviciu. Dar e nevoie de multă carte, educație și etică profesională.

 

Ruxandra Sava

Avocat

CIPP/E




Pune o întrebare

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

MAI MULTE ARTICOLE




Vrei să primești articolele noastre direct pe mail?

Abonează-te, e gratuit!