ANSPDCP a publicat o listă destul de lungă de măsuri corective și sancțiuni aplicate în doar câteva luni (iunie-septembrie 2019) pentru încălcări ale reglementărilor privind protecția datelor cu caracter personal. Încă multe organizații, firme, autorități publice și locale, cred că GDPR înseamnă doar un teanc de hârtii în plus, proceduri și politici, formulare și… bătăi de cap inutile.
Printre entitățile vizate se află eMag, Vodafone, Telekom, Orange, ING Bank, Tarom, BCR, Banca Transilvania, Unicredit Bank, Raiffeisen Bank, Credit Europe Bank, Vola.ro, Altex, Centrul Medical Unirea, Universitatea de Medicină și Farmacie Carol Davila, DPABD, IPJ Dâmbovița, Primăria Orașului Ovidiu, Primarul Iași, Gothaer, Deichmann, Bigotti, Artmark, etc.
Multe primării, inclusiv ale unor municipii, folosesc încă adrese de Yahoo. Greșit! Destule firme spun că nu prelucrează multe date, deși au camere video instalate în zona de birouri și de producție, au cartele de acces, contract cu o firmă de pază pentru controlul accesului… și implementează cerințele GDPR pe cont propriu. Cât de sigure pot fi măsurile tehnice și organizatorice aplicate în astfel de condiții?
Majoritatea organizațiilor vizate au muncit foarte mult pentru a genera câte un formular de consimțământ pentru fiecare interacțiune cu o persoană fizică. Ce poate să strice? Cine își bate capul cu valabilitatea consimțământului, exprimarea liberă, granularitatea, echilibrul? Vorbe!
Ce mijloace de asigurare a protecției implicite, din momentul conceperii, utilizează cei care decid să implementeze cerințele GDPR pe cont propriu? Este scump să apelezi la un profesionist? Să vezi ce scump este să NU apelezi la un profesionist! Lista amenzilor este impresionantă, iar cel mai important aspect este că, după amendă, tot este necesară efectuarea corecțiilor! De această dată, în regim de urgență și fără compromisuri!
Cine efectuează intern și cine avizează corectitudinea evaluărilor de impact asupra protecției datelor cu caracter personal în firmele care aleg să-și implementeze cerințele GDPR pe cont propriu? Aceeași persoană se ocupă și de prevenirea, detectarea și apărarea față de incidentele cibernetice, tot mai dese, în ultima perioadă? Cum se recuperează datele, prestigiul, pierderile? Mergem la noroc?
Când angajează un om, majoritatea organizațiilor au anumite cerințe privind calificările, experiența și responsabilitățile candidaților, pe care-i filtrează în funcție de propriile criterii de selecție calitativă.
Se pare că, deocamdată, cerințele GDPR rămân un moft, în ciuda măsurilor corective dispuse de autorități la unele dintre cele mai mari companii și instituții din România, printre care bănci de prim rang, firme de telecomunicații, univeristăți, primării și chiar asociații de locatari și persoane fizice. Atenție la riscuri. Costurile neglijenței și neseriozității devin scadente foarte rapid!
- Riscul #1: reclamația unei persoane nemulțumite
- Riscul #2: controlul autorităților (cu sau fără reclamație)
- Riscul #3: incident cibernetic (pierdere, furt, deteriorare, acces neautorizat la date, etc.).
Cine poate rezolva pe cont propriu probleme de mecanică auto? Cine poate înlocui eficient un sudor? Sau își poate rezolva problemele stomatologice?