Acest material face parte din Campania de informare a persoanelor vizate, din România, privind drepturile asigurate de Regulamentul UE 2016/679. Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) este o organizație non-guvernamentală, autonomă, apolitică și non-profit.
Știrile false, adevărate bombe invizibile
București, 1 Aprilie 2019: În contextul Zilei Internaționale a Păcălelilor, anunțul Asociației Specialiștilor în Confindențialitate și Protecția Datelor (ASCPD) prin care se anunța lansarea pe data de 1 Aprilie 2019 a unei soluții “miracol” privind implementare a GDPR, fără a fi necesară implicarea unui specialist, este o utopie și nu a fost altceva decât o știre falsă (fakenews), în încercarea de a trage un semnal de alarmă asupra acestui fenomen prezent pe piața din România.
“Fakenews-ul” nu este doar un concept politic. Este și o componentă a Hype[1]-ului de marketing în ceea ce privește Regulamentul European privind Protecția Datelor. Știrile false, dar mai ales profilarea și microtargetarea sunt unele din cele mai de temut arme ale acestui secol, adevărate bombe invizibile împotriva cărora suntem nevoiți să reacționăm.
Rolul ASCPD este să se implice activ în vederea creșterii gradului de conștientizare a importanței datelor cu caracter personal și să lupte împotriva tehnicilor de manipulare și de furt de date, mai ales că în acest moment nu există astfel de campanii în România.
Cu nici treizeci de zile în urmă, ASCPD a finalizat cu succes primul studiu realizat în rândul persoanelor vizate din România, din care reiese, într-o proporție covârșitoare de 76%, că persoanele vizate știu să identifice știrile false și nu au încredere în știrile de pe rețelele de socializare. Astăzi însă, s-a confirmat că este valabil doar la nivel declarativ, realitatea fiind diferită.
În ultimele 3 zile, sute de persoane și-au oferit datele personale în mod gratuit, fiind în căutarea unei soluții doar formale și mai ales ieftină la implementarea principiilor GDPR în propria firmă. Facem apel la toți operatorii să consulte pe site-ul asociației ghidul ASCPD privind implementarea GDPR, apreciind totodată că soluțiile formale, fără implicarea unui specialist, nu îi vor ajuta în procesul de obținere a conformității.
“Asemenea bisturiului în mâinile unui chirurg priceput, un kit GDPR poate fi un instrument de un real ajutor pentru un specialist în protecția datelor. Dar ce ne facem când bisturiul ajunge pe mâna unei persoane fără experienta în domeniul medical? Te-ai mai lăsa operat de aceasta persoană? Poate comparația este exagerată, GDPR-ul nu te omoară, însa datele tale ajunse din neglijenta în mâini răuvoitoare, îți pot produce probleme foarte mari: furtul banilor din cont sau de pe card, furtul de identitate, credite făcute în numele tău etc. Acestea sunt doar câteva din cele mai frecvente riscuri.”, a declarat Marius Dumitrescu, Președintele ASCPD Romania.
Nu există niciun pericol pentru persoanele care și-au oferit datele personale în cadrul acestei campanii, aceștia urmând a primi prin email un ghid cu tema “Implementarea sustenabilă a Regulamentului UE 679/2016 în România”, baza de date fiind apoi ștearsă.
În prezent gardianul modului în care Regulamentul UE 2016/679 este implementat în România este Responsabilul privind protecția datelor, o meserie nou aparută, care se confruntă probabil cu cele mai mari provocări profesionale, datorită caracterului general și a lipsei de repere unitare.
ASCPD va continua să lanseze campanii de conștientizare dedicate persoanelor vizate, pentru ca acestea să nu cadă în capcana știrilor false sau a atacurilor cibernetice care abuzează de naivitatea sau de lipsa lor de informare.
[1] HYPE este o strategie de marketing inteligentă prin care un produs sau serviciu este promovat ca fiind un lucru pe care toată lumea trebuie să-l obțină, până în punctul în care oamenii încep să simtă că trebuie să-l achiziționeze.
Indicii ale unui posibil FakeNews:
- este publicat de un site, eventual un site de stiri, total necunoscut noua
- este vădit orientată spre a defăima o persoana sau de a elogia o alta
- este distribuit de conturi false, asa zișii troli. Conturi fantoma făra un profil propriu foarte elaborat (in general o poza, putin continut in descriere si putini prieteni)
Pe 7 martie Nathaniel Gleicher, Head of Cybersecurity Policy la Facebooka anunțat ștergerea a 31 pagini Facebook Pages, grupuri, si consturi pentru distribuirea de continut neautentic.
GHID: Ce presupune o implementare GDPR completă și sustenabilă?
- Instruire angajați. Conform Principiul Pareto, 80% din efecte sunt produse de 20% din cauze. Aplicând acest principiu în GDPR, putem estima că 80% din probleme de securitate ale unei companii se datorează neglijenței a 20% dintre angajați. Drept urmare, toți angajații unui operator trebuie sa fie conștienți de riscurile pe care prelucrarea datelor le implică și să-și însușească procedurile și regulamentele companiei cu privire la protecția datelor, adică să acționeze responsabil si informat.
- Analiza inițială, GAP anaysis, sau auditul prelucrărilor și IT, indiferent cum o numim, este o etapă peste care o implementare GDPR nu poate să treacă. Fără aceasta analiza, efectuată de personal cu expertiza în juridic și IT, nu avem cum să depistam disfuncționalitățile și riscurile din procesele companiei și, prin urmare, nu vom reuși sa dispunem măsuri corective coerente.
- Evaluarea riscurilor. Odată identificate riscurile acestea trebuie analizate, ierarhizate in funcție de nivelul de risc, în vederea aplicării de măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. (Responsabilitatea operatorului art. 24 (1) din GDPR)
- Inventarierea datelor și a fluxurilor de date. Fără a cunoaște input-ul și output-ul datelor sau fluxurile intra și extra organizaționale, implementarea GDPR-ului nu va fi completă. Pentru a optimiza procedurile de lucru astfel încât acestea să corespundă principiilor care stau la baza GDPR-ului, este necesara aceasta cartografiere. Mai exact este o harta a datelor și a prelucrărilor pentru a putea identifica cu ușurință unde sunt datele în momentul T1 și cine se face responsabil de prelucrarea lor, în acel moment.
- Evaluarea impactului asupra protecției datelor (DPIA). Atunci când un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul are obligația de a efectua, înaintea prelucrării, o evaluare a impactului operațiunilor de prelucrare (art 35 din GDPR).
- Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit. Spre exemplu, dacă ești dezvoltator software, produsul tău trebuie să fie proiectat să respecte GDPR-ul și să păstreze această calitate pe toată durata de viata a produsului.
- Evaluarea consimțământului. Dacă nu ai identificat un alt temei de prelucrare și ești obligat să te bazezi pe consimțământul persoanei vizate atunci trebuie să te asiguri că acesta este valid în momentul obținerii, poate fi gestionat cu ușurință și poate fi retras în orice moment. Grupul de lucru pe art. 29 a emis strict criteriile pe care trebuie sa le îndeplinească un consimțământ pentru a fi valid.
- Evaluarea interesului legitim. Evaluarea necesității existenței unui interes legitim care să justifice prelucrarea datelor este este de fapt un test al echilibrului. Mai exact, trebuie luat în considerare impactul asupra intereselor, drepturilor și libertăților persoanelor și analizat dacă acesta are prioritate față de interesele legitime ale Operatorului.
- Evaluarea conformității împuterniciților. Atunci când împuternicești alți operatori să prelucreze datele pe care tu le deții, trebuie să te asiguri că acesta va sigura o protecție adecvata în ceea ce privește prelucrările de date personale. Daca acesta va fi subiectul unei breșe tu vei răspunde în fața persoanelor ale căror date le-ai colectat.
Rezultatele acestor etape trebuiesc transpuse în practici și politici care vor constitui fundamentul organizațional al unei companii.
Pot doar kit-urile să realizeze ceva din cele de mai sus? Categoric nu! Un set de documente nu poate decât sa va ofere un model pe care va trebui sa-l adaptati conform rezultatelor analizelor de mai sus. Acesta nu va putea substitui niciodată expertiza celui care realizează toate acele analize și evaluări.
Cine poate modela un set de documente pe necesitățile companiei? Teoretic și tu poți face asta, sau angajații tai, cu condiția să însumezi atât cunoștințe juridice cat și foarte bune cunoștințe tehnice, să dedici suficient timp pentru a citi cu atenție Regulamentul general privind protecția datelor, cele 11 ghiduri ale Grupului de lucru pe art 29 și eventual jurisprudența CEDO sau a autorităților de supraveghere din întreaga Europa.
Crezi ca poți fi și jurist și expert IT în același timp? Atunci ia-ți un kit, îți va ușura mult munca. Dacă nu, apelează la experienta unui specialist în protecția datelor. În caz contrar vei risca să trăiești cu falsa convingere ca respecti principiile GDPR și să pui în pericol datele clienților, partenerilor sau ale propriilor angajați și implicit rentabilitatea afacerii tale.
Amenzile GDPR ți se par înspăimântătoare? Dar la riscul reputațional te-ai gândit? Cât de mari ar fi și cât te-ar costa pierderile de imagine dacă afacerea ta ar face subiectul unei breșe de securitate?
Implementarea GDPR nu înseamnă un teanc de hârtii într-un dosar prăfuit din arhiva (eventual nesecurizată). Procesul de aliniere la GDPR este asumarea unei culturi a responsabilității organizaționale care, cu timpul, se va dovedi un real avantaj concurențial prin solidificarea încrederii pe care business-ul tău o inspiră.